Apache mod_rewriteを使った悪意のあるクエリ文字列のブロック方法

Apacheを利用するWebサイトでは、悪意のあるクエリ文字列を介して不正アクセスや攻撃が行われる可能性があります。特にSQLインジェクションやXSS（クロスサイトスクリプティング）などの攻撃は、Webアプリケーションの脆弱性を突く代表的な手法です。これらの攻撃は、URLに埋め込まれた不正なクエリ文字列を通じて実行されることが多いため、事前に対策を講じることが重要です。

Apacheのmod_rewriteモジュールを使用すると、特定のパターンに一致するURLリクエストを制御し、悪意のあるクエリ文字列をブロックできます。mod_rewriteは柔軟で強力なツールであり、条件分岐や正規表現を使って細かいルールを設定できます。

本記事では、mod_rewriteの基本的な仕組みから始め、悪意のあるクエリ文字列を効果的にブロックする方法を具体例とともに解説します。これにより、Apacheを利用するWebサイトのセキュリティレベルを向上させ、不正アクセスのリスクを軽減できるようになります。

mod_rewriteとは？基本概要と機能

mod_rewriteはApache HTTPサーバーのモジュールの一つで、URLの書き換えを行うための強力なツールです。このモジュールを使用すると、クライアントからのリクエストを条件に応じて変換し、別のURLにリダイレクトしたり、アクセスを制限したりすることが可能になります。

mod_rewriteの主な機能

• URLのリダイレクト: 特定のパスを別のURLに自動的に転送します。これにより、古いURLを新しいURLにマッピングする際に役立ちます。
• クエリ文字列の解析と制御: URLの一部であるクエリ文字列を解析し、条件に一致するリクエストを制限したり、遮断したりできます。
• アクセス制御: 特定のIPアドレスやクエリパラメータを含むリクエストをブロックして、不正アクセスを防ぎます。
• SEO対策: 短くわかりやすいURLへの変換が可能で、検索エンジン最適化（SEO）にも貢献します。

動作の仕組み

mod_rewriteは、Apacheの設定ファイル（httpd.conf）または.htaccessファイル内でルールを記述することで機能します。リクエストされたURLが指定したルールに一致すると、そのリクエストは定義された条件に従って書き換えられます。正規表現を用いた高度なURL制御が可能で、非常に柔軟な運用ができます。

mod_rewriteは、特にセキュリティ対策やアクセス管理において不可欠なツールであり、悪意のあるクエリ文字列をブロックする際に強力な役割を果たします。

mod_rewriteが必要な理由 – セキュリティの観点から

mod_rewriteがセキュリティ対策において重要な役割を果たす理由は、外部からの不正アクセスを事前にブロックし、Webアプリケーションの脆弱性を軽減できるためです。特に悪意のあるクエリ文字列は、攻撃者が脆弱性を悪用する典型的な手法であり、これを適切に防御することが必要です。

悪意のあるクエリ文字列の脅威

• SQLインジェクション: クエリ文字列を通じてデータベースに不正なSQLコマンドを注入し、データを改ざん・漏洩させる攻撃です。
• XSS（クロスサイトスクリプティング）: 悪意のあるスクリプトをWebページに埋め込み、ユーザーの個人情報やCookieを盗む攻撃です。
• ディレクトリトラバーサル: クエリ文字列を使ってサーバーのファイルシステムに不正にアクセスし、本来見えないファイルを閲覧する手法です。

mod_rewriteによるセキュリティ強化のメリット

• 攻撃をサーバーレベルで遮断: アプリケーションレベルで防御するよりも前段階でリクエストをブロックできるため、処理負荷が軽減されます。
• 簡単なルールで複数の攻撃を防止: シンプルな正規表現を使うことで、多様な攻撃をまとめてブロックできます。
• 柔軟な制御が可能: 特定のIPアドレスや国からのリクエストを除外したり、一部のユーザーだけアクセス可能にしたりと、細かなアクセス制御が可能です。

mod_rewriteは単なるURLリダイレクトだけでなく、Webサーバーのセキュリティレベルを向上させる重要な要素です。これにより、不正アクセスのリスクを最小限に抑えることができます。

悪意のあるクエリ文字列の具体例

悪意のあるクエリ文字列は、攻撃者がWebアプリケーションの脆弱性を悪用するために使用する不正なリクエストです。これらの文字列は、データベースやサーバーに意図しない動作をさせることを目的としています。以下に、代表的な例を挙げます。

