Loggolの検知対象攻撃一覧
検知対象攻撃一覧
Loggolが痕跡を検出できる攻撃の主なタイプは、次の通りです。
| 脆弱性/検知対象 | CWE番号(参考) | 備考 |
|---|---|---|
| SQLインジェクション | CWE-89 | ユーザー入力を通じてSQLクエリに悪意あるコードを挿入し、データベースの操作を乗っ取る攻撃です。データの読み取りや改ざん、削除、管理者権限の取得などが可能となります。 |
| クロスサイトスクリプティング | CWE-79 | 「XSS」とも表記されます。ウェブサイトに悪意あるスクリプトを注入し、他のユーザーのブラウザでそのスクリプトを実行させる攻撃です。ユーザーの個人情報の盗難、セッションハイジャック、フィッシング詐欺などが可能になります。 |
| コマンドインジェクション | CWE-78 | 「OSコマンドインジェクション」とも呼ばれます。アプリケーションに不正なシステムコマンドを挿入し、サーバやシステムに対して任意の操作を実行させる攻撃です。通常は許可されないシステムレベルのコマンドを実行することで、データの取得、削除、改ざん、システム全体の制御を行うことができます。 |
| パストラバーサル | CWE-22 | ディレクトリトラバーサルとも呼ばれます。ファイルパスを操作して、サーバ上の許可されていないファイルやディレクトリにアクセスする攻撃です。通常は保護されているはずの機密情報や設定ファイル、パスワードファイルに不正アクセスし、データを盗んだり、システムの脆弱性を悪用することが可能です。 |
| リモートファイルインクルージョン | CWE-98 | 「RFI」とも表記されます。攻撃者が外部の悪意あるファイルをサーバに読み込ませ、コードを実行させる攻撃です。システムに対してリモートから不正なコードが実行され、サーバの乗っ取りやデータの漏洩、マルウェア配布等が可能となります。 |
| コードインジェクション | CWE-94 | 「リモートコード実行」と同義です。攻撃者がアプリケーションに不正なコードを挿入し、システムで実行させる攻撃です。攻撃者は任意のコードを実行し、データの取得や改ざん、システムの乗っ取りなどを行うことができます。 |
| サーバサイドリクエストフォージェリ | CWE-918 | 「SSRF」とも表記されます。サーバやウェブアプリケーションに不正なリクエストの送信を行わせる攻撃です。これにより、内部ネットワークへのアクセスや、認証されたリソースの取得が可能となります。 |
| 認証に対する総当り攻撃 | CWE-307 | ブルートフォース攻撃、ログイン総当り攻撃とも呼ばれます。大量のパスワードや認証情報を機械的に試行し、正しい組み合わせを見つけてアカウントに不正アクセスする攻撃です。時間をかけて繰り返し試行し、システムへの侵入を試みます。 |
| リコネサンス | CWE-538 | 攻撃者がシステムやネットワークに対する攻撃を計画するために、対象の情報を事前に収集する行為です。WordPressプラグインのインストール状況の調査などが代表的な例になります。単に「スキャン」あるいは「情報漏洩の脆弱性を狙った攻撃」とも呼ばれ、非常に多く観測されます。 |
| 異常検知 | Loggolでは、他とは異なる性質のアクセスを行っているIPアドレスを最大で15個検出します。攻撃の早期発見や、他の攻撃との関連性の検証などに活用できます。 | |
| ボット検知 ※近日リリース予定 |
自動化されたプログラム(ボット)によるアクセスと思われるものを検知する機能です。ボットによる通信は、サイトのパフォーマンス低下、認証情報の不正取得、データのスクレイピング、不正なトランザクション実行など、様々な悪意ある目的に利用されることがあります。 |
※上記攻撃分類に該当するすべての攻撃痕跡を検出するものではありません。
このほか、大きな社会問題となったLog4shellや、Struts2の脆弱性への攻撃をはじめ、CVEで識別されるような既知の脆弱性を狙った多くの攻撃についても検出します。
当社が開発/運用を行っているクラウド型WAFサービス「Scutum」と共通の、Webセキュリティの高度な知見を持つ研究チームが日々新しい脆弱性や攻撃手法の情報収集を行い、開発チームと常に情報を共有しているため、Loggolの検知エンジンへの反映はスピーディーに行われます。
アクセスログから発見できる攻撃痕跡の範囲について
・Loggolではアクセスログに含まれる情報のうち、リクエスト行やクエリパラメータ部分を攻撃の検知対象とします。リクエストのボディ部やヘッダ部については検知対象外となっています(2024年10月時点。ログに含まれるヘッダ情報に対する検知は近日中に対応予定)。
・WAF「Scutum」での検知傾向から見ても、GETリクエストによる攻撃は実際に多く、特に、特定のフレームワークやミドルウェアの脆弱性を狙ったものではない、汎用的な攻撃パターン(手法としてはSQLインジェクションなど)を含むリクエストの比率が高くなっています。
・また、WAFがリアルタイムで危険な通信を止めることに特化した製品であるのに対して、Loggolはより長い時間軸で攻撃の可能性を分析します。たとえば、「リコネサンス」と呼ばれる攻撃者による偵察行動(例:WordPressを狙った情報収集など)についても検出できるのが特徴です。
・さらに、通常と違うふるまいをするアクセスを見つけ出して攻撃の可能性の高いIPアドレスを抽出する異常検知機能を有しているほか、botによるアクセスを判別する機能のリリースも近日中に控えており、他の検出ロジックと合わせてよりカバー範囲の広いセキュリティ分析をご提供していく予定です。
