コンテンツ

  1. ホーム
  2. よくある質問
  3. 情報セキュリティ
  4. サーバの管理

情報セキュリティ よくある質問

サーバの管理

Web サイトが外部から攻撃を受けていないか定期的に確認したい

ウェブサイト攻撃の検出ツール iLogScannerを情報処理推進機構(IPA)が公開しています.

iLogScannerはウェブサーバのアクセスログからウェブアプリケーション脆弱性を狙った攻撃と思われる痕跡を検出するためのツールで,今までは特別なスキルが必要だったウェブサーバのアクセスログ解析が,誰でも簡単に行うことができ,今すぐ危険な攻撃と思われる痕跡の有無を確認することができます.

検出できるウェブアプリケーション攻撃の種類は次のものです.

  1. SQLインジェクション
  2. OSコマンド・インジェクション
  3. ディレクトリ・トラバーサル
  4. クロスサイト・スクリプティング
  5. その他(IDS回避を目的とした攻撃)

解析レベルが「詳細」の場合の検出できるウェブアプリケーション攻撃の種類

  1. 同一IPアドレスから同一URLに対する攻撃の可能性
  2. アクセスログに記録されないSQLインジェクションの可能性
  3. ウェブサーバの設定不備を狙った攻撃の可能性

また,認証ログ(SSH, FTP)から,次の攻撃の痕跡を検出することも可能です.

  1. 大量のログイン失敗
  2. 短時間の集中ログイン
  3. 同一ファイルへの大量アクセス

ユーザのログイン状況について,次の項目を検出します.

  1. 認証試行回数
  2. 業務時間外アクセス
  3. ルート昇格
  4. 指定 IP 外からのアクセス
  5. 特権アカウントでのログイン検知
  6. 長時間ログインの検知
  7. 匿名アカウントでのログイン検知
  8. ゲストアカウントでのログイン検知

(注意)攻撃と思われる痕跡を全て網羅し,確実に検出するものではありません.また誤検出の場合もあります.

動作環境:

Microsoft Windows Vista(32bit版)
Microsoft Windows 7(32bit版 / 64bit版)
Microsoft Windows 8(32bit版 / 64bit版)
Microsoft Windows 8.1(32bit版 / 64bit版)
Internet Explorer 8 以上
Java Runtime Environment 6 以上

解析対象となるログ:

アクセスログの形式:
IIS6.0/7.0/7.5/8.0/8.5のW3C拡張ログファイルタイプ
IIS6.0/7.0/7.5/8.0/8.5のIISログファイルタイプ
Apache HTTP Server1.3系/2.0系/2.2系/2.4系のcommonタイプ(カスタムフォーマット対応)

エラーログの形式:
Apache HTTP Server2.0系/2.2系,ModSecurity 2.5系/2.6系/2.7系/2.8系のタイプ
Apache HTTP Server2.4系,ModSecurity 2.5系/2.6系/2.7系/2.8系のタイプ
認証ログ:
sshd(syslog)
vsftpd(vsftpd形式、wu-ftpd形式)

情報処理推進機構(IPA)のiLogScannerに関する説明をご覧になって,解析を行ってください.

 

Copyright © Institute for Information Management and Communication, Kyoto University, all rights reserved.