SQLインジェクションの例

https://example.com/login.php?username=admin'--&password=1234

解説: 上記の例では、ユーザー名フィールドに「’–」が挿入されています。これにより、SQLのコメントアウトが行われ、パスワードチェックがスキップされる可能性があります。

XSS（クロスサイトスクリプティング）の例

https://example.com/search.php?q=<script>alert('Hacked')</script>

解説: この例では、検索クエリに悪意のあるスクリプトが埋め込まれています。もしサーバー側で適切なエスケープ処理が行われていない場合、スクリプトがそのまま実行されてしまいます。

ディレクトリトラバーサルの例

https://example.com/download.php?file=../../../../etc/passwd

解説: ディレクトリトラバーサル攻撃では、ファイルパスに「../」を使用し、サーバーの重要なファイル（例: /etc/passwd）にアクセスしようとします。

PHPリモートコード実行の例

https://example.com/upload.php?cmd=cat%20/etc/passwd

解説: コマンドインジェクションが可能な脆弱性を突き、サーバー内のファイルを不正に読み取る攻撃です。

これらの攻撃は、適切なフィルタリングとmod_rewriteを活用した事前の対策によって防ぐことが可能です。次のセクションでは、mod_rewriteを使用してこれらの悪意のあるクエリをブロックする具体的な方法を解説します。

mod_rewriteのインストールと有効化方法

mod_rewriteを使用するためには、Apacheサーバーにモジュールをインストールし、有効化する必要があります。ほとんどのApache環境にはmod_rewriteがデフォルトでインストールされていますが、有効になっていない場合があります。以下では、mod_rewriteのインストールから有効化までの手順を説明します。

mod_rewriteのインストール確認

まず、Apacheにmod_rewriteがインストールされているか確認します。以下のコマンドでインストール済みのモジュールを一覧表示できます。

apachectl -M

または

httpd -M

この出力結果にrewrite_module (shared)が含まれていれば、mod_rewriteはインストール済みです。

mod_rewriteのインストール方法

もしmod_rewriteがインストールされていない場合は、以下のコマンドでインストールします。

Debian/Ubuntu系

sudo apt update  
sudo apt install apache2  
sudo a2enmod rewrite  

CentOS/RHEL系

sudo yum install httpd  
sudo yum install mod_rewrite  

mod_rewriteの有効化

インストール後、mod_rewriteを有効にするにはApacheの設定ファイルを編集します。

1. Apacheの設定ファイル（例: /etc/apache2/apache2.conf）を開きます。

sudo nano /etc/apache2/apache2.conf

2. 以下の行を確認し、AllowOverrideがAllになっていることを確認します。

<Directory /var/www/html>  
    AllowOverride All  
</Directory>  

AllowOverride Noneとなっている場合は、Allに変更して保存します。

3. Apacheを再起動して設定を反映します。

sudo systemctl restart apache2

確認方法

mod_rewriteが正しく動作しているかを確認するには、.htaccessファイルに簡単なリダイレクトルールを記述して動作をテストします。

RewriteEngine On  
RewriteRule ^test$ /index.html [L]  

これでmod_rewriteのインストールと有効化は完了です。次は実際に悪意のあるクエリ文字列をブロックする具体的なルールを設定していきます。

.htaccessファイルを使った基本的なmod_rewriteルールの作成

mod_rewriteを使用して悪意のあるクエリ文字列をブロックするには、.htaccessファイルにルールを記述します。.htaccessは、Apacheサーバーでディレクトリ単位に設定を行うためのファイルで、特定の条件に一致するリクエストを制御できます。

以下では、.htaccessファイルを作成し、基本的なmod_rewriteルールを記述する手順を説明します。

.htaccessファイルの作成・編集

1. サイトのルートディレクトリ（例: /var/www/html）に.htaccessファイルを作成または編集します。

sudo nano /var/www/html/.htaccess

すでに存在する場合は、そのファイルに追記します。

2. mod_rewriteを有効にするため、以下の記述を追加します。

RewriteEngine On

基本的なURLリダイレクトルール

クエリ文字列に特定のパターンが含まれるリクエストをブロックするルールを記述します。以下は、特定の単語を含むクエリ文字列を検出して403エラーを返す例です。

# 悪意のあるクエリ文字列をブロック
RewriteCond %{QUERY_STRING} (union|select|insert|script) [NC]
RewriteRule .* - [F]

• RewriteCond: クエリ文字列にunion、select、insert、scriptが含まれる場合に一致します。
• [NC]: 大文字・小文字を区別しません。
• RewriteRule: すべてのURL（.*）に対して適用し、403 Forbidden（[F]）を返します。

