ユースケース固有のルールグループ - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
SQL データベースLinux オペレーティングシステムPOSIX オペレーティングシステムWindows オペレーティングシステムPHP アプリケーションWordPress アプリケーション

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

ユースケース固有のルールグループ

ユースケース固有のルールグループは、さまざまな AWS WAF ユースケースに対して段階的な保護を提供します。アプリケーションに適用するルールグループを選択します。

SQL データベースマネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesSQLiRuleSet、WCU: 200

注記

このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、AWS マネージドルール変更ログ の変更ログにレポートされます。他のバージョンの情報については、API コマンド DescribeManagedRuleGroup を使用してください。

AWS マネージドルールのルールグループでのルールに関して公開される情報は、悪意のある人物にルールを回避するために必要なものを提供するのではなく、お客様にルールを使用するために必要なものを提供することを目的としています。

ここに記載されている以上の情報が必要な場合は、AWS サポート センター にお問い合わせください。

SQL Database ルールグループには、SQL インジェクション攻撃などの SQL データベースの悪用に関連するリクエストパターンをブロックするルールが含まれています。これにより、不正なクエリのリモートインジェクションを防ぐことができます。アプリケーションが SQL データベースと連結している場合は、このルールグループを評価します。

このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。

ルール名 説明とラベル
SQLi_QUERYARGUMENTS

感度レベルを Low に設定した状態で組み込みの AWS WAF SQL インジェクション攻撃ルールステートメントを使用して、悪意のある SQL コードと一致するパターンがないかを確認するために、すべてのクエリパラメータの値を検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:sql-database:SQLi_QueryArguments
SQLiExtendedPatterns_QUERYARGUMENTS

すべてのクエリパラメータの値に、悪意のある SQL コードに一致するパターンがないかを検査します。このルールが検査するパターンは、ルール SQLi_QUERYARGUMENTS の対象外です。

ルールアクション: Block

[ラベル:awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments]
SQLi_BODY

感度レベルを Low に設定した状態で組み込みの AWS WAF SQL インジェクション攻撃ルールステートメント を使用して、悪意のある SQL コードと一致するパターンがないかを確認するために、リクエスト本文を検査します。

警告

このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と AWS AppSync の場合、その制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「AWS WAF のオーバーサイズウェブリクエストコンポーネント」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:sql-database:SQLi_Body
SQLiExtendedPatterns_BODY

リクエストボディに、悪意のある SQL コードに一致するパターンがないかを検査します。このルールが検査するパターンは、ルール SQLi_BODY の対象外です。

警告

このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と AWS AppSync の場合、その制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「AWS WAF のオーバーサイズウェブリクエストコンポーネント」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body
SQLi_COOKIE

感度レベルを Low に設定した状態で組み込みの AWS WAF SQL インジェクション攻撃ルールステートメント を使用して、悪意のある SQL コードと一致するパターンがないかを確認するために、リクエストの Cookie ヘッダーを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:sql-database:SQLi_Cookie
SQLi_URIPATH

感度レベルを Low に設定した状態で組み込みの AWS WAF SQL インジェクション攻撃ルールステートメント を使用して、悪意のある SQL コードと一致するパターンがないかを確認するために、リクエストの Cookie ヘッダーを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:sql-database:SQLi_URIPath

Linux オペレーティングシステムマネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesLinuxRuleSet、WCU: 200

注記

このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、AWS マネージドルール変更ログ の変更ログにレポートされます。他のバージョンの情報については、API コマンド DescribeManagedRuleGroup を使用してください。

AWS マネージドルールのルールグループでのルールに関して公開される情報は、悪意のある人物にルールを回避するために必要なものを提供するのではなく、お客様にルールを使用するために必要なものを提供することを目的としています。

ここに記載されている以上の情報が必要な場合は、AWS サポート センター にお問い合わせください。

Linux オペレーティングシステムルールグループには、Linux 固有のローカルファイルインクルージョン (LFI) 攻撃など、Linux 固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。これにより、攻撃者がアクセスしてはならないファイルの内容を公開したり、コードを実行したりする攻撃を防ぐことができます。アプリケーションの一部が Linux で実行されている場合は、このルールグループを評価する必要があります。このルールグループは、POSIX オペレーティングシステム ルールグループと組み合わせて使用する必要があります。

このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。

ルール名 説明とラベル
LFI_URIPATH

リクエストパスに、ウェブアプリケーションのローカルファイルインクルージョン (LFI) の脆弱性を悪用する試みがないかを検査します。パターンの例には、攻撃者にオペレーティングシステムの情報を提供できる /proc/version などのファイルがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:linux-os:LFI_URIPath
LFI_QUERYSTRING

