2013年9月6日金曜日

ウェブサイト攻撃の検出ツール iLogScanner

サーバやWebアプリケーションの脆弱性を突いた個人情報流出や、サイト改ざんが増加する昨今。
管理するサーバに攻撃の痕跡がないか。その攻撃が成功してしまった可能性はないか。
それらをアクセスログから解析するのは、かなり大変です。

なにか良いツールはないか探していたら、情報処理推進機構が提供する「ウェブサイト攻撃の検出ツール iLogScanner」というものがありました。
ツール自体は、セキュリティ対策を専門とする株式会社ラック が開発しているようです。

iLogScannerはブラウザ上で実行するJavaアプレット形式のツールなので、iLogScannerのサイトからJavaアプレットをダウンロード可能なインターネット接続環境と、Javaアプレット実行可能なWebブラウザ環境があれば実行可能です。

このツールを使うと、以下の攻撃と思われる痕跡(SQLインジェクションのみ攻撃が成功した可能性が高いか否かの判定あり)を検出することができます。(あくまで、可能性であって確実性は保証されていません)
  • SQLインジェクション
  • OSコマンド・インジェクション
  • ディレクトリ・トラバーサル
  • クロスサイト・スクリプティング
  • その他(IDS回避を目的とした攻撃)
  • 同一IPアドレスからの攻撃の可能性 (詳細解析を実行した場合)
  • アクセスログに記録されないインジェクションの可能性 (詳細解析を実行した場合)
  • ウェブサーバの設定不備を狙った攻撃の可能性 (詳細解析を実行した場合)
実際に、ローカルPCに保存したApacheのアクセスログファイルを指定して解析を実行すると、いかのようなウィンドウが開きます。


アクセスログファイルを解析しながら、リアルタイムに件数がカウントされます。
解析するアクセスログファイルのサイズが大きければ大きいほど、解析に時間がかかります。
一ヶ月単位のアクセスログから解析対象期間を指定して解析することも可能なので、あらかじめ解析対象期間が決まっているなら、期間指定した方が良いでしょう。

解析が終わると、以下のような解析結果レポートがHTML形式で出力されます。
攻撃の可能性がある痕跡が発見された場合は、ログの対象箇所を切り出した解析結果ログファイル(テキスト形式)で出力されます。


普段、どれほどの攻撃を受けているかを知ることで、対策をたてることができます。
何事もなく動いているサイトでも攻撃にさらされているかもしれないので、普段からログチェックの習慣をつけたいですね。