Apache mod_securityでXSS攻撃を検出・防御する方法を徹底解説

XSS（クロスサイトスクリプティング）攻撃は、悪意のあるスクリプトがWebサイトに挿入され、ユーザーがそのページにアクセスした際にブラウザで実行される攻撃手法です。これにより、クッキーの窃取、セッションの乗っ取り、フィッシング詐欺の実行など、重大なセキュリティリスクが発生します。

ApacheはWebサーバーとして広く使用されていますが、そのセキュリティ対策の一環として「mod_security」という強力なモジュールを導入することで、XSS攻撃を効果的に検出・防御できます。mod_securityは、WAF（Webアプリケーションファイアウォール）の役割を果たし、リアルタイムで悪意のあるリクエストを検知してブロックします。

本記事では、mod_securityの基本的な役割やインストール方法から、具体的なXSS防御ルールの作成方法、実際の攻撃例を用いたシミュレーション、誤検知への対応方法までを徹底解説します。初心者でも分かりやすく、段階的に理解を深められる構成となっており、実際のWebアプリケーションにmod_securityを導入し、セキュリティを強化する方法を学ぶことができます。

mod_securityとは何か

mod_securityは、Apache HTTPサーバーで動作するWebアプリケーションファイアウォール（WAF）モジュールであり、不正なリクエストや攻撃からWebアプリケーションを保護する役割を持ちます。WAFとしてのmod_securityは、HTTPリクエストとレスポンスをリアルタイムで監視し、シグネチャベースやルールベースで不審な動作を検出・ブロックします。

mod_securityの主な機能

mod_securityは以下のようなセキュリティ機能を提供します。

• XSS攻撃の検出と防御 – 悪意のあるスクリプトがWebページに挿入されることを防ぎます。
• SQLインジェクション対策 – データベース操作に関する不正なクエリを検知します。
• ディレクトリトラバーサル防止 – サーバー内のファイル構造を不正に操作する試みを防ぎます。
• 悪意のあるユーザーエージェントのフィルタリング – ボットやクローラーによる攻撃をブロックします。

Webアプリケーションにおける重要性

mod_securityは、アプリケーションレベルでのセキュリティ対策を提供し、以下のような利点があります。

• リアルタイムでの脅威防止 – 攻撃の兆候を即座に検出し、防御を自動的に行います。
• ログと監査機能 – すべてのリクエスト・レスポンスを記録し、セキュリティインシデントの解析を容易にします。
• 拡張性と柔軟性 – カスタムルールを作成することで、特定のWebアプリケーションに合わせた防御が可能です。

mod_securityは、オープンソースであり、多くのコミュニティがルールセットを開発・提供しているため、最新の攻撃手法にも迅速に対応できます。これにより、Apacheサーバーを安全に運用し、Webアプリケーションの脆弱性を低減することが可能となります。

XSS攻撃の基本概念と危険性

XSS（クロスサイトスクリプティング）攻撃は、悪意のあるコードがWebサイトに注入され、ユーザーのブラウザ上で実行される攻撃手法です。特に入力フォームやURLパラメータを介してスクリプトが埋め込まれ、ユーザーのクッキーやセッション情報が盗まれるリスクがあります。

XSS攻撃の仕組み

XSS攻撃は主に以下の3種類に分類されます。

• 反射型XSS – 悪意のあるスクリプトがURLパラメータなどに含まれ、ユーザーがそのリンクを踏むことでスクリプトが実行されます。
• 格納型XSS – サーバー側に悪意のあるスクリプトが格納され、アクセスするすべてのユーザーに対してスクリプトが実行されます。
• DOMベースXSS – JavaScriptがクライアントサイドで直接操作されることで、DOM（Document Object Model）内にスクリプトが挿入されます。

