Apacheでスクリプトインジェクションを防ぐ設定方法と実例

Apacheは世界中で広く利用されているオープンソースのWebサーバーソフトウェアです。多機能で柔軟性が高いため、多くの企業や個人がWebサイトのホスティングに使用しています。しかし、その普及度の高さから攻撃対象になりやすく、特にスクリプトインジェクションの脅威は無視できません。

スクリプトインジェクション攻撃は、悪意のあるコードをWebサイトに埋め込み、ユーザーの情報を盗み出したり、サイトのコンテンツを改ざんしたりする行為です。これにより、サイトの信頼性が損なわれるだけでなく、データ漏洩やシステムの乗っ取りなど重大な被害が発生する可能性があります。

本記事では、Apacheで運営するWebサイトにおいてスクリプトインジェクションを防ぐための具体的な設定方法を解説します。初心者でも実践できる基本的なセキュリティ対策から、ModSecurityやContent Security Policy (CSP) などの高度な防御手段まで幅広く取り上げます。これにより、安全なWebサイト運用を実現し、サイバー攻撃の脅威からサイトを守る方法を学びましょう。

スクリプトインジェクションとは
Apacheでのスクリプトインジェクションの脅威と事例
基本的なセキュリティ設定
.htaccessを用いたインジェクション防止
ModSecurityによる保護強化
CSP(Content Security Policy)の導入
Apacheログ解析による脅威検知
設定のテストと検証
まとめ

スクリプトインジェクションとは

スクリプトインジェクションとは、Webアプリケーションに悪意のあるスクリプトを埋め込む攻撃手法の一つです。特にクロスサイトスクリプティング（XSS）が代表的で、攻撃者がユーザーのブラウザで任意のスクリプトを実行させることを目的としています。

攻撃の仕組み

攻撃者は、フォーム入力やURLパラメータなどのユーザー入力を介してスクリプトを挿入します。これにより、以下のようなリスクが生じます。

ユーザーのクッキー情報の窃取 – セッションハイジャックが可能になります。
フィッシングページの作成 – 偽のログイン画面を表示して、ユーザーの認証情報を盗むことができます。
Webサイトの改ざん – 正規のコンテンツが改ざんされ、意図しない動作を引き起こします。

被害の影響

スクリプトインジェクションは、攻撃が成功すると以下のような重大な被害をもたらします。

ユーザーデータの流出
Webサイトの信用失墜
サイト管理者への法的責任

スクリプトインジェクションが発生する要因

スクリプトインジェクションが発生する主な原因は次のとおりです。

ユーザー入力の適切なサニタイズ不足
不十分なエスケープ処理
不適切なレスポンス処理

これらの要因を理解し、適切な対策を講じることが、Webサイトのセキュリティを強化する第一歩となります。

Apacheでのスクリプトインジェクションの脅威と事例

Apacheは柔軟で拡張性が高いWebサーバーですが、その反面、適切に設定しなければスクリプトインジェクションの脅威にさらされる可能性があります。特に、ユーザーからの入力を処理する動的コンテンツを提供する場合、セキュリティ対策が不十分だと攻撃のリスクが高まります。

スクリプトインジェクションの典型的な攻撃経路

Apacheでのスクリプトインジェクションは、以下の経路で発生することが多いです。

フォーム入力 – フィードバックフォームやログインページなど、ユーザーがテキストを入力する箇所が狙われやすいです。
URLパラメータ – 特定のパラメータにスクリプトを挿入することで、ブラウザがそのスクリプトを実行してしまう場合があります。
クエリストリング – GETリクエストのパラメータに悪意のあるコードが含まれるケースです。

具体的な被害事例

以下は、実際に発生したApacheにおけるスクリプトインジェクションの事例です。

事例1：ECサイトのフォーム改ざん
あるECサイトでは、商品検索フォームにスクリプトが挿入され、管理者のクッキーが盗まれる事件が発生しました。これにより、管理者アカウントが不正に操作され、多額の被害が出ました。
事例2：ユーザープロファイルページの改ざん
ユーザーがプロフィールを更新する際に、スクリプトを挿入することで、他のユーザーがページを閲覧した際にフィッシングサイトへ誘導されるケースが報告されました。

Apacheで特に注意すべきポイント

古いバージョンの使用 – 古いバージョンのApacheでは、脆弱性が修正されていないことがあります。定期的なアップデートが必須です。
モジュールの設定ミス – CGIやPHPなどのモジュールが適切に設定されていない場合、攻撃の対象になりやすくなります。

Apacheで安全な環境を構築するためには、これらの事例を参考にしつつ、セキュリティ対策を強化する必要があります。

基本的なセキュリティ設定

Apacheでスクリプトインジェクションを防ぐためには、基本的なセキュリティ設定を適切に施すことが重要です。特に、不要な情報の露出を避けることで攻撃者のターゲットになるリスクを軽減できます。ここでは、Apacheの設定ファイル（httpd.conf）や.htaccessを使った基本的なセキュリティ対策を紹介します。

ディレクティブでサーバー情報を非表示にする

デフォルトでは、Apacheはエラーページやレスポンスヘッダーでサーバーのバージョン情報やOS情報を表示します。これらの情報は攻撃者にとって有用な手掛かりとなります。以下の設定で情報の露出を防ぎましょう。

httpd.conf の設定例：

ServerTokens Prod
ServerSignature Off

ServerTokens Prod：レスポンスヘッダーで「Apache」という最低限の情報のみ表示します。
ServerSignature Off：エラーページのフッター部分にサーバー情報を表示しません。

ディレクトリリスティングの無効化

ディレクトリリスティングが有効になっていると、指定したディレクトリのファイルが一覧表示されてしまいます。これを防ぐには、以下の設定を追加します。

<Directory /var/www/html>
    Options -Indexes
</Directory>

Options -Indexes：ディレクトリリストの表示を無効化し、「403 Forbidden」エラーを返します。

外部からのアクセス制限

特定のIPアドレスからのみ管理ディレクトリにアクセス可能にすることで、不正アクセスを防ぎます。

<Directory /var/www/html/admin>
    Order Deny,Allow
    Deny from all
    Allow from 192.168.1.0/24
</Directory>

Deny from all：デフォルトですべてのアクセスを拒否します。
Allow from 192.168.1.0/24：指定したIPレンジからのアクセスを許可します。

出力のエスケープ処理

Apache単体では不十分なため、PHPやCGIスクリプトでユーザー入力をHTMLエスケープする処理を追加します。

PHPでの例：

echo htmlspecialchars($_GET['param'], ENT_QUOTES, 'UTF-8');

htmlspecialchars：HTMLタグや特殊文字をエスケープして、スクリプトの挿入を防ぎます。

これらの基本的なセキュリティ設定を実施することで、Apacheを介したスクリプトインジェクションのリスクを効果的に軽減できます。

.htaccessを用いたインジェクション防止

Apacheでは、.htaccessファイルを使用してディレクトリ単位でのセキュリティ設定を行うことができます。特に、スクリプトインジェクションを防ぐためのフィルタリングやアクセス制御を簡単に追加できるため、セキュリティ強化に役立ちます。ここでは、スクリプトインジェクション防止のための具体的な.htaccess設定例を紹介します。

ユーザー入力の無害化

スクリプトタグや危険な文字列が入力された場合、自動的にブロックする方法です。

<IfModule mod_rewrite.c>
    RewriteEngine On
    # スクリプトタグのブロック
    RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC]
    RewriteRule .* - [F]
</IfModule>

RewriteCond：クエリ文字列内に<script>タグが含まれている場合に一致します。
RewriteRule：条件に一致するリクエストを403 Forbiddenで拒否します。

特定のファイルタイプへのアクセス制限

スクリプトファイル（PHP、CGIなど）への不正アクセスを防ぐ設定です。

<FilesMatch "\.(php|cgi|pl|py|sh|bash)$">
    Order Deny,Allow
    Deny from all
</FilesMatch>

FilesMatch：指定された拡張子のファイルへのアクセスをブロックします。
必要な場合は、管理者のIPアドレスだけを許可する設定を追加できます。

XSS対策としてのクロスサイトスクリプティング防止

クロスサイトスクリプティング（XSS）対策として、HTTPレスポンスヘッダーにセキュリティポリシーを追加します。

<IfModule mod_headers.c>
    # XSS防止ヘッダーを追加
    Header set X-XSS-Protection "1; mode=block"
    Header set Content-Security-Policy "default-src 'self'; script-src 'self'; object-src 'none'"
</IfModule>

X-XSS-Protection：ブラウザにXSSフィルタリングを強制します。
Content-Security-Policy：外部からのスクリプト実行を制限します。

アップロードディレクトリの保護

ユーザーがファイルをアップロードできるディレクトリを保護し、スクリプトが実行されないようにします。

<Directory "/var/www/html/uploads">
    Options -ExecCGI
    AddType text/plain .php .cgi .pl .py
</Directory>

Options -ExecCGI：CGIスクリプトの実行を禁止します。
AddType text/plain：PHPやCGIファイルを強制的にプレーンテキストとして扱います。

これらの.htaccessの設定は、スクリプトインジェクション攻撃を未然に防ぐ重要な対策となります。サイトごとに適切な設定を施し、安全なWeb環境を構築しましょう。

ModSecurityによる保護強化

ModSecurityは、Apacheに追加できるオープンソースのWebアプリケーションファイアウォール(WAF)です。スクリプトインジェクションをはじめとする多くのWeb攻撃からサーバーを保護する役割を担います。柔軟にルールを設定でき、リアルタイムで脅威を検出・防御できるため、Apacheのセキュリティを大幅に強化できます。

ModSecurityのインストールと有効化

まず、ModSecurityをインストールし、Apacheで有効化します。以下はCentOSとUbuntuでのインストール例です。

CentOS:

sudo yum install mod_security
sudo systemctl restart httpd

Ubuntu:

sudo apt install libapache2-mod-security2
sudo systemctl restart apache2

インストール後、Apacheを再起動してModSecurityを有効にします。

基本設定

インストール後、ModSecurityの設定ファイルを編集して基本的な防御ルールを有効化します。

sudo cp /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf

これにより、推奨されるセキュリティ設定が有効になります。
設定ファイル/etc/modsecurity/modsecurity.confを編集し、以下の行を確認・変更します。

SecRuleEngine On

SecRuleEngine On：ModSecurityがアクティブになり、攻撃を検出・防御します。

スクリプトインジェクション防止ルールの追加

ModSecurityには、スクリプトインジェクションを防ぐためのルールセットが用意されています。以下のルールを追加して防御を強化します。

SecRule ARGS "<script>" "id:10001,phase:2,deny,status:403,msg:'XSS Attack Detected'"
SecRule ARGS "(\.\./|\.\\\\)" "id:10002,phase:2,deny,status:403,msg:'Path Traversal Attack Detected'"
SecRule REQUEST_URI "(\%3C|\%3E)" "id:10003,phase:2,deny,status:403,msg:'URL Injection Detected'"

SecRule：リクエストパラメータやURIに対し、不正な文字列を検出した場合に403エラーを返します。
id：ルール識別番号で、重複しない番号を指定します。
phase：リクエスト処理の段階でルールを適用します。
msg：攻撃が検出された場合のログメッセージを設定します。

ルールセットの利用 (OWASP Core Rule Set)

OWASPが提供するCore Rule Set (CRS)を導入することで、一般的な攻撃を幅広く防御できます。

sudo apt install modsecurity-crs

インストール後、/etc/modsecurity/crs/crs-setup.confを設定してルールセットを有効にします。

IncludeOptional /usr/share/modsecurity-crs/*.conf

Apacheの設定ファイルに上記の行を追加することで、CRSが適用されます。

ModSecurityのテストと検証

ルールが正しく動作しているかをテストするには、以下の方法で疑似的にスクリプトインジェクション攻撃をシミュレーションします。

curl http://example.com/?q=<script>alert(1)</script>

正常に設定されていれば、403 Forbiddenが返ります。

ModSecurityを導入し、適切なルールセットを適用することで、Apacheサーバーはスクリプトインジェクションをはじめとする幅広い脅威から保護されます。定期的にルールを更新し、常に最新の脅威に備えましょう。

CSP(Content Security Policy)の導入

Content Security Policy (CSP) は、クロスサイトスクリプティング (XSS) やデータインジェクション攻撃を防ぐための強力なセキュリティメカニズムです。ApacheサーバーでCSPを設定することで、外部からの不正なスクリプトやリソースの読み込みを制限し、スクリプトインジェクションのリスクを軽減できます。

CSPの仕組み

CSPはHTTPレスポンスヘッダーにポリシーを追加することで、ブラウザに安全なコンテンツのロード元を指示します。許可されたソース以外のスクリプトやスタイルはブロックされるため、悪意のあるスクリプトの実行を防ぐことができます。

CSPの設定方法

ApacheでCSPを導入するには、.htaccessまたはhttpd.confに以下のような設定を追加します。

<IfModule mod_headers.c>
    Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://trusted.cdn.com; object-src 'none'; style-src 'self' 'unsafe-inline';"
</IfModule>

default-src 'self'：デフォルトで自身のドメインからのコンテンツのみ許可します。
script-src 'self' https://trusted.cdn.com：自身のドメインと特定のCDNからのスクリプトのみ実行を許可します。
object-src 'none'：プラグインやFlashなどのオブジェクト要素を完全に禁止します。
style-src 'self' 'unsafe-inline'：インラインスタイルを許可します。必要に応じて調整してください。

具体例：より厳密なCSP設定

外部リソースの読み込みを制限し、サイトのセキュリティを強化する例を示します。

Header set Content-Security-Policy "default-src 'self'; img-src 'self' https://images.example.com; frame-src 'none'; connect-src 'self' https://api.example.com; font-src 'self' https://fonts.gstatic.com;"

img-src：画像の読み込みを自身のドメインと特定のサーバーに限定します。
frame-src 'none'：iframeなどの埋め込みを禁止します。
connect-src：API通信は自身のドメインと外部APIサーバーに限定します。
font-src：フォントの読み込み元を制限します。

CSPの効果を確認する方法

ブラウザのデベロッパーツールを使用して、CSPが正しく適用されているか確認します。

Google Chrome：F12キーを押して「ネットワーク」タブや「コンソール」でCSPエラーを確認します。
エラー例：「Refused to load the script because it violates the following Content Security Policy directive」などが表示されます。

レポート専用モードでのテスト

CSPを有効化する前に、Content-Security-Policy-Report-Onlyを使用してテストモードで運用することができます。

Header set Content-Security-Policy-Report-Only "default-src 'self'; script-src 'self';"

エラーは記録されますが、ブロックされません。ログを確認しながらポリシーを調整できます。

CSP導入のメリット

XSS攻撃の防止：外部スクリプトの実行を制限し、悪意のあるコードの挿入を防ぎます。
サイト改ざん防止：スクリプトやスタイルの変更を防ぎ、サイトの一貫性を維持します。
セキュリティ強化：ブラウザベースでの防御層が増え、攻撃を受けにくい環境を構築できます。

CSPの導入は、Apacheを運用するWebサイトにおいて非常に有効なセキュリティ対策の一つです。適切なポリシーを設計し、サイトの安全性を向上させましょう。

Apacheログ解析による脅威検知

Apacheのアクセスログを解析することで、スクリプトインジェクションや不正アクセスの兆候を検出できます。ログは攻撃の証拠となるだけでなく、侵入試行の早期発見や対策の指針としても役立ちます。本節では、Apacheのログの基本的な見方と、脅威を検知するための具体的な手法を紹介します。

