Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

ベースラインルールグループ

フォーカスモード

このページの内容

ベースラインルールグループ - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ベースラインマネージドルールグループは、さまざまな一般的な脅威に対する一般的な保護を提供します。これらのルールグループを 1 つ以上選択して、リソースのベースライン保護を確立します。

コアルールセット (CRS) マネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesCommonRuleSet、WCU: 700

注記

このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、 の変更ログで報告されますAWS マネージドルールの変更ログ。他のバージョンについては、 API コマンドを使用しますDescribeManagedRuleGroup

AWS マネージドルールのルールグループでルールに対して公開する情報は、不正なアクターにルールを回避するために必要なものを与えることなく、ルールを使用するために必要なものを提供することを目的としています。

ここに記載されている情報よりも詳細な情報が必要な場合は、 AWS Support センターにお問い合わせください。

コアルールセット (CRS) ルールグループには、一般的にウェブアプリケーションに適用されるルールが含まれています。これにより、OWASPTop 10 などのOWASP出版物に記載されている高リスクの脆弱性や一般的に発生する脆弱性など、幅広い脆弱性の悪用から保護できます。このルールグループを AWS WAF ユースケースに使用することを検討してください。

このマネージドルールグループは、評価対象のウェブリクエストにラベルを追加します。これは、ウェブ でこのルールグループの後に実行されるルールで使用できますACL。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。

ルール名 説明とラベル
NoUserAgent_HEADER

HTTP User-Agent ヘッダーが欠落しているリクエストを検査します。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:NoUserAgent_Header

UserAgent_BadBots_HEADER

リクエストが不正なボットであることを示す一般的な User-Agent ヘッダー値を検査します。パターンの例には、nessusnmap などがあります。ボット管理については、「AWS WAF Bot Control ルールグループ」も参照してください。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:BadBots_Header

SizeRestrictions_QUERYSTRING

2,048 バイトを超えるURIクエリ文字列を検査します。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString

SizeRestrictions_Cookie_HEADER

10,240 バイトを超える cookie ヘッダーを検査します。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header

SizeRestrictions_BODY

8 KB (8,192 バイト) を超えるリクエストボディを検査します。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:SizeRestrictions_Body

SizeRestrictions_URIPATH

1,024 バイトを超えるURIパスを検査します。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath

EC2MetaDataSSRF_BODY

リクエストボディから Amazon EC2メタデータを盗み出す試みを検査します。

警告

このルールは、ウェブACLおよびリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer および の場合 AWS AppSync、制限は 8 KB に固定されます。Gateway CloudFront、APIAmazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、ウェブACL設定で制限を最大 64 KB まで増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body

EC2MetaDataSSRF_COOKIE

リクエスト Cookie から Amazon EC2メタデータを盗み出す試みを検査します。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie

EC2MetaDataSSRF_URIPATH

リクエストURIパスから Amazon EC2メタデータを盗み出す試みを検査します。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath

EC2MetaDataSSRF_QUERYARGUMENTS

リクエストクエリ引数から Amazon EC2メタデータを盗み出す試みを検査します。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments

GenericLFI_QUERYARGUMENTS

クエリ引数にローカルファイルインクルージョン (LFI) エクスプロイトが存在するかどうかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments

GenericLFI_URIPATH

URI パスにローカルファイルインクルージョン (LFI) のエクスプロイトがあるかどうかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:GenericLFI_URIPath

GenericLFI_BODY

リクエストボディにローカルファイルインクルージョン (LFI) のエクスプロイトが存在するかどうかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。

警告

このルールは、ウェブACLおよびリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer および の場合 AWS AppSync、制限は 8 KB に固定されます。Gateway CloudFront、APIAmazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、ウェブACL設定で制限を最大 64 KB まで増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:GenericLFI_Body

RestrictedExtensions_URIPATH

URI パスにシステムファイル拡張子が含まれていて、読み取りや実行が安全でないリクエストを検査します。パターンの例には、.log.ini などの拡張子があります。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath

RestrictedExtensions_QUERYARGUMENTS

クエリ引数に、読み取りや実行が安全でないシステムファイル拡張子が含まれているリクエストを検査します。パターンの例には、.log.ini などの拡張子があります。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments

GenericRFI_QUERYARGUMENTS

IPv4 アドレスを含む埋め込みにより、ウェブアプリケーションで悪用 RFI (リモートファイルインクルージョン) を試みるすべてのクエリパラメータの値を検査URLsします。例としては、http://、、https://ftps://ftp://などのパターンがありfile://、エクスプロイトの試みに IPv4ホストヘッダーがあります。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments

GenericRFI_BODY

アドレスを含む埋め込みにより、ウェブアプリケーションで悪用 RFI (リモートファイルインクルージョン) を試みる試みがないかリクエストボディを検査しURLsますIPv4。例としては、http://、、https://ftps://ftp://などのパターンがありfile://、エクスプロイトの試みに IPv4ホストヘッダーがあります。

警告

このルールは、ウェブACLおよびリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer および の場合 AWS AppSync、制限は 8 KB に固定されます。Gateway CloudFront、APIAmazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、ウェブACL設定で制限を最大 64 KB まで増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:GenericRFI_Body

GenericRFI_URIPATH

IPv4 アドレスを含む を埋め込むことで、ウェブアプリケーションの悪用 RFI (リモートファイルインクルージョン) の試みがないかURIパスを検査しURLsます。例としてはhttp://、、https://、、ftps://ftp://などのパターンがありfile://、エクスプロイトの試みに IPv4ホストヘッダーがあります。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:GenericRFI_URIPath

CrossSiteScripting_COOKIE

組み込みの を使用して、一般的なクロスサイトスクリプティング (XSS) パターンの Cookie ヘッダーの値を検査します AWS WAF クロスサイトスクリプティング攻撃ルールステートメント。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。

注記

AWS WAF ログのルール一致の詳細は、このルールグループのバージョン 2.0 では入力されません。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie

CrossSiteScripting_QUERYARGUMENTS

組み込み を使用して、一般的なクロスサイトスクリプティング (XSS) パターンのクエリ引数の値を検査します AWS WAF クロスサイトスクリプティング攻撃ルールステートメント。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。

注記

AWS WAF ログのルール一致の詳細は、このルールグループのバージョン 2.0 では入力されません。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments

CrossSiteScripting_BODY

組み込み を使用して、リクエストボディに一般的なクロスサイトスクリプティング (XSS) パターンがないかを検査します AWS WAF クロスサイトスクリプティング攻撃ルールステートメント。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。

注記

AWS WAF ログのルール一致の詳細は、このルールグループのバージョン 2.0 では入力されません。

警告

このルールは、ウェブACLおよびリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer および の場合 AWS AppSync、制限は 8 KB に固定されます。Gateway CloudFront、APIAmazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、ウェブACL設定で制限を最大 64 KB まで増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body

CrossSiteScripting_URIPATH

組み込みの を使用して、一般的なクロスサイトスクリプティング (XSS) パターンのURIパスの値を検査します AWS WAF クロスサイトスクリプティング攻撃ルールステートメント。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。

注記

AWS WAF ログのルール一致の詳細は、このルールグループのバージョン 2.0 では入力されません。

ルールアクション:Block

ラベル: awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath

管理者保護マネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesAdminProtectionRuleSet、WCU: 100

注記

このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、 の変更ログで報告されますAWS マネージドルールの変更ログ。他のバージョンについては、 API コマンドを使用しますDescribeManagedRuleGroup

AWS マネージドルールのルールグループでルールに対して公開する情報は、不正なアクターにルールを回避するために必要なものを与えることなく、ルールを使用するために必要なものを提供することを目的としています。

ここに記載されている情報よりも詳細な情報が必要な場合は、 AWS Support センターにお問い合わせください。

管理者保護ルールグループには、公開されている管理ページへの外部アクセスをブロックするためのルールが含まれています。これは、サードパーティーのソフトウェアを実行している場合や、悪意のあるアクターがアプリケーションへの管理アクセスを得るリスクを緩和したい場合に便利です。

このマネージドルールグループは、評価対象のウェブリクエストにラベルを追加します。これは、ウェブ でこのルールグループの後に実行されるルールで使用できますACL。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。

ルール名 説明とラベル
AdminProtection_URIPATH

ウェブサーバーまたはアプリケーションの管理用に一般的に予約されているURIパスを検査します。パターンの例には、sqlmanager などがあります。

ルールアクション:Block

ラベル: awswaf:managed:aws:admin-protection:AdminProtection_URIPath

既知の不正な入力マネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesKnownBadInputsRuleSet、WCU: 200

注記

このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、 の変更ログで報告されますAWS マネージドルールの変更ログ。他のバージョンについては、 API コマンドを使用しますDescribeManagedRuleGroup

AWS マネージドルールのルールグループでルールに対して公開する情報は、不正なアクターにルールを回避するために必要なものを与えることなく、ルールを使用するために必要なものを提供することを目的としています。

ここに記載されている情報よりも詳細な情報が必要な場合は、 AWS Support センターにお問い合わせください。

既知の不正な入力ルールグループには、無効であることがわかっており脆弱性の悪用または発見に関連するリクエストパターンをブロックするルールが含まれています。これにより、悪意のあるアクターが脆弱なアプリケーションを発見するリスクを緩和できます。