XSS攻撃による具体的なリスク

XSS攻撃が成功すると、以下のようなセキュリティリスクが発生します。

• クッキー・セッションの窃取 – ユーザーの認証情報が盗まれ、不正アクセスが行われます。
• フィッシング詐欺の実行 – 偽のログインページに誘導され、ユーザーのIDやパスワードが抜き取られます。
• ブラウザのリモート操作 – JavaScriptを使ってブラウザを不正に操作し、意図しないリクエストを送信される可能性があります。

XSS攻撃の放置による影響

XSS攻撃を防御しない場合、以下のような影響が出る可能性があります。

• 企業イメージの損失 – ユーザーが攻撃を受けることで、企業やサービスへの信頼が低下します。
• 情報漏洩の拡大 – 1人のユーザーが被害に遭うだけでなく、大規模な情報漏洩に繋がる可能性があります。
• 法的リスク – 個人情報保護法に違反し、企業が罰せられる可能性もあります。

mod_securityを導入することで、これらのXSS攻撃をリアルタイムで検知し、未然に防ぐことが可能となります。

mod_securityのインストールと初期設定

mod_securityをApacheに導入することで、Webアプリケーションのセキュリティが大幅に向上します。ここでは、mod_securityのインストール手順と基本的な初期設定について解説します。

mod_securityのインストール方法

mod_securityのインストールは、OSのパッケージマネージャを利用して簡単に行えます。以下に主要なLinuxディストリビューションでのインストール手順を示します。

CentOS / RHELの場合

sudo yum install mod_security

Ubuntu / Debianの場合

sudo apt install libapache2-mod-security2
sudo a2enmod security2
sudo systemctl restart apache2

Windows環境の場合

1. Apache公式サイトからmod_securityのモジュールをダウンロードします。
2. ダウンロードしたモジュールをApacheのmodulesディレクトリに配置します。
3. httpd.confファイルに以下を追加してモジュールを有効化します。

LoadModule security2_module modules/mod_security2.so

4. Apacheを再起動して設定を反映します。

初期設定の概要

インストール後は、mod_securityの基本的な設定ファイルを用意します。デフォルト設定でも一定の防御は可能ですが、以下の手順でさらに強固な設定を施します。

セキュリティ設定ファイルの作成

sudo cp /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf

modsecurity.confファイルをエディタで開き、以下の設定を確認します。

SecRuleEngine On

この設定が「On」になっていることを確認し、mod_securityが有効であることを確保します。

Core Rule Set（CRS）の導入

Core Rule Setは、mod_securityで使用する標準的な攻撃検出ルールのセットです。これを導入することで、SQLインジェクションやXSS攻撃などを幅広く防御できます。

sudo apt install owasp-modsecurity-crs

Apacheの設定ファイルで以下を追記してルールを適用します。

IncludeOptional /usr/share/modsecurity-crs/*.conf

Apacheの再起動

設定が完了したら、Apacheを再起動してmod_securityを有効化します。

sudo systemctl restart apache2

これでmod_securityのインストールと初期設定は完了です。次はXSS攻撃を防ぐための具体的なルール設定を行います。

XSS攻撃を防ぐルールの設定方法

mod_securityでは、XSS攻撃を防ぐためのルールを作成・適用することで、Webアプリケーションのセキュリティを強化できます。ここでは、基本的なルールの設定方法と実際の記述例を解説します。

XSS攻撃防止ルールの概要

mod_securityはHTTPリクエストやレスポンスを解析し、不審なスクリプトやタグが含まれている場合にブロックします。特に、<script>タグやJavaScriptのインジェクションがターゲットとなります。

基本的なルールの記述

XSS攻撃を防止するための基本的なルールは、mod_securityの設定ファイルに記述します。ルールはSecRuleディレクティブを使用して作成します。

1. シンプルなXSS防止ルール

HTMLタグの挿入を検出してブロックする基本的なルールです。

SecRule ARGS "<script>" "id:1001,phase:2,deny,status:403,msg:'XSS attack detected'"
SecRule ARGS "<iframe>" "id:1002,phase:2,deny,status:403,msg:'XSS attack detected'"
SecRule ARGS "<img src="javascript:"" "id:1003,phase:2,deny,status:403,msg:'XSS attack detected'"