クエリ文字列の値に、ウェブアプリケーションのローカルファイルインクルージョン (LFI) の脆弱性を悪用する試みがないかを検査します。パターンの例には、攻撃者にオペレーティングシステムの情報を提供できる /proc/version などのファイルがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:linux-os:LFI_QueryString
LFI_HEADER

リクエストヘッダーに、ウェブアプリケーションのローカルファイルインクルージョン (LFI) の脆弱性を悪用する試みの有無を検査します。パターンの例には、攻撃者にオペレーティングシステムの情報を提供できる /proc/version などのファイルがあります。

警告

このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「AWS WAF のオーバーサイズウェブリクエストコンポーネント」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:linux-os:LFI_Header

POSIX オペレーティングシステムマネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesUnixRuleSet、WCU: 100

注記

このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、AWS マネージドルール変更ログ の変更ログにレポートされます。他のバージョンの情報については、API コマンド DescribeManagedRuleGroup を使用してください。

AWS マネージドルールのルールグループでのルールに関して公開される情報は、悪意のある人物にルールを回避するために必要なものを提供するのではなく、お客様にルールを使用するために必要なものを提供することを目的としています。

ここに記載されている以上の情報が必要な場合は、AWS サポート センター にお問い合わせください。

POSIX オペレーティングシステムルールグループには、POSIX および POSIX と同等のオペレーティングシステムに固有の脆弱性の悪用 (ローカルファイルインクルージョン (LFI) 攻撃など) に関連するリクエストパターンをブロックするルールが含まれています。これにより、攻撃者がアクセスしてはならないファイルの内容を公開したり、コードを実行したりする攻撃を防ぐことができます。アプリケーションの一部が POSIX または POSIX と同等のオペレーティングシステム (Linux、AIX、HP-UX、macOS、Solaris、FreeBSD、OpenBSD など) で実行されている場合は、このルールグループを評価する必要があります。

このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。

ルール名 説明とラベル
UNIXShellCommandsVariables_QUERYSTRING

Unix システム上で動作するウェブアプリケーションにおいて、コマンドインジェクション、LFI、およびパストラバーサルの脆弱性を悪用しようとする試みを検出するために、クエリ文字列の値を検査します。パターンの例には、echo $HOMEecho $PATH などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString
UNIXShellCommandsVariables_BODY

リクエストボディに、Unix システムで実行されるウェブアプリケーションのコマンドインジェクション、LFI、パストラバーサルの脆弱性を悪用する試みがないかを検査します。パターンの例には、echo $HOMEecho $PATH などがあります。

警告

このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と AWS AppSync の場合、その制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「AWS WAF のオーバーサイズウェブリクエストコンポーネント」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body
UNIXShellCommandsVariables_HEADER

すべてのリクエストヘッダーに、Unix システムで実行されるウェブアプリケーションのコマンドインジェクション、LFI、パストラバーサルの脆弱性を悪用する試みがないかを検査します。パターンの例には、echo $HOMEecho $PATH などがあります。

警告

このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「AWS WAF のオーバーサイズウェブリクエストコンポーネント」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header

Windows オペレーティングシステムマネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesWindowsRuleSet、WCU: 200

注記

このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、AWS マネージドルール変更ログ の変更ログにレポートされます。他のバージョンの情報については、API コマンド DescribeManagedRuleGroup を使用してください。

AWS マネージドルールのルールグループでのルールに関して公開される情報は、悪意のある人物にルールを回避するために必要なものを提供するのではなく、お客様にルールを使用するために必要なものを提供することを目的としています。

ここに記載されている以上の情報が必要な場合は、AWS サポート センター にお問い合わせください。

Windows オペレーティングシステムのルールグループには、PowerShell コマンドのリモート実行など、Windows 固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。これにより、攻撃者が不正なコマンドまたは悪意のあるコードを実行できる脆弱性の悪用を防ぐことができます。アプリケーションの一部が Windows オペレーティングシステムで実行されている場合は、このルールグループを評価します。

このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。

ルール名 説明とラベル
WindowsShellCommands_COOKIE

ウェブアプリケーションでの WindowsShell コマンドインジェクションの試行についてリクエスト cookie ヘッダーを検査します。一致パターンは WindowsShell コマンドを表します。パターンの例には、||nslookup;cmd などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie

WindowsShellCommands_QUERYARGUMENTS

ウェブアプリケーションでの WindowsShell コマンドインジェクションの試行についてすべてのクエリパラメータの値を検査します。一致パターンは WindowsShell コマンドを表します。パターンの例には、||nslookup;cmd などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments

WindowsShellCommands_BODY

ウェブアプリケーションでの WindowsShell コマンドインジェクションの試行についてリクエストボディの値を検査します。一致パターンは WindowsShell コマンドを表します。パターンの例には、||nslookup;cmd などがあります。

警告

このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と AWS AppSync の場合、その制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「AWS WAF のオーバーサイズウェブリクエストコンポーネント」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:windows-os:WindowsShellCommands_Body

PowerShellCommands_COOKIE

ウェブアプリケーションでの PowerShell コマンドインジェクションの試行についてリクエスト cookie を検査します。一致パターンは PowerShell コマンドを表します。例えば、Invoke-Expression

ルールアクション: Block

ラベル: awswaf:managed:aws:windows-os:PowerShellCommands_Cookie
PowerShellCommands_QUERYARGUMENTS

ウェブアプリケーションでの PowerShell コマンドインジェクションの試行についてすべてのクエリパラメータの値を検査します。一致パターンは PowerShell コマンドを表します。例えば、Invoke-Expression

ルールアクション: Block

ラベル: awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments
PowerShellCommands_BODY

ウェブアプリケーションでの PowerShell コマンドインジェクションの試行についてリクエストボディを検査します。一致パターンは PowerShell コマンドを表します。例えば、Invoke-Expression

警告

このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と AWS AppSync の場合、その制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「AWS WAF のオーバーサイズウェブリクエストコンポーネント」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:windows-os:PowerShellCommands_Body

PHP アプリケーションマネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesPHPRuleSet、WCU: 100

注記

このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、AWS マネージドルール変更ログ の変更ログにレポートされます。他のバージョンの情報については、API コマンド DescribeManagedRuleGroup を使用してください。

AWS マネージドルールのルールグループでのルールに関して公開される情報は、悪意のある人物にルールを回避するために必要なものを提供するのではなく、お客様にルールを使用するために必要なものを提供することを目的としています。

ここに記載されている以上の情報が必要な場合は、AWS サポート センター にお問い合わせください。

PHP アプリケーションルールグループには、安全でない PHP 関数のインジェクションなど、PHP プログラミング言語の使用に固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。これにより、攻撃者が許可されていないコードまたはコマンドを遠隔で実行できる脆弱性の悪用を防ぐことができます。アプリケーションが連結するサーバーに PHP がインストールされている場合は、このルールグループを評価します。

このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。

ルール名 説明とラベル
PHPHighRiskMethodsVariables_HEADER

PHP スクリプトコードインジェクションの試行について、すべてのヘッダーを検査します。パターンの例には、fsockopen$_GET スーパーグローバル変数などの関数があります。

警告

このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「AWS WAF のオーバーサイズウェブリクエストコンポーネント」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header
PHPHighRiskMethodsVariables_QUERYSTRING

リクエスト URL の最初の ? 以降をすべて検査し、PHP スクリプトコードインジェクションの試行がないかを調べます。パターンの例には、fsockopen$_GET スーパーグローバル変数などの関数があります。

ルールアクション: Block

ラベル: awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString
PHPHighRiskMethodsVariables_BODY

リクエストボディの値に、PHP スクリプトコードインジェクションがないかを検査します。パターンの例には、fsockopen$_GET スーパーグローバル変数などの関数があります。

警告

このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と AWS AppSync の場合、その制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「AWS WAF のオーバーサイズウェブリクエストコンポーネント」を参照してください。

ルールアクション: Block

[ラベル:awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body]

WordPress アプリケーションマネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesWordPressRuleSet、WCU: 100

注記

このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、AWS マネージドルール変更ログ の変更ログにレポートされます。他のバージョンの情報については、API コマンド DescribeManagedRuleGroup を使用してください。

AWS マネージドルールのルールグループでのルールに関して公開される情報は、悪意のある人物にルールを回避するために必要なものを提供するのではなく、お客様にルールを使用するために必要なものを提供することを目的としています。

ここに記載されている以上の情報が必要な場合は、AWS サポート センター にお問い合わせください。

WordPress アプリケーションルールグループには、WordPress サイト固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。WordPress を実行している場合は、このルールグループを評価する必要があります。このルールグループは、SQL データベース および PHP アプリケーション ルールグループと組み合わせて使用する必要があります。

このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。

ルール名 説明とラベル
WordPressExploitableCommands_QUERYSTRING

リクエストクエリ文字列に、脆弱なインストールまたはプラグインで悪用される可能性のある高リスクの WordPress コマンドがないかを検査します。パターンの例には、do-reset-wordpress などのコマンドがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING
WordPressExploitablePaths_URIPATH

リクエストの URI パスに、脆弱性が簡単に悪用されることがわかっている xmlrpc.php などの WordPress ファイルがないかを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH