» 2022�N03��10�� 11��47�� ���J
IPA���AEC�T�C�g���^�c���钆����ƌ����ɁA���Ƃɂ��Ǝ㐫�f�f���Œ���B�ʏ��100���~���x�̔�p���|����T�[�r�X�����A�Ǝ㐫�����錻��c���Ɍ����A�o�ώY�ƏȂ̕⏕�������Ŏ��{����Ƃ����B
�@������i�@�\�iIPA�j��3��8���AEC�T�C�g���^�c���钆����ƌ����ɁA���Ƃɂ��Ǝ㐫�f�f���Œ���Ɣ��\�����B�ʏ��100���~���x�̔�p���|����T�[�r�X�����AEC�T�C�g��������Ǝ㐫�̎��Ԃ�c�����邽�߁A�o�ώY�ƏȂ̕⏕�������Ŏ��{����Ƃ����B
�@���{�����o�����z��5000���~�ȉ��A�������͏]�ƈ�����50�l�ȉ��̊�Ƃ��\�z����EC�T�C�g���ΏہB�����́i1�j�l�b�g�V���b�v�쐬�T�[�r�X�Ȃǂō����EC�T�C�g�ł͂Ȃ��A�i2�j�I���v���~�X��IaaS�ʼn^�p���Ă���A�i3�j�����[�g�ł̐f�f���\�����ȂǁB
�@���ۂ̐f�f�ł́AIPA���Ǝ��ɍ쐬�����f�f�V�[�g�ւ̉���ɁA���Ƃ��F��A�N�Z�X����Ƃ������Z�L�����e�B�ݒ�ɕs�����Ȃ������m�F�B�����[�g�ł̐Ǝ㐫�f�f���s���A���ʂ���ɑ�Ȃǂ��A�h�o�C�X����B
�@����ɂ͐\�����̋L�����K�v�B�\���̓��[���Ŏt����B��W�͉��傪��萔�W�܂莟����ߐ�B�f�f������Ƃ́A�\�����̓��e����ɑI�肷��Ƃ����B
Copyright © ITmedia, Inc. All Rights Reserved.
最終更新日:2016年9月29日
独立行政法人情報処理推進機構
IPA(独立行政法人情報処理推進機構)セキュリティセンターは、2013年に公開した“IPAテクニカルウォッチ”「ウェブサイトにおける脆弱性検査手法の紹介」を更新し、「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」として公開しました。
本書では、5種の無償ツールによる検出方法等の解説や、無償ツールの活用例を3点提案しています。
下記より「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」についてのレポート(PDF版)をダウンロードしてご利用いただけます。
本レポートの目次
1.被害事例および脆弱性検査ツールの活用
2.ウェブアプリケーション脆弱性検査ツールの概要
3.脆弱性検査ツールのタイプの定義とツールの紹介
4.脆弱性検査ツールの使用例
5.評価・まとめ
6.おわりに
7.参考
ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編) | 2016年 |
|
本件に関するお問い合わせ先
IPA 技術本部 セキュリティセンター
Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail:
変更履歴
2016年9月29日 レポートを一部改訂
2016年9月28日 掲載
オフライン版iLogScannerトップページ
クイックリンク:
| 概要 | 利用方法(GUI版) | 利用方法(CUI版) |
動作環境 | 解析対象のログ形式 | 参考資料 |
概要
iLogScannerは、ウェブサーバのアクセスログから攻撃と思われる痕跡を検出するためのツールです。
ウェブサイトのログを解析することで攻撃の痕跡を確認でき、一部の痕跡については攻撃が成功した可能性を確認できます。また、SSHやFTPサーバのログに対しても、攻撃と思われる痕跡を検出することができます。
※オフライン版iLogScannerをご利用の際は、「利用許諾(PDF形式)」に同意いただく必要があります。
利用許諾をご確認の上、同意いただける場合には「同意する」にチェックを入れてダウンロードしてください。
パッケージ構成
ダウンロードしたパッケージを展開すると、以下のファイルが含まれています。
readme.txt | 全体ガイダンス(最初にお読みください) |
1_bin | iLogScanner実行モジュール格納ディレクトリ |
├iLogScanner.jar | iLogScanner本体 |
├iLogScanner.conf | 設定ファイル |
├ライブラリファイル | ライブラリファイル群 |
├iLogScanner.bat | Windows用起動スクリプト |
└iLogScanner.sh | Linux用起動スクリプト |
2_Document | 各種ドキュメントが格納されたディレクトリ |
├termsofuse_off.pdf | 利用許諾(PDF形式) |
└manual_off.pdf | マニュアル(PDF形式) |
利用方法(GUI版)
(ステップ1)起動
実行モジュール格納ディレクトリにある、ご利用のOSに合わせた起動スクリプトを選択して実行することで、iLogScannerが起動します。スクリプトはご利用の環境に合わせて必要に応じて修正してください。
(ステップ2)解析実行
ログファイルと出力先を選択し、画面左下の「解析開始」ボタンをクリックして解析を実行します。
(ステップ3)解析結果の確認
解析が終了すると結果が画面に表示されます。
(ステップ4)解析結果レポートの確認
解析結果のレポートは、解析結果画面の"解析結果レポートファイル"に表示されたパスに出力されます。
HTML形式の出力例を以下に示します。
解析結果レポートには、以下の項目が出力されます。
- 解析結果
終了ステータス、解析日時、解析対象ファイル、解析指定日付、解析対象日付、解析レベル、検出数が表示されます。 - 検出対象脆弱性の説明と対策