• ARGS – クエリパラメータやPOSTデータを監視します。
• phase:2 – リクエストボディを解析するタイミングです。
• deny – 攻撃が検出された際にリクエストを拒否します。
• status:403 – 不正リクエストに対して403エラーを返します。
• msg – 検出された際のログメッセージです。

2. 危険なJavaScriptの検出

ユーザー入力内にJavaScriptが含まれている場合にブロックします。

SecRule ARGS "javascript:" "id:1004,phase:2,deny,status:403,msg:'Potential XSS detected'"
SecRule ARGS "onmouseover=" "id:1005,phase:2,deny,status:403,msg:'Potential XSS detected'"

このルールは、イベントハンドラによるXSS攻撃の試みを防止します。

ルールの適用

作成したルールは、mod_securityの設定ファイル（例：/etc/modsecurity/modsecurity.conf）に記述します。また、ルールファイルを別途作成してApache設定ファイルで読み込む方法もあります。

Include /etc/modsecurity/xss_rules.conf

ルールのテストと調整

設定後は、XSS攻撃をシミュレートしてルールが正しく動作しているか確認します。誤検知が多い場合は、SecRuleにnologを追加して一時的にログのみに切り替え、問題のあるパターンを特定します。

SecRule ARGS "<script>" "id:1001,phase:2,nolog,pass,msg:'Testing XSS rule'"

テストが完了したら、denyに戻して本番環境で適用します。

このようにmod_securityのルールを細かく設定することで、XSS攻撃を未然に防ぎ、安全なWebアプリケーション運用が可能になります。

実際の攻撃例と検出結果の確認方法

mod_securityの効果を確認するためには、XSS攻撃をシミュレーションし、ルールが正しく検出・防御されるかをテストすることが重要です。ここでは、簡単なXSS攻撃の例を用いてmod_securityの動作を確認する方法を解説します。

攻撃シミュレーションの準備

テスト環境でApacheとmod_securityが動作していることを確認します。さらに、SecRuleEngineがOnになっていることを確認してください。

SecRuleEngine On

次に、XSSテスト用のシンプルなWebページを作成します。

<!DOCTYPE html>
<html>
<head><title>XSS Test</title></head>
<body>
    <form action="/test" method="GET">
        <label for="input">Enter Text:</label>
        <input type="text" name="input" id="input">
        <button type="submit">Submit</button>
    </form>
</body>
</html>

このフォームを使ってXSS攻撃をシミュレートします。

XSS攻撃のシミュレーション

以下のURLにアクセスし、mod_securityが攻撃を検出するかを確認します。

http://localhost/test?input=<script>alert('XSS')</script>

このURLは典型的な反射型XSS攻撃の例です。フォーム入力欄に<script>alert('XSS')</script>と入力し、送信しても同様にテストできます。

mod_securityの反応を確認

Apacheのエラーログやmod_securityのログを確認して、攻撃が検出されたかを確認します。

sudo tail -f /var/log/apache2/error.log
sudo tail -f /var/log/modsec_audit.log

ログには以下のような記録が残ります。

Message: Access denied with code 403 (phase 2). Pattern match "<script>" at ARGS:input. [file "/etc/modsecurity/xss_rules.conf"] [line "10"] [id "1001"] [msg "XSS attack detected"]

