Web サイトへの攻撃傾向

2022-09-14
Editor

Web サイトを公開すると、すぐに招かれざる客からの訪問を受けることになる。より正確には Web サーバーをインターネット上に公開した時点でそういった活動が始まる。これまでに観測した不正(ここでは「悪意」の意味)と言えるアクセスの傾向についてメモ。

アクセスの傾向

  • WordPress の場合、最も目につくのはログインページへの繰り返しログイン試行(ブルートフォース攻撃)。
  • 次いで、WordPress に限らずそのサイトで使用している「かもしれない」何らかのソフトウェアやライブラリ、プラグインなどの脆弱性を狙ったものと思われるアクセス。
  • どんなサイトでも一様に狙われるのではなく、有名なサイトからのリンクが存在する場合に不正アクセス活動も増加する。
  • 逆にリンクがどこからも貼られていないサイトをひっそりと立ち上げた場合(何かのテスト用など)、不正アクセス活動は少ない。

ログイン画面突破を狙ったアクセス

いわゆる「パスワード総当たり攻撃」の一種と思われる、異常な回数のログイン試行を受けた際の対策と状況推移(WordPress のケース):

  • 何も対策をしないと、1日に数千回のアクセス。
  • この時点では特定 IP アドレスから繰り返しアクセスの傾向。
  • ログイン失敗時のロック機能(プラグイン)を導入後、一時的にアクセス減。
  • しかしすぐに今度は様々な IP アドレスから再び異常な回数のログイン試行。
  • ログイン失敗時のロック機能は基本的に IP アドレスでアクセス元を識別するので、IP アドレスを変更されると効かない。
  • ロック機能の繰り返しログイン失敗許容回数を減らす。
  • ログイン試行回数は減少(ただ無くなりはしない)。

パスワード管理

もし英単語や数字をつなげた程度のパスワードだと、いつか破られる可能性は十分ある。やはりパスワードは十分に複雑なものにして、覚えるのではなくブラウザに保存。ただしその端末のプライバシーのレベルに信頼がおけない場合はブラウザに記憶させるわけにはいかない。

WordPress は大丈夫か

ネット上では 「WordPress はセキュリティに問題がある」という論調の記事も多数見かけるが、その根拠として皆一様に挙げているものの1つが「管理画面がインターネット上に公開されている」というもの。ただこれは WordPress に限った話ではないので、ちょっと違うかなという気がする。大体どんなサービスにしても管理画面へのアクセス自体はインターネット上の「どこからでも・誰でも」できるのが普通だ。ただサービスによってセキュリティレベルが異なるのは、認証の複雑さ(多段階認証など)やサービス事業者側の監視体制のレベルの違いによるところが大きい。

あとは利用者側の意識の問題。特に最近はパスワード使いまわしのリスクは大きいと考えられる。先のパスワード総当たり攻撃でも、過去に流出したパスワードリストが使用される。