iLogScannerが検出対象としている項目の説明が表示されます。 - 解析結果ログ
攻撃の痕跡を検出したログの内容を出力します。
利用方法(CUI版)
オフライン版iLogScannerは、コマンドラインから実行することもできます。
OSのスケジューラ機能を利用して、定期的に解析を行うなどの用途でご利用いただくことができます。
実行例
コマンドラインでの実行例を以下に示します。
コマンドラインから、起動用スクリプトにパラメータを指定して実行してください。
・Windows
iLogScanner.bat mode=cui logtype=[解析対象のログ種別] accesslog=[ログファイル名] outdir=[出力先]
・Linux
iLogScanner.sh mode=cui logtype=[解析対象のログ種別] accesslog=[ログファイル名] outdir=[出力先]
Windows環境での実行例を以下に示します。
パラメータ一覧
コマンドラインで指定可能なパラメータは以下の通りです。
検出項目の閾値やログフォーマット等の詳細設定項目は設定ファイルで指定可能です。
設定ファイルで指定可能な項目についてはオフライン版iLogScannerに同梱されているマニュアルを参照ください。
1 | 起動モード | mode | 下記いずれかを指定 gui / cui | guiで起動した場合、他の指定値は無視する | |
2 | ログの種類 | logtype | ○ | 下記いずれかを指定 apache / iis / iis_w3c / ssh / vsftpd / wu-ftpd | |
3 | 入力ログファイル名 | accesslog | ○[1] | アクセスログファイル名、または認証ログファイル名をフルパスで指定 | カンマ区切りで複数指定可能[2] |
4 | エラーログファイル名 | errorlog | ○[1] | ModSecurityエラーログのファイル名をフルパスで指定 | logtype=apacheの場合のみ有効 |
5 | エラーログタイプ | errorlogtype | エラーログ指定時のApacheバージョンを指定 2.2 / 2.4 | errorlog指定がある場合のみ有効 | |
6 | 出力先ディレクトリ名 | outdir | ○ | レポートの出力先ディレクトリを指定 | |
7 | 出力形式 | reporttype | 下記いずれかを指定 html / text / xml / all | ||
8 | 解析レベル | level | 下記いずれかを指定 standard / detail | logtype=apache / iis / iis_w3cの場合のみ有効 |
[1]
logtype=apacheの場合は、accesslogまたはerrorlogのいずれかの指定が必須です。
logtype=apache以外の場合、accesslogの指定が必須です。
[2]
errorlogを指定した場合は、accesslogの複数ファイル指定は無効となります。
動作環境
・Windows 8.1(64bit版) ・Windows 10(64bit版) ・Windows 11(64bit版) ・CentOS 7(64bit) |
OpenJDK |
※iLogScanner の起動には JAVA の実行環境が必要です。予め JAVA の実行環境を整えた上で、ご利用ください。
※取扱説明書、FAQなど動作環境OSについて記載の更新がなされていない箇所があります。予めご了承ください。
解析対象のログ形式
アクセスログ
- IIS6.0/7.0/7.5/8.0/8.5のW3C拡張ログファイルタイプ
- IIS6.0/7.0/7.5/8.0/8.5のIISログファイルタイプ
- Apache HTTP Server1.3系/2.0系/2.2系/2.4系のcommonタイプ(カスタムフォーマット対応)
エラーログ
- Apache HTTP Server2.0系/2.2系、ModSecurity 2.5系/2.6系/2.7系/2.8系のタイプ
- Apache HTTP Server2.4系、ModSecurity 2.5系/2.6系/2.7系/2.8系のタイプ
認証ログ
- sshd(syslog)
- vsftpd(vsftpd形式、wu-ftpd形式)
解析対象のログの詳細はこちらから確認してください。
※解析対象ログの形式が異なる場合、解析が行われない、または攻撃の痕跡の検出が行われません。
参考資料
- 脆弱性攻撃検出ツール「iLogScanner」 に不正アクセスの兆候検出機能を追加(2014年10月9日)
よくある質問と答え(FAQ)
- ウェブサイトの攻撃兆候検出ツール iLogScanner FAQ
お問い合わせ先
独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC)
E-mail:
更新履歴
動作環境の記載内容を見直し |
動作環境の記載内容を見直し |
iLogScanner オンライン版の公開終了のお知らせを削除 |
iLogScanner オンライン版の公開終了 → 概要、利用方法、動作環境の記載内容を見直し |
iLogScanner オンライン版の公開終了のお知らせを追加 → 2018年12月19日 公開終了日(2019年1月16日)を追加 |
動作環境の記載内容を見直し(Windows 10追加、ウェブブラウザの内容更新) |
iLogScanner V4.0.1 を公開 解析結果レポートの出力に関する脆弱性を修正しました。(参考:JVN#89852154) 謝辞:本脆弱性に関しては以下の方から報告をいただきました。 報告者:株式会社NTTネオメイト 水谷 真也 様 報告者:草野 一彦 様 |
iLogScanner V4.0を公開 |
動作環境の記載内容を見直し |
ModSecurity対応機能版において、アクセスログとエラーログを同時に解析した場合、一部のログ形式で検出・遮断した件数が正しくカウントできなかった問題を修正しました。 |
iLogScanner V3.0を公開 |
iLogScanner V2.0を公開 |
iLogScannerを公開 |