このメッセージは、XSS攻撃が検出され、403エラーでリクエストが拒否されたことを示しています。

誤検知が発生した場合の対処

誤検知が発生した場合は、対象のルールを調整します。たとえば、特定のURLだけmod_securityを無効化する方法があります。

<Location /safe-url>
    SecRuleEngine Off
</Location>

または、特定のパラメータだけを除外する方法も有効です。

SecRuleRemoveById 1001

結果の確認と調整

攻撃シミュレーションとログ確認を繰り返し、ルールの精度を高めていきます。これにより、XSS攻撃を効果的に検出し、誤検知を減らすことができます。

mod_securityのXSS対策ルールが正しく機能することを確認し、安全なWebアプリケーション環境を構築しましょう。

ログの分析と誤検知の対応方法

mod_securityは強力な防御機能を提供しますが、時として正常なリクエストを攻撃と誤認する「誤検知」が発生することがあります。誤検知が頻発すると、ユーザーエクスペリエンスが損なわれる可能性があるため、適切にログを分析し、ルールを調整する必要があります。

mod_securityのログ確認方法

mod_securityはリクエストの解析結果をログに記録します。ログは通常以下の場所に生成されます。

/var/log/modsec_audit.log
/var/log/apache2/error.log

エラーや拒否されたリクエストを確認するには、以下のコマンドを使用します。

sudo tail -f /var/log/modsec_audit.log

またはApacheのエラーログも並行して確認します。

sudo tail -f /var/log/apache2/error.log

ログの内容の読み方

ログエントリは、攻撃が検出された際に詳細な情報を提供します。以下はXSS攻撃が検出された例です。

--abcd1234-A--
[05/Jan/2025:12:34:56 +0900] 192.168.1.1 12345 192.168.1.100 80
--abcd1234-B--
POST /test HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 35

input=<script>alert('XSS')</script>
--abcd1234-F--
HTTP/1.1 403 Forbidden
--abcd1234-H--
Message: Access denied with code 403 (phase 2). Pattern match "<script>" at ARGS:input. [file "/etc/modsecurity/xss_rules.conf"] [line "10"] [id "1001"] [msg "XSS attack detected"]

ログの各セクションの説明

• Aセクション – リクエストの基本情報（タイムスタンプ、IPアドレスなど）。
• Bセクション – リクエストヘッダや送信データの内容。
• Fセクション – サーバーから返されたレスポンスコード。403エラーが記録されます。
• Hセクション – ルールの一致情報。どのルールがトリガーされたかが記録されます。

誤検知の特定と対応

誤検知が発生した場合は、以下の方法で対処します。

1. ルールの無効化

特定のルールが誤検知を引き起こしている場合、そのルールだけを無効化します。

SecRuleRemoveById 1001

この例では、XSS攻撃を検出するルールID「1001」を無効にしています。

2. 特定URLでのmod_security無効化

特定のURLに対してmod_securityをオフにすることも可能です。

<Location /safe-endpoint>
    SecRuleEngine Off
</Location>

これにより、/safe-endpointではmod_securityが動作しません。

3. 特定パラメータの除外

一部のリクエストパラメータのみをmod_securityの検査対象から除外できます。

SecRuleUpdateTargetById 1001 !ARGS:input

この例では、inputパラメータはルール1001の検査対象から外れます。

ログを使ったチューニング

誤検知を防ぎつつセキュリティを維持するためには、ログを活用してルールを微調整することが重要です。

1. SecRuleEngine DetectionOnly を一時的に有効化し、攻撃のシミュレーションを実施します。

SecRuleEngine DetectionOnly

2. ルールのトリガー状況を確認し、必要に応じてルールを修正します。
3. チューニングが完了したら、再度Onに戻して防御を有効化します。

mod_securityのログを適切に分析し、誤検知を最小限に抑えることで、強固かつ柔軟なWebアプリケーション防御が実現できます。

カスタムルールの作成と応用例

mod_securityでは、デフォルトのルールセットに加えて独自のカスタムルールを作成することで、Webアプリケーションの特性に応じた柔軟なセキュリティ対策が可能です。ここでは、カスタムルールの作成方法と、実際の応用例を紹介します。

カスタムルール作成の基本

カスタムルールは、攻撃パターンに応じてHTTPリクエストやレスポンスを解析し、不審な動作を検出してブロックする役割を果たします。ルールはSecRuleディレクティブを使って記述します。

