AWS マネージドルールの変更ログ

このルールグループの静的バージョン 2.2 をリリースしました。

検出が改善され、PHPHighRiskMethodsVariables_URIPATHルールが追加されました。

新しいルール:

このルールグループの静的バージョン 5.0 をリリースしました。

ページプレビューとウェブフックの 2 つの新しいボットカテゴリとそれぞれのルールを含む、複数のカテゴリにまたがる 400 以上の新しいボットを追加しました。

主な改善点

ボット検出シグナルと一般的なボットパターンマッチングの精度が向上し、トラフィック分類の精度が向上しました。

この更新により、マネージドルールグループがボット検出を優先する方法が変更されます。特定の未検証のボットパターンが、一般的なパターンと検出シグナルの前に評価されるようになりました。つまり、リクエストは一般的な指標ではなく、最も具体的な特性に基づいて分類される可能性が高くなります。

これはトラフィックにとって何を意味しますか。

一般的なボットパターンの一致頻度が低くなりました。これらのパターンは、より具体的なボットルールがまだトラフィックを特定していない場合にのみ適用されます。これにより、過剰分類が軽減され、利用可能な最も正確なボット識別でリクエストにラベルが付けられます。

リクエストがクラウドサービスプロバイダー、既知のボットデータセンターから発信された、またはブラウザ以外のユーザーエージェントを使用していることを示すインジケータなどの検出シグナルが、ボット識別ルールの後に適用されるようになりました。これにより、特定のボット分類が一般的なトラフィックシグナルよりも優先されます。

影響:

リクエストが特定のボットルールによってより正確に分類されるようになったため、トラフィックログには汎用ボットパターンのラベルが少なくなる場合があります。これにより、自動トラフィックの実際の性質をより明確に把握でき、過度に広範なパターンマッチングによるノイズが軽減されます。未検証のボット分類は、より目立つ正確なものになり、アプリケーションへの自動リクエストをよりよく理解して管理するのに役立ちます。

注: このバージョンには Version_4.0 からのawswaf:managed:aws:bot-control:bot:web_bot_authラベルとルールの更新が含まれていますが、Web Bot Authこの機能は引き続き CloudFront でのみ使用できます。

このルールグループの静的バージョン 3.2 をリリースしました。

すべてのルールの検出署名が改善されました。

このルールグループの静的バージョン 1.25 をリリースしました。

検出を改善するReactJSRCE_BODYために を更新しました。

このルールグループの静的バージョン 3.1 をリリースしました。

すべてのルールの検出署名が改善されました。

このルールグループの静的バージョン 1.24 をリリースしました。

検出を改善するReactJSRCE_BODYために を更新しました。

新しいラベル:

Web Bot Authentication (WBA) による暗号化ボット検証をサポートする新しい静的バージョン AWSManagedRulesBotControlRuleSet Version_4.0 をデプロイしました。このバージョンは明示的に選択する必要があり、デフォルトバージョンを使用して既存のデプロイを自動的に更新することはありません。

新機能:

ルールの更新:

新しい検証済みボットラベル:

広告:

AI:

コンテンツフェッチャー:

ソーシャルメディア:

主な改善点:

このルールグループの静的バージョン 1.20 をリリースしました。

Server Side Request Forgery (SSRF) ルールの検出署名が改善されました。

このルールグループの静的バージョン 1.19 をリリースしました。

クロスサイトスクリプティングルールの検出シグネチャが改善されました。

このルールグループの静的バージョン 1.18 をリリースしました。

クロスサイトスクリプティングルールの検出シグネチャが改善されました。

新しいラベル:

