システムシグナルの使用
- English
- 日本語
次の情報から、システムシグナルに関するさまざまな詳細がわかります。
長い名前 : 口頭で参照または説明するために使用できる信号の名前。
短縮名 : 照合されたリクエストに適用され、コンソール内で検索に使用できるシグナルの名前。
使用可能な場所 : シグナルを使用できる場所の概要。選択肢はリスト、レート制限ルール、リクエストルール、またはシグナル除外です。None は、シグナルはありますが、その情報コンテキスト以外では使用できないことを示します。
説明 : シグナルの意味、または示す内容の概要。
攻撃
攻撃シグナルは、ハッキング、破壊、無効化、盗難、不正アクセス、その他有害な行動を行うように設計された攻撃ペイロードを含む悪意のあるリクエストを表すラベルです。
| 長い名前 | 短縮名 | 使用可能な場所 | 説明 |
| 攻撃ツール | USERAGENT | 攻撃ツールは、自動化されたソフトウェアを使用してセキュリティの脆弱性を特定したり、発見された脆弱性を悪用しようとすることです。 | |
| AWS SSRF | AWS-SSRF | サーバーサイド・リクエスト・フォージェリ (SSRF) は、Web アプリケーションが内部システムを対象に送信しようとするリクエストです。AWS SSRF 攻撃は、SSRFを利用して Amazon Web Services (AWS) のキーを取得し、S3 バケットとそのデータにアクセスします。このシグナルは Essential プラットフォームには含まれていません。 | |
| バックドア | BACKDOOR | バックドアシグナルは、システム上に共通のバックドアファイルが存在するかどうかを判断しようとするリクエストです。シグナルは一般的に既知のバックドアファイル名と一致します。従来、これらのファイル名は admin.php および r57.php のような PHP ファイル拡張子で表示されます。しかし、これらのパスが 200 または予期よりも大きなレスポンスを返す場合、システムが侵害されたか、知らないうちにバックドアファイルがホストされている可能性があります。 | |
| コマンド実行 | CMDEXE | コマンド実行は、任意のオペレーティングシステムコマンドを使用してターゲットシステムをコントロールしたり、損害を与えたりする試みです。 | |
| クロスサイトスクリプティング | XSS | クロスサイトスクリプティングは、悪意のある JavaScript コードを使用して個人のアカウントや Web 閲覧セッションをハイジャックしようとする試みです。 | |
| ディレクトリトラバーサル | TRAVERSAL | ディレクトリトラバーサルとは、システム全体の特権フォルダーを移動して機密情報を取得しようとする試みです。 | |
| Log4J JNDI | LOG4J-JNDI | Log4J JNDI 攻撃は、2.16.0 より前のバージョンの Log4J に存在する Log4Shell の脆弱性を悪用しようとします。 | |
| SQL インジェクション | SQLI | SQL インジェクションは、任意のデータベースクエリを実行してアプリケーションへのアクセスを取得したり、特権情報を取得したりする試みです。 |
異常
異常シグナルは異常なリクエストを説明するラベルです。本質的に悪意のあるものではありませんが、異常なリクエストは、望ましくないトラフィックや不正なトラフィックを示している可能性があります。例としては、不正な形式のリクエストデータや既知のスキャナーから発信されたリクエストなどが挙げられます。
| 長い名前 | 短縮名 | 使用可能な場所 | 説明 |
| 異常なパス | ABNORMALPATH | 異常なパスは、元のパスが正規化されたパスとは異なることを示します (例 : /foo/./bar は /foo/bar に正規化されます)。 | |
| API 仕様の不一致 | API-SPEC-MISMATCH | 提供された API 仕様から逸脱したリクエストを示します。このシグナルはOpenAPI 仕様 v3.0 とのみ互換性があり、Next-Gen WAF のオンプレミス WAF のデプロイで利用可能です。この機能を有効化するには、アカウントマネージャーにご連絡いただくか、sales@fastly.com まで電子メールをお送りください。 | |
| 不正なホップヘッダー | BHH | 不正なホップヘッダーは、不正な Transfer-Encoding (TE) または Content-Length (CL) ヘッダー、あるいは適切に形成された TE と CL ヘッダーを通じた HTTP スマグリングが試みられたことを示します。このシグナルは、オンプレミス WAF およびクラウド WAF デプロイのみで利用可能です。 | |
| ブロックされたリクエスト | BLOCKED | なし | リクエストは Next-Gen WAF によってブロックされました |
| コードインジェクション PHP | CODEINJECTION | コードインジェクションは、任意のアプリケーションコードコマンドを使用してターゲットシステムをコントロールしたり、損害を与えたりする試みです。 | |
| 圧縮が検出されました | COMPRESSED | POST リクエスト本文が圧縮されており、検査できません。例えば、Content-Encoding: gzip リクエストヘッダーが指定され、POST リクエストの本文がプレーンテキストでない場合などです。 | |