基本的なルール構文

SecRule VARIABLES "CONDITION" "ACTIONS"

• VARIABLES – 監視対象となるデータ（リクエストヘッダやクエリパラメータなど）。
• CONDITION – 不審なパターンや攻撃シグネチャを記述。
• ACTIONS – 条件に一致した際に実行されるアクション（deny、logなど）。

具体的な応用例

1. シンプルなXSS対策ルール

以下のルールは、<script>タグが含まれるリクエストを検出してブロックします。

SecRule ARGS "<script>" \
    "id:2001,phase:2,deny,status:403,msg:'XSS attack detected'"

• ARGS – クエリストリングやPOSTデータのパラメータを監視します。
• phase:2 – リクエストボディの解析段階でルールを適用します。

2. SQLインジェクション対策ルール

SQLインジェクション攻撃の代表的なパターンをブロックします。

SecRule ARGS "(UNION.*SELECT|SELECT.*FROM)" \
    "id:2002,phase:2,deny,status:403,msg:'SQL Injection attempt detected'"

• UNION.*SELECTやSELECT.*FROMは典型的なSQLインジェクションのパターンです。

3. 特定のファイルアップロード制限

ファイルアップロードの際に危険な拡張子（例：.php, .exe）をブロックするルールです。

SecRule FILES_NAMES "\.(php|exe|sh)$" \
    "id:2003,phase:2,deny,status:403,msg:'Illegal file upload attempt'"

• FILES_NAMES – アップロードされるファイル名を監視します。

4. IPアドレスによるアクセス制限

特定のIPアドレスからのアクセスをブロックします。

SecRule REMOTE_ADDR "^192\.168\.1\.100$" \
    "id:2004,phase:1,deny,status:403,msg:'Blocked IP address'"

• REMOTE_ADDR – アクセス元のIPアドレスをチェックします。

ルールの適用と運用

作成したカスタムルールは、mod_securityのルールファイル（例：/etc/modsecurity/custom_rules.conf）に記述し、Apache設定ファイルで読み込みます。

Include /etc/modsecurity/custom_rules.conf

Apacheの再起動

ルールを適用するために、Apacheを再起動します。

sudo systemctl restart apache2

効果的な運用のポイント

• 段階的な導入 – 初めはDetectionOnlyモードでルールを適用し、ログを確認してから本番環境に導入します。
• カスタムルールの見直し – 定期的にルールを見直し、最新の攻撃手法に対応する形で更新します。
• ログ解析の自動化 – ログ解析ツールを活用して、攻撃パターンを自動的に検出・対応します。

カスタムルールを適切に設定することで、mod_securityは単なるWAFにとどまらず、高度なセキュリティレイヤーとしてWebアプリケーションを保護します。

mod_securityと他のセキュリティ対策の併用方法

mod_securityは強力なWebアプリケーションファイアウォール（WAF）ですが、他のセキュリティツールと併用することで、より包括的な防御が可能になります。ここでは、mod_securityを他のセキュリティ対策と組み合わせてWebアプリケーションの防御力を高める方法について解説します。

WAFとIDS/IPSの併用

WAFはWebアプリケーション層の攻撃を防御する役割を果たしますが、ネットワーク層の攻撃は防ぎきれません。そこで、IDS（侵入検知システム）やIPS（侵入防止システム）と併用することで、全体のセキュリティレイヤーを強化できます。

Snortとmod_securityの併用

SnortはオープンソースのIDS/IPSであり、ネットワーク層での不審なトラフィックを検出します。mod_securityと連携して、検出された攻撃パターンをブロックするルールを自動生成することが可能です。

• Snortのインストールと設定

sudo apt install snort

• Snortで攻撃を検出し、mod_securityルールに反映

alert tcp any any -> $HOME_NET 80 (msg:"SQL Injection detected"; content:"UNION SELECT"; sid:10001;)