このルールグループの静的バージョン 3.2 をリリースしました。

リストされている新しいラベルを追加しました。

このルールグループの静的バージョン 1.17 をリリースしました。

クロスサイトスクリプティングルールの検出シグネチャが改善されました。

このルールグループの静的バージョン 1.3 をリリースしました。

リストされたルールにダブル URL_DECODE_UNI テキスト変換を追加しました。

このルールグループの静的バージョン 2.6 をリリースしました。

検出の向上を図るために署名を追加しました。

Bot Control ラベルの新しいボット名ラベル: awswaf:managed:aws:bot-control:bot::name:nytimes

このルールグループの静的バージョン 3.1 をリリースしました。

ボット名ラベルのリストに New York Times ラベルを追加しました。

このルールグループの静的バージョン 1.16 をリリースしました。

クロスサイトスクリプティングルールの検出シグネチャが改善されました。

新しいルール:

削除されたルール:

新しいラベル:

既存のルールの追加ラベル付け。

このルールグループの静的バージョン 2.0 および 3.0 をリリースしました。バージョン 2.0 はバージョン 3.0 と同じですが、すべての新しいルールのルールアクションは Count に設定されています。このガイドは、各ルールグループの最新バージョンについて記録します。

リストされている新しいルールを追加しました。

すべてのルールがパターン awswaf:managed:aws:bot-control:<RuleName> を持つラベルを適用するようにラベルを更新しました。

Bot Control シグナルラベルにクラウドサービスプロバイダーラベルを追加しました。

ボットカテゴリルールによって検査される新しいボット名ラベルを追加しました。

すべてのルール

このルールグループの静的バージョン 1.1 をリリースしました。

すべてのルールがパターン awswaf:managed:aws:atp:<RuleName> を持つラベルを適用するようにラベルを更新しました。

すべてのルール

このルールグループの静的バージョン 1.1 をリリースしました。

すべてのルールがパターン awswaf:managed:aws:acfp:<RuleName> を持つラベルを適用するようにラベルを更新しました。

すべてのルール

このルールグループの静的バージョン 2.5 をリリースしました。

検出の向上を図るために署名を追加しました。

このルールグループの静的バージョン 1.15 をリリースしました。

汎用 LFI ルールの検出署名が改善されました。

このルールグループの静的バージョン 2.3 をリリースしました。

リストされたルールでは、誤検出を減らすために検出シグネチャをチューニングしました。

このルールグループの静的バージョン 1.3 をリリースしました。

リストされたルールに JS_DECODE テキスト変換を追加しました。

このルールグループの静的バージョン 2.4 をリリースしました。

リストされたルールに JS_DECODE テキスト変換を追加しました。

このルールグループの静的バージョン 1.14 をリリースしました。

リストされているルールに JS_DECODE テキスト変換を追加しました。

このルールグループの静的バージョン 2.1 をリリースしました。

リストされているルールに JS_DECODE テキスト変換を追加しました。

このルールグループの静的バージョン 2.2 をリリースしました。

リストされているルールに JS_DECODE テキスト変換を追加しました。

すべてのルール

このルールグループの静的バージョン 2.3 をリリースしました。

検出の向上を図るために署名を追加しました。

AWS WAF Bot Control ルールグループ

AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) ルールグループ

AWS WAF Fraud Control アカウント作成不正防止 (ACFP) ルールグループ

ボットおよび不正ルールグループがバージョン管理されるようになりました。これらのルールグループを使用している場合、この更新によってウェブトラフィックの処理方法が変更されることはありません。

この更新では、現在のルールグループバージョンを静的バージョン 1.0 に設定し、それを指すデフォルトバージョンを設定します。

バージョンで管理されたルールの詳細については、以下の内容を参照してください。

このルールグループの静的バージョン 3.0 をリリースしました。

UNIXShellCommandsVariables_QUERYARGUMENTS を削除し、UNIXShellCommandsVariables_QUERYSTRING で置き換えました。UNIXShellCommandsVariables_QUERYARGUMENTS のラベルに一致するルールがある場合、このバージョンを使用する場合は、UNIXShellCommandsVariables_QUERYSTRING のラベルと一致するように切り替えます。新しいラベルは awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString です。

