商品等のご購入はAmazonがおすすめ

不正アクセスは今このときも常に行われている

セキュリティ

自分のウェブサイトを持っている人は常に不正アクセスの標的になっています。

不正アクセスなんて大手が対象じゃないの??

などと思っていると乗っ取られます。

不正アクセスとは

文字通り、外部の人間が許可なくアクセスすることです。

総務省|不正アクセスとは?|国民のためのサイバーセキュリティサイト
総務省の政策(行政運営の改善、地方行財政、選挙、消防防災、情報通信、郵政行政など)、組織情報、所管法令、報道資料、会議資料等を掲載しています。

ウェブサイトやシステム、アプリなど様々な対象に対して行われますが、今回はウェブサイトに焦点を当てようと思います。

ウェブサイトに不正アクセスされるとどうなる?

改ざんや削除などのおそれがあります。

ウィルスの頒布元にされることもあるため、信用にも関わります。

対策

ではどう対策したらいいのか、その方法の一部を紹介します。

WAFを導入する

レンタルサーバーを使用している場合はWAF(Web Application Firewall)設定が備わっている場合が多いので、その機能をオンにしましょう。

当サイトはXserverを使用していますが、以下のようなWAF設定が存在します。

WAF設定 | レンタルサーバーならエックスサーバー
レンタルサーバー「エックスサーバー」のご利用マニュアル|サーバーのWAFに関する設定を記載しています。

自前でサーバーを用意している場合でも無償のModSecurityやその他の有償WAFもあるので、できれば導入すべきだと思います。

WordPressでの対策

当サイトも使用していますが、WordPressは特に念入りにセキュリティ対策をすべきかと思います。

というのも近年は特に小規模サイトで頻繁に利用されるCMS(Contents Management System)と呼ばれるウェブサイトお手軽管理ツールが流行していて、その中でもWordPressは圧倒的なシェア率を誇っています。

そのシェア率ゆえに脆弱性も高くなってしまっているのが現状です。

以下もレンタルサーバーであれば備わっているであろう機能なため、利用しましょう。

WordPressセキュリティ設定 | レンタルサーバーならエックスサーバー
レンタルサーバー「エックスサーバー」のご利用マニュアル|ご利用のWordPressにおいて、各種ツールに対する国外IPアドレスからのアクセスの制限や、パスワード総当たり攻撃の防止など、セキュリティを強化する「WordPressセキュリティ設...

国外からのアクセス制限

不正アクセスの発信元は9割が海外と言われています。

サイバー空間での不正アクセスが急増 発信元の9割が海外
去年、サイバー空間での不審なアクセスは1日平均1IPアドレスあたり、7700件に上っていたことが警察庁のまとめで分かりました。  このようなアクセスはサイバー攻撃を試みる行為の一環とみられ、統計を取り始めた2018年以降、増加を続けています...

上記画像はランダムに選んだ1日のアクセスログから明らかに正当な手段でない方法でのアクセスを抜粋したものです。

このように当サイトでも海外から不正アクセスを試みられています。

ですので、国外アクセスを制限するだけでかなりの不正アクセスが防げます。

ログイン試行回数制限

何回もログインに失敗するとログイン操作自体ができなくなるようにする設定です。

これを設定しないとプログラムから簡単に不正アクセスされます。

コメント・トラックバック制限

変なコメントは不正アクセスやウィルス頒布の一助になり得ます。

制限するか、コメント自体を禁止しましょう。

また、不正なトラックバックも攻撃に利用されかねないので制限しましょう。

ログインURL変更

WordPressはログインURLが統一されているため、誰でも簡単にログイン画面にはアクセスできてしまいます。

もしログインURLへの不正アクセスが続くようなら変更してみましょう。

ただ、個人的には↓の動画のようにどうせ特定されるので、ログイン試行回数制限とパスワードリスト攻撃されないパスワードにするという2つの対策で十分かと思っています。

ZIP爆弾

個人的に一番面白い対策でした。

ウェブサイトに侵入してくる相手にZIP爆弾を送りつけて撃退する方法
セキュリティの不十分なサーバーを見つけるためにウェブサイトには日々多数の不審なアクセスが行われています。そうしたアクセスをしてくる相手に対して解凍すると容量が膨れ上がる「ZIP爆弾」を送りつけて撃退する方法がブログにまとめられています。

特定のページにアクセスしたときのみサイズが膨れ上がる圧縮ファイルを仕込むというものです。

皆さんも仕込んでクラッカーどものPCをクラッシュさせてやってください。

まとめ

不正アクセスはインターネットを使用している全ての人が対象です。

さらに、上記した対策はあくまでも不正アクセスされにくくする対策であり、完全に不正アクセスをシャットアウトするものではありません。

不正アクセスされた場合の対策も準備しておきましょう。

コメント

モバイルバージョンを終了
タイトルとURLをコピーしました