このルールでSQLインジェクションの兆候が検出された場合、mod_securityで同様のパターンをブロックするルールを作成します。

ファイアウォールとの連携

ネットワークレベルでのアクセス制御を行うファイアウォールとmod_securityを併用することで、不要なトラフィックを事前に遮断し、Webサーバーへの攻撃を最小限に抑えることができます。

• iptablesの使用例

sudo iptables -A INPUT -p tcp --dport 80 -s 192.168.1.100 -j DROP

特定のIPアドレスからのアクセスをブロックするルールを作成し、mod_securityと併用してアプリケーション層とネットワーク層の多層防御を実現します。

SSL/TLSによる通信の暗号化

mod_securityはHTTPレベルで動作しますが、通信内容が暗号化されていない場合は攻撃者に内容を盗聴される恐れがあります。SSL/TLSを導入して通信を暗号化し、安全な通信経路を確保します。

• Let’s Encryptを使用したSSLの導入例

sudo apt install certbot python3-certbot-apache
sudo certbot --apache -d example.com

これにより、HTTPS接続が有効になり、通信のセキュリティが向上します。

ログ分析ツールとの統合

mod_securityのログは膨大になることがあり、手動での分析は困難です。ELKスタック（Elasticsearch, Logstash, Kibana）を導入して、ログの視覚化とリアルタイム分析を行うことで、迅速に脅威を検出できます。

• Logstashの設定例

input {
  file {
    path => "/var/log/modsec_audit.log"
    start_position => "beginning"
  }
}
output {
  elasticsearch {
    hosts => ["localhost:9200"]
  }
}

• Kibanaでのログの可視化
  Kibanaを使用してmod_securityのログをダッシュボード化し、攻撃トレンドを視覚的に把握します。

コンテナ環境でのmod_security運用

Dockerなどのコンテナ環境では、Webアプリケーションとmod_securityを別のコンテナとして実行することが可能です。これにより、アプリケーションのセキュリティレイヤーを分離し、効率的にスケールアウトが行えます。

• mod_securityのDockerコンテナ作成例

docker run -d --name modsecurity-apache -p 80:80 owasp/modsecurity-crs

これにより、アプリケーションが動作するコンテナにmod_securityをプロキシとして導入できます。

総合的なセキュリティアプローチ

mod_securityを他のセキュリティツールと統合することで、多層防御のアプローチが可能になります。以下のポイントを意識して運用しましょう。

• 多層防御の原則 – アプリケーション層（mod_security）、ネットワーク層（ファイアウォール）、物理層（ハードウェアファイアウォール）の3層で防御。
• リアルタイム監視 – IDS/IPS、ログ監視ツールを活用して脅威をリアルタイムで検出。
• 定期的なルール更新 – 新たな脅威に対応するため、定期的にルールセットを更新。

mod_securityを中心に、ファイアウォール、IDS/IPS、SSL/TLSなどの他のセキュリティ対策を組み合わせることで、安全なWebアプリケーション環境を構築しましょう。

まとめ

本記事では、Apacheのmod_securityを活用してXSS攻撃を検出・防御する方法について詳しく解説しました。mod_securityは、Webアプリケーションを狙ったさまざまな攻撃から保護する強力なWAFであり、XSSだけでなくSQLインジェクションやディレクトリトラバーサルなどの脅威にも対応可能です。

インストールから初期設定、カスタムルールの作成、攻撃シミュレーション、ログ分析、他のセキュリティ対策との連携まで、実践的な方法を紹介しました。mod_securityを適切に導入・運用することで、Webアプリケーションのセキュリティレベルを大幅に向上させることができます。

多層防御のアプローチを意識し、ファイアウォールやIDS/IPS、SSL/TLSと併用することで、より堅牢なセキュリティ環境を構築しましょう。継続的なルールの更新と監視を行い、最新の脅威に備えることが重要です。