| 欺瞞レスポンス | DECEPTION | なし | Next-Gen WAF が欺瞞レスポンスを返したリクエストを示します。このシグナルは、エッジ WAF をデプロイしている顧客のみ利用可能ですが、Essential または Professional プラットフォームでは利用できません。 |
| Fastly 未知のバックエンド | FASTLY-UNKNOWN-BACKEND | エッジ WAFに存在しないバックエンドへのリクエストを示します。 | |
| 強制ブラウジング | FORCEFULBROWSING | 強制ブラウジングは管理者ページへのアクセスに失敗した試みです。 | |
| GraphQL の重複変数 | GRAPHQL-DUPLICATE-VARIABLES | 重複変数を含む GraphQL リクエストを示します。 | |
| GraphQL の最大深度 | GRAPHQL-DEPTH | GraphQL API のクエリリクエストが、サーバーで許可された最大深さに達した、または超過していることを示します。 | |
| GraphQL の必須オペレーション名が見つかりません | GRAPHQL-MISSING-REQUIRED-OPERATION-NAME | これは、リクエストに複数の GraphQL オペレーションが含まれていて、どのオペレーションを実行すべきか定義されていないことを示します。 | |
| GraphQL シンタックス | GRAPHQL-SYNTAX | 無効な GraphQL シンタックスを含むリクエストを示します。これはプログラミングエラーや悪意あるリクエストに関連している場合があります。 | |
| GraphQL の未定義変数 | GRAPHQL-UNDEFINED-VARIABLES | 関数の想定よりも多くの変数を含む GraphQL API へのリクエストを示します。これは悪意のあるリクエストを難読化するために使われます。 | |
| HTTP 403 エラー | HTTP403 | 禁止。これは通常、URL のリクエストがサーバーの設定によって保護されている場合に見られます。 | |
| HTTP 404 エラー | HTTP404 | 未検出。これは、ページやアセットのリクエストが存在しないか、サーバーで見つからない場合によく見られます。 | |
| HTTP 429 エラー | HTTP429 | リクエストが多すぎます。これは、サーバーへのアクティブな接続数を減らすためにレート制限が使用される場合によく見られます。 | |
| HTTP 4XX エラー | HTTP4XX | 4xx ステータスコードは、一般的にクライアントのリクエストエラーを指します。 | |
| HTTP 500 エラー | HTTP500 | 内部サーバーエラー。これは、リクエストにより未処理のアプリケーションエラーが発生する際によく見られます。 | |
| HTTP 503 エラー | HTTP503 | サービス利用不可。これはウェブサービスが過負荷になったり、メンテナンスのために停止されたりする際によく見られます。 | |
| HTTP 5XX エラー | HTTP5XX | 5xx ステータスコードは一般的にサーバー関連の問題を指します。 | |
| HTTP レスポンス分割 | RESPONSESPLIT | HTTP レスポンスにヘッダーを挿入するために、CRLF 文字がアプリケーションへの入力としていつ送信されたかを特定します。 | |
| 安全でない認証および認可 | INSECURE-AUTH | 安全でない認証・認可 (None アルゴリズムを使用した JSON Webトークンの使用など)。 | |
| 無効なエンコーディング | NOTUTF8 | 無効なエンコーディングにより、サーバーがリクエストから悪意のある文字をレスポンスに変換する可能性があり、これがサービス妨害攻撃または XSS を引き起こす可能性があります。 | |
| リクエスト本文内の不正なデータ | MALFORMED-DATA | Content-Type リクエストヘッダーに従って不形式な投稿する、PUT、または PATCH リクエスト本文です。たとえば、Content-Type: application/x-www-form-urlencoded リクエストヘッダーが指定され、json である POST 本文が含まれている場合などです。これは多くの場合、プログラミングエラー、自動化されたリクエスト、または悪意のあるリクエストです。 | |
| 悪意のある IP トラフィック | SANS | 定期的にインポートされる SANS Internet Storm Center のリストは、悪意のある活動を行ったと報告されている IP アドレスのリストです。 | |
| SigSci の悪意のある IP アドレス | SIGSCI-IP | 当社の判定エンジンが悪意のあるシグナルを検出して IP をフラグした場合、その IP はすべての顧客に伝播されます。その後、フラグの期間中、追加のシグナルを含むそれらの IP アドレスからの後続のリクエストをログに記録します。 | |
Content-Typeリクエストヘッダーがありません | NO-CONTENT-TYPE | Content-Type リクエストヘッダーのないPOST、PUT、または PATCH リクエスト。この場合、デフォルトではアプリケーションサーバーは Content-Type: text/plain; charset=us-ascii を前提とします。多くの自動化されたリクエストや悪意のあるリクエストが Content Type を欠いている可能性があります。 | |