Apacheログの種類

Apacheには主に以下の2種類のログがあります。

アクセスログ (access.log)
サーバーへのすべてのリクエストが記録されます。攻撃者が不正なスクリプトを試みた痕跡が残ります。
エラーログ (error.log)
サーバーで発生したエラーが記録されます。スクリプトインジェクションが失敗した場合やモジュールの不具合などが出力されます。

アクセスログの例

192.168.1.10 - - [05/Jan/2025:14:32:00 +0000] "GET /index.php?q=<script>alert(1)</script> HTTP/1.1" 403 452

上記のログは、クエリパラメータ内にスクリプトタグが含まれているスクリプトインジェクションの試みを示しています。

ログ解析ツールの導入

大量のログから不審なリクエストを効率的に検出するには、解析ツールを活用します。

GoAccessのインストールと使用方法 (リアルタイム解析)

sudo apt install goaccess
cat /var/log/apache2/access.log | goaccess --log-format=COMBINED

リアルタイムで不審なアクセスを視覚的に解析できます。

Grepを使った簡易スクリプトインジェクション検出

grep -E "(\<script\>|\%3Cscript\%3E)" /var/log/apache2/access.log

特定の文字列を含むリクエストを抽出します。
%3Cは「<」、%3Eは「>」のURLエンコード形式です。

自動アラート設定

特定のパターンが検出された場合に、自動で管理者に通知する仕組みを構築できます。

Fail2Banの導入と設定例

sudo apt install fail2ban

/etc/fail2ban/jail.localを編集して、Apacheのアクセスログを監視します。

[apache-script-injection]
enabled = true
port = http,https
filter = apache-script
logpath = /var/log/apache2/access.log
maxretry = 3
bantime = 3600

フィルタ設定 (/etc/fail2ban/filter.d/apache-script.conf)

[Definition]
failregex = <HOST>.*GET.*\?(.*)(<script>|%3Cscript%3E)

これにより、スクリプトインジェクションの試行が複数回確認された場合、該当IPアドレスが自動でブロックされます。

手動ログ解析での脅威検出

手動で不審なログを見つける場合は、以下のような指標に着目します。

クエリストリング内の<script>タグ
長いURLパラメータ（攻撃ペイロードの可能性）
403 (Forbidden) や 404 (Not Found) が頻繁に記録されるIPアドレス

攻撃元のIPアドレスを特定する例

awk '{print $1}' /var/log/apache2/access.log | sort | uniq -c | sort -nr | head -20

最も多くリクエストを送信しているIPを特定できます。

攻撃の傾向を可視化

攻撃パターンを可視化することで、攻撃の時間帯や頻度が一目で分かります。

cat /var/log/apache2/access.log | awk '{print $4}' | cut -d: -f2 | sort | uniq -c | sort -nr

時間ごとのアクセス数をカウントして、攻撃が集中する時間帯を把握します。

まとめ

Apacheのログ解析は、スクリプトインジェクションを含む攻撃を検出する上で非常に有効です。リアルタイム解析や自動通知システムを組み合わせて、不正アクセスの兆候を素早く察知し、サイトの安全性を高めましょう。

設定のテストと検証

スクリプトインジェクション対策を施した後は、適切に設定が機能しているかをテストして検証することが重要です。防御が不十分であれば、依然として攻撃を受けるリスクが残るため、実際にシミュレーションを行い、Apacheのセキュリティを確認しましょう。

インジェクションテストの方法

実際にスクリプトインジェクション攻撃をシミュレートして、設定が正しく動作するかを確認します。

curlコマンドを使った簡易テスト

curl http://example.com/?q=<script>alert(1)</script>

このテストでは、クエリパラメータに<script>タグを挿入し、サーバーが403 Forbiddenを返すか確認します。
適切に設定されていれば、ブラウザやターミナルにスクリプトが実行されず、403エラーが表示されます。

長いパラメータを使ったテスト

curl http://example.com/?q=<script>alert(1);aaaaaaaaaaaaaaaaaaaaaaaaaaaa</script>

長い文字列を挿入することで、バッファオーバーフローやフィルターの回避を試みます。
これが防がれるか確認することで、脆弱性がないかテストできます。

ブラウザでのXSSテスト

ブラウザで直接URLを入力してXSSを試みる方法もあります。

http://example.com/search?q=<script>alert('XSS')</script>

ブラウザのコンソールやアラートウィンドウが表示されないことを確認します。
もしアラートが出る場合はCSP(Content Security Policy)やModSecurityの設定を再確認する必要があります。

ModSecurityのテスト

ModSecurityが有効になっているかを確認するには、以下の方法でルールを試します。

curl http://example.com/?test=<script>alert('modsec')</script>

ログ (/var/log/apache2/error.log)を確認して、ModSecurityがリクエストをブロックしたかチェックします。

grep "modsec" /var/log/apache2/error.log

ブロックされた場合は「403 Forbidden」のログが記録されます。

.htaccessのテスト

.htaccessでのスクリプトインジェクション防止が機能しているかを確認します。

テスト例：

curl http://example.com/test.php?q=<script>alert('htaccess')</script>

.htaccessでRewriteRuleを設定している場合、403が返ることを確認します。

ログ確認：

tail -f /var/log/apache2/access.log

スクリプトインジェクションが試みられたアクセスが記録されているか確認します。

テストツールの利用

専用のセキュリティツールを使うことで、より包括的にインジェクション攻撃をシミュレートできます。

OWASP ZAP (Zed Attack Proxy)

Webアプリケーションの脆弱性スキャンが可能です。

sudo apt install zaproxy

ターゲットサイトを指定して、スクリプトインジェクションが試みられるかを自動でスキャンします。

Burp Suite

プロキシを介してリアルタイムでリクエストをキャプチャし、スクリプトインジェクションを含むセキュリティテストが可能です。

防御設定の見直し

テストの結果、スクリプトが実行されてしまった場合は、以下の項目を見直します。

CSPポリシーの強化
ModSecurityルールセットの追加または調整
.htaccessでのRewriteルールの強化
Apacheバージョンの最新化

設定の自動検証

セキュリティ対策が正しく動作しているか定期的に自動検証することも有効です。
シェルスクリプト例：

#!/bin/bash
URL="http://example.com/"
ATTACK="<script>alert('test')</script>"
if curl -s "$URL?q=$ATTACK" | grep -q "403 Forbidden"; then
    echo "Injection blocked successfully."
else
    echo "Injection detected. Review Apache settings."
fi

定期的に実行し、脆弱性が発生していないかを自動で監視します。

まとめ

スクリプトインジェクション防止設定は、必ずテストと検証を行い、実際の攻撃シナリオを想定して防御力を確認することが不可欠です。ModSecurity、CSP、.htaccessの各設定が連携して正しく動作しているか定期的に確認し、セキュリティを強化していきましょう。

まとめ

本記事では、Apacheにおけるスクリプトインジェクション防止のための具体的な設定方法について解説しました。スクリプトインジェクションはWebサイトのセキュリティを脅かす代表的な攻撃であり、適切な対策を講じることが重要です。

基本的なセキュリティ設定から、.htaccessの活用、ModSecurityによる高度な防御、CSPの導入、ログ解析による脅威検知、さらには設定のテストと検証までを網羅しました。

これらの対策を組み合わせて運用することで、スクリプトインジェクションのリスクを最小限に抑え、安全なWeb環境を維持できます。セキュリティ対策は一度設定して終わりではなく、継続的にテストと見直しを行い、常に最新の状態を保つことが重要です。