すべてのヘッダーに一致するルール UNIXShellCommandsVariables_HEADER を追加しました。

改善された検出ロジックで管理ルールグループのすべてのルールを更新しました。

UNIXShellCommandsVariables_BODY のラベルの大文字が文書化されている箇所を修正しました。

このルールグループの静的バージョン 1.12 をリリースしました。

検出の向上と誤検出の低減のため、クロスサイトのスクリプティングルール全体にシグネチャーを追加しました。

このルールグループの静的バージョン 1.2 をリリースしました。

リストされたルールに JS_DECODE テキスト変換を追加しました。

このルールグループの静的バージョン 1.22 をリリースしました。

リストされたルールに JS_DECODE テキスト変換を追加しました。

このルールグループの静的バージョン 2.2 をリリースしました。

2 つのルールに JS_DECODE テキスト変換を追加しました。

このルールグループの静的バージョン 2.1 をリリースしました。

検出結果の改善を図るために署名を PowerShellCommands_BODY に追加しました。

IP 評価リストのソースを更新し、悪意のあるアクティビティに積極的に関与しているアドレスの特定を改善し、誤検出を減らしました。

このルールグループはバージョン化されていないため、この更新には新しいバージョンは含まれません。

このルールグループの静的バージョン 1.21 をリリースしました。

検出を改善し、誤検出を減らすためにシグネチャを追加しました。

このルールグループの静的バージョン 1.20 をリリースしました。

Atlassian Confluence CVE-2023-22518 の不適切な認可の脆弱性に一致するリクエストの検出を追加するように ExploitablePaths_URIPATH ルールを更新しました。この脆弱性は Confluence Data Center および Server のすべてのバージョンに影響します。詳細については、「NIST: National Vulnerability Database: CVE-2023-22518 Detail」を参照してください。

このルールグループの静的バージョン 1.11 をリリースしました。

検出の向上と誤検出の低減のため、クロスサイトのスクリプティングルール全体にシグネチャーを追加しました。

ルールグループの対象保護レベルラベルに調整されたアクティビティの下限ラベルを追加しました。このラベルはいずれのルールにも関連付けられていません。このラベルは、中レベルおよび高レベルのルールとラベルに追加されるものです。

自動化を支援するブラウザ拡張機能が検出されたことを示すシグナルラベルをルールグループに追加しました。このラベルは個々のルールに固有のものではありません。

このルールグループの静的バージョン 1.10 をリリースしました。

1 つのルールを更新し、検出の向上と誤検出の低減を実現しました。

このルールグループの静的バージョン 1.9 をリリースしました。

ルールが更新され、検出の向上と誤検出の低減を実現しました。

このルールグループの静的バージョン 2.1 をリリースしました。

クエリ引数ルールを更新して、検出を改善しました。

このルールグループの静的バージョン 1.8 をリリースしました。

ルールを更新して検出を改善しました。

例外のデプロイ: このルールグループの静的バージョン 1.19 をリリースしました。バージョン 1.19 を使用するようにデフォルトバージョンを更新しました。

Atlassian Confluence CVE-2023-22515 の権限昇格の脆弱性に一致するリクエストの検出を追加するように ExploitablePaths_URIPATH ルールを更新しました。この脆弱性は、Atlassian Confluence の一部のバージョンに影響を及ぼします。詳細については、「NIST: National Vulnerability Database: CVE-2023-22515 Detail」および「Atlassian Support: FAQ for CVE-2023-22515」を参照してください。

デプロイタイプの詳細については、「AWS マネージドルールの例外デプロイ」を参照してください。

例外のデプロイ: このルールグループの静的バージョン 1.18 をリリースしました。これは、この静的バージョンの迅速なロールアウトであり、バージョン 1.19 の作成とロールアウトに対応するためのものです。

検出を改善するため、Host_localhost_HEADER ルールとすべての Log4J および Java 逆シリアル化ルールを更新しました。

デプロイタイプの詳細については、「AWS マネージドルールの例外デプロイ」を参照してください。

Count アクションでルールグループにルールを追加しました。

トークン再利用 IP ルールは、IP アドレス間でのトークンの共有を検出してカウントします。

調整されたアクティビティルールは、ウェブサイトのトラフィックを機械学習 (ML) で自動的に分析し、ボット関連のアクティビティを検出します。ルールグループ設定で、ML の使用をオプトアウトできます。このリリースでは、ターゲットを絞った保護レベルを現在使用しているユーザーが ML の使用にオプトインされます。オプトアウトすると、調整されたアクティビティルールが無効になります。

ルール CategoryAI をルールグループに追加しました。

このルールグループの静的バージョン 1.7 をリリースしました。

制限付き拡張ルールおよび EC2 メタデータ SSRF ルールを更新し、検出の向上と誤検出の低減を実現しました。

新しいルールグループ内のすべてのルール

このルールグループの静的バージョン 2.2 をリリースしました。

検出の向上を図るために署名を追加しました。

このルールグループの静的バージョン 1.6 をリリースしました。

クロスサイトスクリプティング (XSS) および制限付き拡張ルールを更新し、検出の向上と誤検出の低減を実現しました。

このルールグループの静的バージョン 2.0 をリリースしました。

すべてのルールで検出を改善するために署名を追加しました。

ルール PHPHighRiskMethodsVariables_QUERYARGUMENTS を、クエリ引数だけでなくクエリ文字列全体を検査する PHPHighRiskMethodsVariables_QUERYSTRING に置き換えました。

ルール PHPHighRiskMethodsVariables_HEADER を追加し、すべてのヘッダーを含むようにカバレッジを拡張しました。

標準の AWS マネージドルールのラベル付けに合わせて、次のラベルを更新しました。

保護されている Amazon CloudFront ディストリビューションで使用するためのログインレスポンス検査ルールを追加しました。これらのルールは、最近のログイン試行の失敗回数が過度に多い IP アドレスやクライアントセッションからの新たなログイン試行をブロックします。

このルールグループの静的バージョン 1.5 をリリースしました。

検出を改善するため、クロスサイトスクリプティング (XSS) フィルターを更新しました。

このルールグループの静的バージョン 2.1 をリリースしました。

ルール LFI_COOKIE およびそのラベル awswaf:managed:aws:linux-os:LFI_Cookie を削除し、新しいルール LFI_HEADER およびそのラベル awswaf:managed:aws:linux-os:LFI_Header に置き換えました。この変更により、検査が複数のヘッダーに拡張されます。

検出を改善するため、すべてのルールにテキスト変換および署名を追加しました。

このルールグループの静的バージョン 1.4 をリリースしました。

すべての NULL バイトを削除するため、テキスト変換を NoUserAgent_HEADER に追加しました。検出を改善するため、クロスサイトのスクリプティングルールのフィルターを更新しました。

このルールグループの静的バージョン 1.17 をリリースしました。

Java 逆シリアル化ルールを更新し、1.10.0 以前の Apache Commons Text バージョンのリモートコード実行 (RCE) 脆弱性である Apache CVE-2022-42889 に一致するリクエストの検出を追加しました。詳細については、「NIST: National Vulnerability Database: CVE-2022-42889 Detail」(NIST: 国家脆弱性データベース: CVE-2022-42889 詳細) および「CVE-2022-42889: Apache Commons Text prior to 1.10.0 allows RCE when applied to untrusted input due to insecure interpolation defaults」(CVE-2022-42889: 信頼されない入力に適用された場合にセキュアでない補間デフォルトが原因で 1.10.0 以前の Apache Commons Text で RCE が許可される) を参照してください。

Host_localhost_HEADER での検出を改善しました。

このルールグループの静的バージョン 1.16 をリリースしました。

バージョン 1.15 で AWS 識別された誤検出を削除しました。

POSIX オペレーティングシステムマネージドルールグループ

PHP アプリケーションマネージドルールグループ

WordPress アプリケーションマネージドルールグループ

記載されているラベル名を修正しました。

この変更により、ルールグループがウェブトラフィックを処理する方法が変更されることはありません。

Amazon 脅威インテリジェンスに従い、DDoS アクティビティに積極的に関与している IP アドレスを検査する Count アクションを含む新しいルールが追加されました。

