カテゴリー: 情報セキュリティ

わたしのサイトも狙われた。国内IPからの執拗なログイン試行とその対策(WordPress)

あなたのサイトにも忍び寄る悪意

最近、サイトの見直しをいろいろと行っているのですが、
その時に気づいたのが、覚えのないログイン試行。

11:11から11:18にかけて、300回のログイン試行が行われました。
数秒ごとに行われているので、自動化されたツールから試行されてるっぽいですね。

辞書総当たりでアタックしてきたのかな・・・。
ログから読み取れることは少ないですが・・・。
IPはわずかに変動しています。
ブロックを回避しようとする攻撃側の工夫(分散攻撃)かもしれません。

しかし、わたしのような弱小サイトまで狙ってくるとは・・・。

あまり情報を公開はしたくないですが、
WordPress上で、セキュリティのプラグインを入れて防御しています。

ちなみに、IPアドレスは国内のようで、
事前に乗っ取られてしまったサイトなのかもしれません。

国内IPを介した攻撃は、海外からの直接攻撃を警戒する
セキュリティ設定を潜り抜けるための手口かもしれません。
つまりは、踏み台にされている可能性があります。

踏み台にさせられた、そのサイトにも原因があるかもしれません。
セキュリティは、サイトを運用する人の責任でもあると思います。

乗っ取られないようにするために

自分のサイトが乗っ取られないようにするため、
他のサイトに迷惑をかけないようにするため、
以下はしっかりと対応しましょう。

パスワードは予測可能なものにはしない

辞書攻撃で破られるようなパスワードはやめましょう。

セキュリティ等をかける

WordPressなどではプラグイン等で予防することが可能です。
イメージを見ていただくと、ログイン失敗からロックに変わっています。

ログイン失敗が続いたあと、ステータスが「ロック」に変わっています。
これはプラグインが自動で異常を検知し、攻撃者のアクセスを遮断した跡です。
もしこの対策がなければ、数万回の試行を許し、今ごろサイトは乗っ取られていたかもしれません。

その他のサイトでも、なにかしらの予防を施すことが肝要です。

最新モジュールを保つ

悪意のある人はセキュリティホールを狙ってアクセスする可能性があります。
最新化を保つことが、サイト管理者にとって大事な作業になります。

推測されやすいユーザー名は避ける

「admin」や「サイトドメイン名」などをそのままユーザー名に使うのは危険です。
攻撃者はまずこれらを試してきます。
ログインURLの変更なども含め、入り口を特定させない工夫も効果的です。

多要素認証を利用する

「多要素認証」を利用している場合、仮にIDおよび1つ目のパスワードを不正利用されても
次のログイン行為を破られないかぎりは、不正ログイン防止に効果があります。

自分のサイトなので、多要素認証は有効となりますが、

少し話がずれてしまいますが(こことは話が少しずれてしまいますが)、
他のサイト等を訪問している際は、
フィッシングサイトなどでサイト自体が詐称されている場合があります。
その際はふたつ目のログイン行為も破られる可能性があり、注意が必要です。
(多要素認証といえど、必ずしも安全ではないことに注意が必要です。
  万能薬ではないことはお伝えしておきます)

参考ページ

不正ログイン対策特集ページ - IPA 情報処理推進機構

https://www.ipa.go.jp/security/anshin/measures/account_security.html

IPスプーフィング/DDos攻撃 - 攻撃を受けている可能性。あなたも受けているかも。 - きん たろう のページより

https://kinchannn.jp/2021/03/03/attack/

と、書いてるうちにも、フィッシングメール・・・汗

君のメール自体が詐欺メールなんだけど・・・

シェアしていただけるとうれしいです。

IPスプーフィング/DDos攻撃 - 攻撃を受けている可能性。あなたも受けているかも。

YouTubeアップしました!(2022/04/19)


https://youtu.be/0ipw0ka8spE

(はじめに)怪しいアクセスが・・・

こんにちは。きんです。

たまにですが、当サイトへのアクセスが10倍くらいにもなる時があります。
いやぁ~喜ばしいことで・・・。
と、いうわけではないんです。

調べていくと、送信元のIPアドレスが外国からのが多いんです。
さらに調べていきます。
クローラー(ボット)の他にも、いろんな国、いろんな企業/団体などからアクセスがあります。

なぜか、有名そうな大学からとかアクセスがありそうなんです。
なんだか変だな・・・と思いつつ・・・やっと分かりました。
(憶測が入ります)

IPスプーフィングとDDosを組み合わせた攻撃を受けているのです。

https://gigazine.net/news/20180309-ip-spoofing-ddos/

Gigazineさんに記事がありました。
これはね~難しかった。ここにたどり着くのが。(数年かかったかも・・・)

わたしのサイトが攻撃を受けている。と、思っていたんですが、
もちろんわたしのサイトも攻撃を受けているのですが、
他のサイトをも攻撃しているかもしれない。

ちなみにですが、個人のサイト管理者のどれだけの方が、
この攻撃を受けていることを知っているのか・・・ほぼ皆無ではないかと思っています。

もう少し順を追って説明していきます。

(IPスプーフィング)


悪意のある謎のX氏は、
送信元IPアドレスを偽り(いつわり)ます。
X氏のIPアドレスではなく、Z大学に書き換えてしまうのです。
これが「IPスプーフィング」という攻撃になります。

IPスプーフィングでは、送信元IPが書き換えられているため、
もともとどこから来たデータなのか、分かりません。
攻撃者・謎のX氏は、これでいいんです。
まともにデータを返してほしいとは思っていないのですから。

DDos攻撃

かたや、サーバーA、B、Cは怪しい者とも分からず、
ふつうに処理を行い、偽られた送信元:Z大学へ返信するでしょう。
これが「DDos」攻撃になってしまいます。

(影響と加担)

これで何が起こるか・・・というと、いくつか思いつくのですが、
・ネットワークに負荷をかけ、ネットワーク的にダウンさせる。
・特定のサーバーに負荷をかけ、サーバーをダウンさせる。
(送信先ポートを80番にすれば、Webサーバーまでたどり着く可能性があるでしょう)

この攻撃に加担させられている可能性がある。むしろ高い。と思われます。
わたしのサーバーも例外ではなく、X氏の歩兵扱いにされていると思われます。

インターネットに接続しているサーバーのほとんどが、このような攻撃にさらされている。
といっても過言ではない。と思っています。

「サーバー管理者は対処すべきである」と思われるかもしれません。
しかし、送信元IPアドレスを偽られていることを判断することは送信先サーバー(サーバーA)では困難です。
(各サーバーの条件によっては、やれることもあるかと思います。
ただし、インターネットに接続する不特定多数のアクセスを認めてるサーバーは対応できないでしょう)

(根本解決への考察)

防ぐとすれば、根本対策をするならば、
怪しいパケットをインターネットに出すところでとめるしかない。
そう思っています。
例えばですが、ISPなど、インターネット接続業者がファイアーウォール等で、
適宜、不正なパケットを破棄する。

技術的には可能ではないでしょうか?(ここができないと、止められない)

この対策を行うとするならば、世界的な枠組みで行わないといけない。
この動きってないのかしらね?
Gigazineさんの記事を見ても、積極的に取り組む必要がある。とは書いてあるけど、
取り組んでいる。とは書いていない。

(飛躍?)

そして、ここで勘ぐってしまうんだけど、
各国、特に大国と呼ばれる各国は、IPスプーフィング攻撃の対応は取りたくないかもしれませんね。
対応をすると、他の国に攻撃できなくなってしまうので。

世界を飛び交うIPパケットの何%が、まともなパケットなんでしょう。
数%がまともで、90%以上が偽りのパケットだったりして・・・。
本当にそんな気もするんです。

いつかゴミだけが飛び交うネットワークの時代。が、すぐそこに。まで来ているのかもしれません。

(おわりに)

Javaとは関係のないネタでした。
Javaもやらなきゃ・・・。
https://kinchannn.jp/

わたしのサイトも狙われた。国内IPからの執拗なログイン試行とその対策(WordPress)

https://kinchannn.jp/2026/01/12/login_sikou/

シェアしていただけるとうれしいです。