ホームページ制作会社スタッフのブログ
カラーミーショップ

WordPress を狙ったブルートフォース攻撃の対策

 ウェブデザイン ブログランキングへ


唯一の有効な対策は Google 認証システムを利用した2段階認証

ブルートフォースとは、アタッカーがユーザー名とパスワードの組み合わせをランダムに入力し、ログインできるまでこれを繰り返すという攻撃手法。

今回の WordPress のケースでは、アタッカーはユーザー名を”admin”に設定している利用者にターゲットを絞り、パスワードに対するブルートフォース攻撃を仕掛けた。

ホスティングプロバイダーによるブルートフォース攻撃との戦い

WordPress のシステムは、WordPress.com サイトだけでなく、GoDaddy や HostGator といった有力なホスティングプロバイダーで利用されている。

GoDaddy は今回の件につき、ホスティングインフラに対するブルートフォース攻撃は珍しいことではないとコメントした。

とはいうものの、GoDaddy は今回の攻撃が非常に大規模で、かつ洗練されたものであることも認めている。

GoDaddy は先週金曜日、攻撃の大半は緩和できたと発表した。だが、顧客の一部はいまもアカウントを回復できていない。

 

GoDaddy は次のように述べている。

「我々のセキュリティーチームは、アタッカーの IP アドレスを元に、攻撃がどこから行われているのか突きとめる努力を継続している。

また、怪しいと見られるアクセスについては、すべてをブロックしている。さらに我々は、数千のサーバーすべてに対して、新たな機能をインストールした。

これは、怪しい振る舞いをするアクセスをより素早くブロックすることが可能なものだ」

HostGator は、今回のブルートフォース攻撃では9万を超える IP アドレスが利用されたことを報告した。

HostGator の Sean Valant 氏は、Blog に次の投稿をしている。

「この攻撃により、WordPress サイトのバックエンドが遅くなったり、ログインできなくなったりといった現象が発生した。

我々はこの攻撃を緩和する複数の対処をサーバー全体に対して実施した。

だが、この手の攻撃の前には、できることは限られている」

より大規模なボットネットが待ち構えている?

今回の WordPress を狙ったブルートフォース攻撃の真の動機は不明だ。

だが、将来の攻撃に備えた、ボットネット構築が目的ではないかという見方が存在している。

CloudFlare CEO である Matthew Prince 氏は、Blog に次の投稿をしている。

「今回の攻撃では、将来の攻撃で使用するより強力な大規模なボットネットの構築のために、家庭用 PC による弱いボットネットを利用したのではと懸念されている。

大規模なサーバーマシンを利用すれば、DDoS 攻撃でより大きなダメージを与えることができる。

サーバーマシンは、大規模なネットワーク接続を持っているし、より大規模なトラフィックを生成することも可能だ」

CloudFare のネットワークは最近、史上最大規模の DDoS 攻撃を受けたばかりだ。

ブルートフォース攻撃への対抗策とは?

WordPress に対するブルートフォース攻撃へのリスクを緩和させるには、いくつかの対処をする必要がある。

CloudFlare や Incapsula といった Web セキュリティサービス企業は、Webアプリケーションファイアウォール(WAF)を設定すべきであると述べている。

WordPress 創始者である Matt Mullenweg 氏は、WordPress の root 管理で「admin」を使用するべきではないと提案している。

Mullenweg 氏はまた、WordPress.com Web サイトの「Selecting a Strong Password」で説明されている”強い” パスワードの利用も推奨している。

WordPress.com の Blog ホスティングサービスを利用している場合、利用者は Google 認証システムを利用した2段階認証を利用することも可能だ。

このシステムでは「秘密の番号」の入力が求められるが、これは30秒ごとに新規生成されるので、ブルートフォース攻撃で突きとめるのはほぼ不可能となる。

Mullenweg 氏は、2段階認証の利用を強く推奨している。

「2段階認証を採用するべきだ。そうすれば、まだこのシステムを採用していない WordPress.com 内の99%のサイトに先駆けることができる。

採用すれば、恐らくは、二度とブルートフォース攻撃で悩まされることはなくなるだろう。

多くの人が様々なアドバイスをしているが、その多くは有効ではない。

今回の攻撃をしかけているボットネットは、9万以上の IP アドレスを使っているため、IP 制限では対応できないのだ。

アタッカーは、あるアドレスがブロックされれば、すぐに別の IP アドレスから攻撃をしかけてくる」

 

[ Sean Michael Kerner 、InternetNews.com の主任編集者。]

 

 


関連記事 :

5万円プラン

ACCESS WEB DESIGN のオンラインショップがOPEN!

オンラインショップ

http://shop.feelgood21.net/

ホームページやWORDPRESSのテンプレート、
バナー画像素材などをどんどん追加していきます!

Related Posts

  • Contact Form DBContact Form DB Contact Form […]
  • ホームページをリニューアルしました。ホームページをリニューアルしました。 WORDPRESSを活用したホームページの制作依頼が増えてきました。 それに伴いホームページをリニューアルしました。 今後とも多くの人達のお役に立てるよう進化し続けま […]
  • WEBサイト・リニューアル & facebookページ開設WEBサイト・リニューアル & facebookページ開設 ずっと前からサイトのリニューアルを検討していましたが、ホームページの制作案件が溜まっていたので後回しになっていました。 ちょっと時間が出来たのでホームページの作りなおしと、fa […]
  • お手軽・格安プラン誕生お手軽・格安プラン誕生 「ホームページの枠組みだけを格安で作って欲しい」というご要望が増えてきました! そこで皆様のご要望にお応えするプランを誕生させました!   wordpressをベ […]
  • Category Order カテゴリの並び順を変更してくれるプラグインCategory Order カテゴリの並び順を変更してくれるプラグイン カテゴリの並び順を変更してくれるプラグイン。 WordPressではカテゴリの並べ替えができません。 自由に並び替えがしたいという方は・・・・・ 『Category […]
  • サイドにソーシャルメディアボタンリンクサイドにソーシャルメディアボタンリンク ホームページのサイドにRSSフィードやメール、ツイッターやフェイスブックなどのリンクを表示するプラグインがあります。 他にも、Google+、LinkedIn、MySpace、 […]
  • コンテンツスライダー | Meteor Slidesコンテンツスライダー | Meteor Slides コンテンツスライダーとは、Webサイトのトップページ等でよく利用される、画像をスライド表示させ、訪問者に見てもらいたい情報を強くアピールする際に用いられるものです。 Meteo […]
  • 100件限定キャンペーン!ホームページ制作が70%off100件限定キャンペーン!ホームページ制作が70%off 昨年のリニューアルキャンペーンでは、10件限定で募集したところ、お申し込み殺到! 1週間で締め切る事になりました。   今回は100件限定です!! しかも、前回 […]
  • Cudazi Scroll to Top「トップへ戻る」Cudazi Scroll to Top「トップへ戻る」 このプラグインはシンプルです。 プラグインをダウンロードして有効化するだけ! 面倒な設定は一切不要です。   プラグインの新規追加で 「Cudazi […]
  • WordPressのRSSエラー(XMLパースエラー)の対処方法WordPressのRSSエラー(XMLパースエラー)の対処方法 エラー内容  XMLファイルの先頭に余分な改行、スペースが入ってしまっているため、各種ブラウザにてエラーが発生。   Firefoxでフィードを表示した場合XML […]

タグ:


Top