正規表現を使った応用ルール

複数のパターンに同時に一致する場合は、正規表現を使います。

# 複数のSQLインジェクション攻撃を防ぐ
RewriteCond %{QUERY_STRING} (select.*from|union.*select|../|%27|%22) [NC]
RewriteRule .* - [F]

• select.*from: SQLインジェクションを狙った典型的な文字列を検出します。
• ../: ディレクトリトラバーサル攻撃を防ぎます。
• %27: URLエンコードされたシングルクォート（'）を検出します。

アクセス制限の例

特定のIPアドレスからのアクセスをブロックするルールも記述できます。

RewriteCond %{REMOTE_ADDR} ^192\.168\.1\.100$
RewriteRule .* - [F]

このルールは、192.168.1.100からのアクセスを拒否します。

ルールの確認と適用

.htaccessファイルを保存した後、Apacheを再起動します。

sudo systemctl restart apache2

適切にルールが適用されているかを確認するために、悪意のあるクエリ文字列をURLに付与してアクセスし、403エラーが表示されることを確かめます。

このようにして、mod_rewriteを使ったセキュリティ対策の基盤を整えることができます。次は、正規表現をさらに活用して悪意のあるリクエストを高度にブロックする方法を解説します。

悪意のあるクエリ文字列を特定しブロックする正規表現の書き方

mod_rewriteで悪意のあるクエリ文字列をブロックするには、正規表現を使って柔軟かつ効果的に不正なリクエストを検出することが重要です。正規表現を活用することで、特定の単語やパターンに一致するURLクエリをブロックし、SQLインジェクションやXSS（クロスサイトスクリプティング）などの攻撃を未然に防げます。

以下では、実際の攻撃パターンを想定した正規表現の例を紹介し、それぞれの役割を解説します。

基本的なSQLインジェクション対策

SQLインジェクションはデータベースに不正なSQL文を送信する攻撃です。典型的なパターンを以下のように検出できます。

# SQLインジェクション対策
RewriteCond %{QUERY_STRING} (union|select|insert|drop|delete|update) [NC]
RewriteRule .* - [F]

• union: UNION SQL文を使って不正なデータを取得しようとする攻撃。
• select: SQLのSELECT文を不正に実行しようとする攻撃。
• insert: データを挿入して脆弱性を作る攻撃。
• drop: テーブルを削除しようとする破壊的攻撃。
• [NC]: 大文字・小文字を区別しない（No Case）。

XSS攻撃のブロック

XSSは悪意のあるスクリプトを埋め込み、ブラウザで実行させる攻撃です。以下のルールでブロックできます。

# XSS対策
RewriteCond %{QUERY_STRING} (<script>|%3Cscript%3E|javascript:|onerror=) [NC]
RewriteRule .* - [F]

• <script>: スクリプトタグを検出してブロック。
• %3Cscript%3E: URLエンコードされたスクリプトタグも検出。
• javascript:: JavaScriptスキームを使用した攻撃をブロック。
• onerror=: イベントハンドラを使ったXSSを防止。

ディレクトリトラバーサル攻撃の防止

ディレクトリトラバーサル攻撃は、ファイルシステムを不正に参照し、重要なファイルを盗み出す攻撃です。

# ディレクトリトラバーサル攻撃対策
RewriteCond %{QUERY_STRING} (\.\./|\.\.\\|%2e%2e) [NC]
RewriteRule .* - [F]

• \.\./: ../を使ったディレクトリ移動を検出。
• \.\.\\: Windows系でのディレクトリトラバーサルを検出。
• %2e%2e: URLエンコードされた「..」を検出。

特定ファイルの不正ダウンロード対策

パス内に不正なファイル名が含まれる場合のダウンロードを防止します。

# パスから特定ファイルへのアクセスを防ぐ
RewriteCond %{QUERY_STRING} (passwd|shadow|htpasswd|config) [NC]
RewriteRule .* - [F]

• passwd: Linux系のパスワードファイル。
• shadow: 暗号化されたパスワードを含むファイル。
• htpasswd: Apache認証ファイル。
• config: 設定ファイル全般。

