情報処理推進機構(IPA)は2008年4月18日、Webサーバーのアクセスログから、Webサイトへの攻撃を検出するツールを公開した。IPAのWebサイトからダウンロードできる。現在のところ、検出できる攻撃は「SQLインジェクション」のみだが、今後は他の攻撃にも対応する予定。
最近、Webサイトを狙った攻撃(特に、SQLインジェクション攻撃)が相次いでいる。攻撃の結果、ウイルスを感染させるようなコードをWebページに仕込まれたり、Webサイトのデータベースから顧客情報を盗まれたりしている。
そこでIPAでは、Webサーバーのアクセスログを解析して、「SQLインジェクション攻撃をどの程度受けているのか」や「攻撃によって被害が発生していないか(攻撃が“成功”していないかどうか)」を調べるためのツール「iLogScanner」を公開した。
このツールは、Webブラウザー上で実行するJavaアプレット。ツールの利用者は、IPAのサイト(ツール提供サイト)にWebブラウザーでアクセスし、ツールをダウンロードして実行。あらかじめ用意しておいたアクセスログを読み込ませて解析する。動作環境は、OSがWindows XP SP2、ブラウザーがInternet Explorer 7、JRE(Javaの実行環境)はSun Java Runtime Environment 5.0以上(JRE 5.0系を推奨)。
解析の結果、アクセスログから検出した「攻撃があったと思われる件数」と「攻撃が成功した可能性が高い件数」を表示する(図)。IPAでは、「攻撃が検出された場合や、特に攻撃が成功した可能性が検出された場合には、Webサイトの開発者やセキュリティベンダーに相談することを推奨する」としている。
ただし、今回公開されたツールは「簡易ツール」。攻撃を確実に検出するとは保証していないし、誤検出する場合もあるという。「攻撃が成功している場合には、アクセスログが改ざんされている可能性もある」(IPA)。
また、ツールはアクセスログをチェックするだけで、Webサイトの脆弱(ぜいじゃく)性を直接調べるわけでない。このためIPAでは、「攻撃成功が検出されないからといって、脆弱性が存在しないとは限らない。攻撃が検出されない場合でも安心せずに、Webサイトの脆弱性検査を実施することを勧める」としている。「脆弱性を確認するためだけではなく、Webサイトへの攻撃の現状把握や、脆弱性対策を講じるきっかけとしてツールを利用してほしい」(IPA)。