| User Agent がありません | NOUA | リクエストに User-Agent ヘッダーが含まれていなかったか、ヘッダー値が設定されていないことを示します。 | |
| ヌルバイト | NULLBYTE | 通常、ヌルバイトはリクエストに現れず、リクエストが不正な形式で潜在的に悪意のあるものであることを示します。 | |
| 帯域外ドメイン | OOB-DOMAIN | 一般的に外部ドメインはペネトレーションテストでネットワークへのアクセスを可能にする脆弱性の特定に使用されます。 | |
| プライベートファイル | PRIVATEFILE | プライベートファイルは通常、Apache の .htaccess ファイルや機密情報を漏らす可能性のある設定ファイルのように高い機密性を持っています。 | |
| レート制限されたリクエスト | rate-limit | なし | レート制限ルールのしきい値を超えたリクエストを特定します。 |
| スキャナー | SCANNER | 人気のあるサービスとツールを特定します。 | |
| 検索ボット偽装 | IMPOSTOR | 検索ボット偽装とは、Google または Bing の検索ボットを装っているが、正当ではない人物のことです。このシグナルを悪意の指標として使用しないでください。 |
ボット
ボットシグナルとは、疑わしい、または検証されたボットのリクエストを表すラベルです。
重要 : シグナルの説明に特に記載がない限り、ボットシグナルはエッジ WAF デプロイでのみ利用可能です。
| 長い名前 | 短縮名 | 使用可能な場所 | 説明 |
| アクセシビリティ | VERIFIED-BOT.ACCESSIBILITY | コンテンツをアクセシブルにするツール (例: スクリーンリーダー)。 | |
| チャレンジトークンが無効です | CHALLENGE-TOKEN-INVALID | 有効なボットチャレンジトークンが含まれていないリクエストを示します。 | |
| チャレンジトークンが有効です | CHALLENGE-TOKEN-VALID | 有効なボットチャレンジトークンを含むリクエストを示します。 | |
| チャレンジされたリクエスト | CHALLENGED | なし | Next-Gen WAF によってクライアントチャレンジが発行されたリクエストを示します。 |
| クライアント側 Cookie が有効 | CLIENTSIDE-COOKIE-VALID | 高度なクライアントサイド検知によって設定された有効なクライアントサイド検知 Cookie がリクエストにあることを示します。このシグナルは、エッジ WAF とオンプレミス WAF のデプロイでのみ使用できます。 | |
| 漏洩したパスワード | COMPROMISED-PASSWORD | リクエスト本文に、以前にセキュリティ侵害で公開された漏洩パスワードが含まれていることを示します。このシグナルは、ログインシグナルまたは登録試行シグナルのいずれかが有効になると自動的に有効になります。動的なバックエンドの設定が必要です。 | |
| コンテンツフェッチャー | VERIFIED-BOT.CONTENT-FETCHER | Webサイトからコンテンツを抽出して他の場所で使用するツール。 | |
| モニタリングおよびサイトツール | VERIFIED-BOT.MONITORING-SITE-TOOLS | Web サイトにアクセスして、パフォーマンス、稼働時間、ドメインコントロールの証明などをモニタリングするツール。 | |
| オンラインマーケティング | VERIFIED-BOT.ONLINE-MARKETING | オンラインマーケティングプラットフォーム (例 : Facebook、Pinterest) からのクローラー。 | |
| ページプレビュー | VERIFIED-BOT.PAGE-PREVIEW | Web サイトにアクセスして、オンラインサービスやソーシャルメディアプラットフォームでページのプレビューを表示するためのツール。 | |
| プラットフォーム統合 | VERIFIED-BOT.PLATFORM-INTEGRATIONS | Web サイトの API、特に Webhooks にアクセスして、他のプラットフォームと統合します。 | |
| リサーチ | VERIFIED-BOT.RESEARCH | 研究目的でデータを収集・分析する商業的および学術的なツール。 | |
| 検索エンジンのクローラー | VERIFIED-BOT.SEARCH-ENGINE-CRAWLER | 検索エンジン用に Web サイトをインデックスするクローラー。 | |
| 検索エンジン最適化 | VERIFIED-BOT.SEARCH-ENGINE-OPTIMIZATION | 検索エンジン最適化のタスク (例 : リンク分析、ランキング) をサポートするツール。 | |
| セキュリティツール | VERIFIED-BOT.SECURITY-TOOLS | セキュリティ分析ツールは、Web サイトの脆弱性、設定ミス、およびその他のセキュリティ機能を検査します。 | |
| 疑わしい悪質なボット | SUSPECTED-BAD-BOT | 悪質なボットと疑われるリクエストを示します。このシグナルは、エッジ WAF とオンプレミス WAF のデプロイでのみ使用できます。 | |