このマネージドルールグループは、評価対象のウェブリクエストにラベルを追加します。これは、ウェブ でこのルールグループの後に実行されるルールで使用できますACL。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。

ルール名 説明とラベル
JavaDeserializationRCE_HEADER

Spring Core や Cloud Function のRCE脆弱性 (CVE-2022-22963、) など、Java 逆シリアル化リモートコマンド実行 (RCE) の試行を示すパターンについて、HTTPリクエストヘッダーのキーと値を検査しますCVE-2022-22965。パターンの例には、(java.lang.Runtime).getRuntime().exec("whoami") などがあります。

警告

このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。

ルールアクション:Block

ラベル: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header

JavaDeserializationRCE_BODY

Spring Core や Cloud Function のRCE脆弱性 (CVE-2022-22963、RCE) など、Java 逆シリアル化リモートコマンド実行 () の試行を示すパターンについてリクエストボディを検査しますCVE-2022-22965。パターンの例には、(java.lang.Runtime).getRuntime().exec("whoami") などがあります。

警告

このルールは、ウェブACLおよびリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer および の場合 AWS AppSync、制限は 8 KB に固定されます。Gateway CloudFront、APIAmazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、ウェブACL設定で制限を最大 64 KB まで増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。

ルールアクション:Block

ラベル: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body

JavaDeserializationRCE_URIPATH

Spring Core や Cloud Function のRCE脆弱性 (CVE-2022-22963、RCE) など、Java 逆シリアル化リモートコマンド実行 () の試行を示すパターンURIがリクエストで検査されますCVE-2022-22965。パターンの例には、(java.lang.Runtime).getRuntime().exec("whoami") などがあります。

ルールアクション:Block

ラベル: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath

JavaDeserializationRCE_QUERYSTRING

Spring Core や Cloud Function のRCE脆弱性 (CVE-2022-22963、RCE) など、Java 逆シリアル化リモートコマンド実行 () の試行を示すパターンについて、リクエストクエリ文字列を検査しますCVE-2022-22965。パターンの例には、(java.lang.Runtime).getRuntime().exec("whoami") などがあります。

ルールアクション:Block

ラベル: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString

Host_localhost_HEADER

リクエストのホストヘッダーに、localhost を示すパターンがないかを検査します。パターンの例には、localhost などがあります。

ルールアクション:Block

ラベル: awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header

PROPFIND_METHOD

リクエストの HTTPメソッドを検査します。これは PROPFINDに似ていますがHEAD、XMLオブジェクトを盗み出すことを特に意図しています。

ルールアクション:Block

ラベル: awswaf:managed:aws:known-bad-inputs:Propfind_Method

ExploitablePaths_URIPATH

URI パスを検査し、悪用可能なウェブアプリケーションパスにアクセスしようとする試みがないかどうかを確認します。パターンの例には、web-inf などのパスがあります。

ルールアクション:Block

ラベル: awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath

Log4JRCE_HEADER

Log4j 脆弱性 (CVE-2021-44228、、CVE-2021-45046CVE-2021-45105) の存在についてリクエストヘッダーのキーと値を検査し、リモートコード実行 () の試行から保護します。RCEパターンの例には、${jndi:ldap://example.com/} などがあります。

警告

このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。

ルールアクション:Block

ラベル: awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header

Log4JRCE_QUERYSTRING

Log4j 脆弱性 (CVE-2021-44228、、CVE-2021-45046) の存在についてクエリ文字列を検査し、リモートコード実行 (RCE) CVE-2021-45105の試行から保護します。パターンの例には、${jndi:ldap://example.com/} などがあります。

ルールアクション:Block

ラベル: awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString

Log4JRCE_BODY

Log4j 脆弱性 (CVE-2021-44228、、CVE-2021-45046) の存在を本文を検査し、リモートコード実行 (RCE) CVE-2021-45105の試行から保護します。パターンの例には、${jndi:ldap://example.com/} などがあります。

警告

このルールは、ウェブACLおよびリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer および の場合 AWS AppSync、制限は 8 KB に固定されます。Gateway CloudFront、APIAmazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、ウェブACL設定で制限を最大 64 KB まで増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。

ルールアクション:Block

ラベル: awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body

Log4JRCE_URIPATH

Log4j 脆弱性 (CVE-2021-44228、、CVE-2021-45046) の存在についてURIパスを検査し、リモートコード実行 (RCE) CVE-2021-45105の試行から保護します。パターンの例には、${jndi:ldap://example.com/} などがあります。

ルールアクション:Block

ラベル: awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.