複数条件でのブロック

複数の攻撃パターンをまとめてブロックすることも可能です。

# 複数の攻撃パターンをブロック
RewriteCond %{QUERY_STRING} (select|union|insert|drop|%3Cscript%3E|../|passwd) [NC]
RewriteRule .* - [F]

このように、複数の攻撃手法を一括してブロックできるため、セキュリティを大幅に強化できます。

動作確認とテスト

設定後は、以下の手順で正しくルールが動作しているかを確認します。

1. 設定を保存した後、Apacheを再起動します。

sudo systemctl restart apache2

2. ブラウザで悪意のあるクエリ文字列を含むURLにアクセスし、403エラーが表示されるかを確認します。

これにより、悪意のあるクエリ文字列をmod_rewriteで効果的にブロックできます。次のセクションでは、さらに複雑な条件を組み合わせた高度な設定方法について解説します。

複数の条件でクエリをブロックする高度な設定方法

悪意のあるクエリ文字列は、単一のパターンだけではなく、複数の攻撃手法が組み合わさることがあります。mod_rewriteでは、複数の条件を組み合わせてブロックする高度なルールを設定することで、幅広い攻撃からWebサイトを保護できます。

以下では、複数の条件を連携させて精度の高いフィルタリングを行う方法を解説します。

複数条件でのクエリブロックの基本構文

mod_rewriteでは、複数のRewriteCondを連続して記述することで、すべての条件が一致した場合にRewriteRuleが適用されます。

RewriteEngine On
RewriteCond %{QUERY_STRING} (select|union|insert|drop) [NC]
RewriteCond %{QUERY_STRING} (\.\./|%2e%2e|passwd|shadow) [NC]
RewriteRule .* - [F]

解説:

• SQLインジェクション攻撃とディレクトリトラバーサル攻撃の両方がクエリ文字列に含まれる場合に403エラーを返します。
• 攻撃手法を複数条件でブロックすることで、より細かくセキュリティ対策が行えます。

AND条件とOR条件の組み合わせ

ApacheではOR条件を使用して、一つでも条件に一致すればブロックする方法も設定可能です。

RewriteEngine On
RewriteCond %{QUERY_STRING} (select|union|insert|drop) [NC,OR]
RewriteCond %{QUERY_STRING} (\.\./|%2e%2e|passwd|shadow) [NC]
RewriteRule .* - [F]

解説:

• NC,ORの部分は「または」を意味します。1つ目の条件に一致するか、2つ目の条件が満たされればブロックされます。
• この方法で、多様な攻撃パターンを包括的に防止できます。

特定のパスでのみ適用するルール

特定のディレクトリだけに適用するルールを設定することも可能です。これにより、特定のスクリプトファイルやフォルダのみに制限を設けられます。

RewriteEngine On
RewriteCond %{REQUEST_URI} ^/admin/ [NC]
RewriteCond %{QUERY_STRING} (select|union|insert|drop) [NC]
RewriteRule .* - [F]

解説:

• /admin/ディレクトリにアクセスした場合のみ、SQLインジェクションを防ぐルールが適用されます。
• アプリケーションの重要領域に限定したセキュリティ強化が可能です。

IPアドレスのホワイトリストを設定する

特定のIPアドレスだけがアクセスできるように設定し、それ以外のIPからのリクエストをブロックする方法もあります。

RewriteEngine On
RewriteCond %{QUERY_STRING} (select|union|insert|drop) [NC]
RewriteCond %{REMOTE_ADDR} !^192\.168\.1\.[0-9]+$ [NC]
RewriteRule .* - [F]

解説:

• !^192\.168\.1\.[0-9]+$は、ローカルIPアドレス（192.168.1.x）以外からのSQLインジェクションをブロックします。
• 内部ネットワークのみアクセスを許可する形でセキュリティを強化できます。

ユーザーエージェント（ブラウザ）の制限

特定のユーザーエージェント（botなど）を検出してブロックする方法も有効です。

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (curl|wget|python|nikto) [NC]
RewriteRule .* - [F]

解説:

• curlやwgetなど、悪意あるスクリプトによるリクエストを遮断します。
• これにより、脆弱性スキャンツールのアクセスを未然に防止できます。

特定のクエリ長を超えるリクエストの制限

異常に長いクエリ文字列を送信する攻撃も存在します。長すぎるクエリは不正と判断してブロックできます。

RewriteEngine On
RewriteCond %{QUERY_STRING} ^.{1000,}$ [NC]
RewriteRule .* - [F]

解説:

• クエリ文字列が1000文字以上のリクエストをブロックします。
• サーバーへの負荷を軽減し、バッファオーバーフローの攻撃を防止できます。

設定の確認とテスト

ルールを作成したら、次の手順で適用します。

sudo systemctl restart apache2

その後、悪意のあるクエリ文字列やユーザーエージェントを使ってテストし、403エラーが発生するか確認します。

これらの複数条件を使ったmod_rewriteのルールは、セキュリティをより強固にし、さまざまな攻撃手法からWebサイトを守る効果があります。次は、ルールの動作確認とデバッグ方法について解説します。

テストとデバッグ方法 – 設定が反映されているか確認する手順

mod_rewriteのルールを設定した後は、正しく動作しているか確認することが重要です。誤った設定は、正規のリクエストをブロックしてしまう可能性があります。そのため、テストとデバッグを行い、ルールが意図した通りに機能することを確認しましょう。

1. Apacheの設定テスト

まず、Apacheの設定ファイル（httpd.confや.htaccess）に文法エラーがないかを確認します。以下のコマンドで構文チェックを行います。

sudo apachectl configtest

• Syntax OKと表示されれば、設定に問題はありません。
• エラーが表示された場合は、エラーメッセージに従って該当箇所を修正してください。

2. mod_rewriteの動作確認

mod_rewriteが有効になっているかを確認します。

sudo apachectl -M | grep rewrite

• 結果にrewrite_module (shared)と表示されれば、mod_rewriteは有効です。
• 表示されない場合は、以下のコマンドで有効化します。

sudo a2enmod rewrite
sudo systemctl restart apache2

3. テスト用ルールの作成

.htaccessに簡単なリダイレクトルールを記述し、mod_rewriteの動作を確認します。

RewriteEngine On
RewriteRule ^test$ /index.html [L]

• このルールでは、https://example.com/testにアクセスするとindex.htmlが表示されます。

4. 悪意のあるクエリ文字列のテスト

次に、悪意のあるクエリ文字列を含むURLを使ってルールをテストします。
例:

https://example.com/?q=select%20from%20users

• 該当のクエリ文字列がmod_rewriteルールでブロックされると、403 Forbiddenが表示されます。

5. ログを使ったデバッグ

mod_rewriteの動作ログを有効化し、どのルールが適用されているかを確認します。
Apacheの設定ファイルに以下を追加します。

LogLevel alert rewrite:trace3

これにより、/var/log/apache2/error.logにmod_rewriteの動作履歴が記録されます。

sudo systemctl restart apache2

• ログを確認し、意図した通りにリクエストがリダイレクトまたはブロックされているかをチェックします。

sudo tail -f /var/log/apache2/error.log

6. リモートテスト

外部の環境からもテストを行い、特定のIPアドレスやクエリがブロックされるかを確認します。curlコマンドを使うことで、簡単にテストできます。

curl -I "https://example.com/?q=select%20from%20users"

• HTTP/1.1 403 Forbiddenが返れば、ルールが正常に動作しています。

7. 設定の調整

もし正規のリクエストがブロックされてしまう場合は、ルールを微調整します。正規表現をより限定的にすることで、誤検知を減らすことができます。

RewriteCond %{QUERY_STRING} (select|union|insert|drop) [NC]
RewriteCond %{QUERY_STRING} !safeparam [NC]
RewriteRule .* - [F]

この例では、「safeparam」というクエリが含まれている場合はブロックを回避します。

まとめ

テストとデバッグを適切に行うことで、悪意のあるクエリ文字列を確実にブロックしつつ、正規のリクエストを妨げない設定を構築できます。mod_rewriteのログを活用し、必要に応じてルールを調整することで、セキュリティを強化しつつ柔軟な運用が可能になります。

まとめ

本記事では、Apacheのmod_rewriteを使用して悪意のあるクエリ文字列をブロックする方法について解説しました。

mod_rewriteは、SQLインジェクションやXSS、ディレクトリトラバーサルなどの攻撃からWebサイトを保護するための強力なツールです。基本的なルールの記述方法から、正規表現を活用した高度な設定、さらにテストとデバッグ方法まで、セキュリティ対策の流れを一通り説明しました。

適切に設定を行えば、攻撃の大部分をWebサーバーレベルで遮断でき、アプリケーションの安全性が向上します。定期的にログを確認し、必要に応じてルールを見直すことで、より堅牢なセキュリティ体制を維持できるでしょう。