| 疑わしい悪質なボット (ヘッドレス) | SUSPECTED-BAD-BOT.HEADLESS | ヘッドレスの悪質なボットと疑われるリクエストを示します。この信号はエッジ WAF デプロイでのみ使用できます。 | |
| 疑わしいボット | SUSPECTED-BOT | ボットと疑われるリクエストを示します。このシグナルは、エッジ WAF とオンプレミス WAF のデプロイでのみ使用できます。 | |
| 疑わしいボット (AIクローラー) | SUSPECTED-BOT.AI-CRAWLER | AI/LLM クローラーボットと疑われるリクエストを示します。これらのボットは主に AI モデルやインデックスの作成に使われます。 | |
| 疑わしいボット (AI フェッチャー) | SUSPECTED-BOT.AI-FETCHER | ユーザーのクエリに対するレスポンスを強化するために AI や LLM による使用が疑われるリクエストを示します。 | |
| 疑わしいボット (ヘッドレス) | SUSPECTED-BOT.HEADLESS | ヘッドレスのボットと疑われるリクエストを示します。この信号はエッジ WAF デプロイでのみ使用できます。 | |
| 認証済みボット (AI クローラー) | VERIFIED-BOT.AI-CRAWLER | AI や LLM のトレーニングに使われるクローラー。これらのボットは主に AI モデルやインデックスの作成に使われます。 | |
| 認証済みボット (AIフェッチャー) | VERIFIED-BOT.AI-FETCHER | AI や LLM に使われるフェッチャー。ユーザーのクエリに対するレスポンスを強化します。 |
情報
情報シグナルは、悪意のあるものでもなく、異常なものでもない一般的なリクエストプロパティを表すラベルです。
| 長い名前 | 短縮名 | 使用可能な場所 | 説明 |
| 許可されたリクエスト | ALLOWED | 許可アクションを含むルールにより許可されるリクエストを示します。この信号のリクエストは決してブロックされません。 | |
| ボット分析 | BOT-ANALYSIS | なし | ボットの有無を分析したリクエストを示します。 |
| データセンターのトラフィック | DATACENTER | リクエストが既知のクラウド、ホスティング、またはデータセンターネットワークから発信されたことを示します。このトラフィックは一般的な住宅用またはモバイルのエンドユーザーによるブラウジングを表す可能性は低いですが、VPN などの正当なユースケースが含まれる場合があります。 | |
| ダブルエンコーディング | DOUBLEENCODING | ダブルエンコーディングは、HTML 文字を二重にエンコードする回避技術をチェックします。 | |
| フェイルオープン | FAIL-OPEN | WAF がフェイルオープンしたためリクエストが許可されたことを示します。 | |
| GraphQL API クエリ | GRAPHQL-API | GraphQL API リクエストを示します。 | |
| GraphQL IDE | GRAPHQL-IDE | GraphQL 統合開発環境 (IDE) が送信元のリクエストを示します。 | |
| GraphQL のイントロスペクション | GRAPHQL-INTROSPECTION | GraphQL API のスキーマの取得を試みるリクエストを示します。スキーマを使用して、どのリソースが利用可能であるかを特定し、後続の攻撃に知らせることができます。 | |
| JSON エンコードエラー | JSON-ERROR | POST、PUT、または PATCH リクエストの本文。Content-Type リクエストヘッダーとして指定されていますが、JSON 解析エラーが含まれています。これは多くの場合、プログラミングエラー、自動化されたリクエスト、または悪意のあるリクエストに関連しています。 | |
| フラグされたサイト IP アドレス | SITE-FLAGGED-IP | 特定のサイト (ワークスペース) の攻撃しきい値を超えたことがフラグされている IP から受信したリクエストであることを示します。このシグナルは Essential プラットフォームまたは Professional プラットフォームには含まれていません。 | |
| Tor トラフィック | TORNODE | Tor は、インターネットを閲覧する際の場所、アクティビティ、および IP アドレス情報を匿名化し、隠蔽するソフトウェアです。Tor トラフィックの急増は、攻撃者が自分の場所を隠そうとしている可能性を示唆している可能性があります。 | |
| 脆弱な TLS | WEAKTLS | 脆弱な TLS。Web サーバーの設定により、古い暗号スイートまたはプロトコルバージョンでの SSL/TLS 接続の確立が許可されています。このシグナルは、ごく一部のリクエストの検査に基づいています。また、一部のアーキテクチャと Signal Sciences の言語 SDK モジュールはこのシグナルをサポートしていません。 | |
| XMLエンコードエラー | XML-ERROR | POST、PUT、または PATCH リクエストの本文。Content-Type リクエストヘッダーとして指定されていますが、XML 解析エラーが含まれています。これは多くの場合、プログラミングエラー、自動化されたリクエスト、または悪意のあるリクエストに関連しています。 |