このルールグループの静的バージョン 1.15 をリリースしました。

誤検出のよりきめ細かにモニタリングと管理を行うため、Log4JRCE を削除して Log4JRCE_HEADER、Log4JRCE_QUERYSTRING、Log4JRCE_URI、Log4JRCE_BODY に置き換えました。

PROPFIND_METHOD とすべての JavaDeserializationRCE* と Log4JRCE* ルールに対する検出とブロックを改善するため、署名を追加しました。

Host_localhost_HEADER と全ての JavaDeserializationRCE* ルールにおける大文字化の修正をするためにラベルを更新しました。

JavaDeserializationRCE_HEADER の記述を修正しました。

Amazon Cognito ユーザープールのウェブトラフィック用のアカウント乗っ取り防止マネージドルールグループの使用を防止するルールを追加しました。

AWS には、ルールグループのバージョン Version_1.2 と Version_2.0 の有効期限がスケジュールされています。このバージョンの有効期限は 2022 年 9 月 9 日に失効します。バージョンの有効期限の詳細については、「でのバージョニングされたマネージドルールグループの使用 AWS WAF」を参照してください。

このルールグループのバージョン 1.3 をリリースしました。このリリースでは、検出を改善するため、GenericLFI_URIPATH および GenericRFI_URIPATH のルールにある一致する署名が更新されます。

ルール CategoryEmailClient をルールグループに追加しました。

このルールグループのバージョン 1.14 をリリースしました。4 つの JavaDeserializtionRCE ルールが Block モードに移行します。

このルールグループのバージョン 1.13 をリリースしました。Spring Core および Cloud Function RCE 脆弱性のテキスト変換を更新しました。これらのルールは、メトリクスを収集して一致したパターンを評価するため、カウントモードになっています。ラベルは、カスタムルール内のリクエストをブロックするために使用できます。後続のバージョンは、これらのルールがブロックモードになった状態でデプロイされます。

このルールグループのバージョン 1.12 をリリースしました。Spring Core および Cloud Function RCE の脆弱性の署名を追加しました。これらのルールは、メトリクスを収集して一致したパターンを評価するため、カウントモードになっています。ラベルは、カスタムルール内のリクエストをブロックするために使用できます。後続のバージョンは、これらのルールがブロックモードになった状態でデプロイされます。

ルール Log4JRCE_HEADER、Log4JRCE_QUERYSTRING、Log4JRCE_URI、Log4JRCE_BODY を削除してルール Log4JRCE に置き換えました。

新しいルールグループ内のすべてのルール

このルールグループのバージョン 1.9 をリリースしました。この機能を柔軟に使用できるように、ルール Log4JRCE を削除し、ルール Log4JRCE_HEADER、Log4JRCE_QUERYSTRING、Log4JRCE_URI、および Log4JRCE_BODY に置き換えました。検出とブロックを改善するために署名を追加しました。

このルールグループのバージョン 2.0 をリリースしました。これらのルールでは、誤検出を減らすために検出シグネチャをチューニングしました。URL_DECODE テキスト変換をダブル URL_DECODE_UNI テキスト変換に置き換えました。HTML_ENTITY_DECODE テキスト変換を追加しました。

このルールグループのバージョン 2.0 のリリースの一部として、URL_DECODE_UNIテキスト変換が追加されました。RestrictedExtensions_URIPATH から URL_DECODE テキスト変換を削除しました。

このルールグループのバージョン 2.0 をリリースしました。URL_DECODE テキスト変換をダブル URL_DECODE_UNI テキスト変換に置き換え、COMPRESS_WHITE_SPACE テキスト変換を追加しました。

検出シグネチャを SQLiExtendedPatterns_QUERYARGUMENTS に追加しました。

SQLi_BODY に JSON 検査を追加しました。

ルール SQLiExtendedPatterns_BODY を追加しました。

ルール SQLi_URIPATH を削除しました。

ヘッダーの検査と一致基準を改善するために、ルール Log4JRCE のバージョン 1.8 をリリースしました。

一致基準をチューニングし、追加のヘッダーを検査するために、ルール Log4JRCE のバージョン 1.4 をリリースしました。バージョン 1.5 をリリースし、一致条件をチューニングしました。

Log4j 内で最近公開されたセキュリティ問題に対応して、ルール Log4JRCE バージョン 1.2 を追加しました。詳細については、「CVE-2021-44228」を参照してください。このルールは、共通の URI パス、クエリ文字列、リクエストボディの最初の 8 KB、および共通ヘッダーを検査します。ルールはダブル URL_DECODE_UNI テキスト変換を使用します。一致基準をチューニングし、追加のヘッダーを検査するために、Log4JRCE のバージョン 1.3 をリリースしました。

ルール BadAuthToken_COOKIE_AUTHORIZATION を削除しました。

AWSManagedReconnaissanceList

WindowsShellCommands

PowerShellCommands

WindowsShell コマンド用に 3 つの新しいルールを追加しました: WindowsShellCommands_COOKIE、WindowsShellCommands_QUERYARGUMENTS、および WindowsShellCommands_BODY。

新しい PowerShell ルールを追加しました: PowerShellCommands_COOKIE。

文字列 _Set1 と _Set2 を削除して、PowerShellComands ルールの命名を再構築しました。

より包括的な検出シグネチャを PowerShellRules に追加しました。

すべての Windows オペレーティングシステムのルールに URL_DECODE_UNI テキスト変換を追加しました。

LFI_URIPATH

LFI_QUERYSTRING

LFI_BODY

LFI_COOKIE

ダブル URL_DECODE テキスト変換をダブル URL_DECODE_UNI に置き換えました。

2 つ目のテキスト変換として NORMALIZE_PATH_WIN を追加しました。

LFI_BODY ルールを LFI_COOKIE ルールに置き換えました。

すべての LFI ルールに、より包括的な検出シグネチャを追加しました。

SizeRestrictions_BODY

EC2MetaDataSSRF_BODY

EC2MetaDataSSRF_COOKIE

EC2MetaDataSSRF_URIPATH

EC2MetaDataSSRF_QUERYARGUMENTS

GenericLFI_QUERYARGUMENTS

GenericLFI_URIPATH

RestrictedExtensions_URIPATH

RestrictedExtensions_QUERYARGUMENTS

GenericRFI_QUERYARGUMENTS

GenericRFI_BODY

GenericRFI_URIPATH

すべてのルール

AWSManagedIPReputationList_xxxx

AnonymousIPList

HostingProviderList

GenericRFI_QUERYARGUMENTS

RestrictedExtensions_URIPATH

AdminProtection_URIPATH

ExploitablePaths_URIPATH

LFI_QUERYARGUMENTS

PHPHighRiskMethodsVariables_QUERYARGUMENTS

PHPHighRiskMethodsVariables_BODY

UNIXShellCommandsVariables_QUERYARGUMENTS

UNIXShellCommandsVariables_BODY

GenericLFI_QUERYARGUMENTS

GenericLFI_URIPATH

GenericLFI_BODY

LFI_URIPATH

LFI_QUERYARGUMENTS

LFI_BODY

WordPressExploitableCommands_QUERYSTRING

SizeRestrictions_QUERYSTRING

SizeRestrictions_Cookie_HEADER

SizeRestrictions_BODY

SizeRestrictions_URIPATH

SQLi_URIPATH

SQLi_BODY

SQLi_QUERYARGUMENTS

SQLi_COOKIE

CrossSiteScripting_URIPATH

CrossSiteScripting_BODY

CrossSiteScripting_QUERYARGUMENTS

CrossSiteScripting_COOKIE