近年CMS(コンテンツマネージメントシステム)を使ってホームページを更新することは当たり前になってきました。CMSを利用してホームページを更新するには管理画面に入る為のパスワードが必要になります。
しかしながらパスワードが必要となるとホームページを改ざんする為にパスワード認証を狙った攻撃が大きな脅威になってきます。
年々高度な攻撃なってくので完璧な対策は難しですが、現時点で出来るセキュリティ対策をご紹介します。
攻撃手段の種類
■ブルートフォースアタック(総当たり攻撃)
総当たり攻撃との名が示すように考えられるパスワードのパターンを組み合わせて試してパスワード解除を導く出す方法です。
固定したID(例えばログインIDがtrevoだった場合)以下の様な図ようなパターンで時間が掛っても攻撃してきます。
■リバースブルートフォースアタック(逆総当たり攻撃)
ブルートフォースアタックとは逆にパスワードを固定して、IDを様々なパンターンを組み合わせて攻撃する方法です。
■リジョーアカウントへの攻撃
IDとパスワードが同じものを使っているアカウントを「ジョーアカウント」と呼びます。
もっとも簡単な攻撃ですが、現在でも同じIDとパスワードを使っている人がおり被害を受ける方がいます。
■リパスワードリスト攻撃
何らかの方法で入手したIDとパスワードを使い様々なサイトに攻撃する方法です。
ユーザーはIDとパスワードは同じものを使いまわしていると想定していることを前提にして攻撃するので、不正アクセスをされた場合利用している他のサイトでも被害が広まる可能性があります。
現在問題となっている攻撃の一つです。
対策方法
対策方法はユーザー側で出来る方法と管理者側で出来る方法の2種類あります。
■パスワードの強度を上げる(ユーザー側の対策)
IDやパスワードが変更できる場合は、文字数を増やす、大文字小文字をまぜる、数字を入れる、記号を入れるなど不規則な文字の組み合わせにします。
■利用サイトごとにパスワードを変更する(ユーザー側の対策)
同じIDとパスワードを使いまわしていると、IDパスワードが盗まれた場合、最悪同じ物を使用しているサイトは全て不正アクセスされる可能性があります。
■ログイン回数を制限する(管理側の対策)
一定の回数の間違ったIDパスワードを入力すると、数分~数時間の間IDパスワードを入力できなくして、機械的に連続して入力することを防ぎます。
■アクセス元を制限(管理側の対策)
不正攻撃をしくるIPを排除してサイトにアクセスできないようにする方法です。
あまりIPを規制しすぎるとサイトの利便性が損なわれる可能性もあります。
■サイトがWordPresで運営されてる場合は、最新のバージョンにする。(管理側の対策)
開発環境によってはバージョンアップすると何らかの不具合が出る可能性があります。
ただ、古いバージョンはセキュリティ面で不安があり開発も止まっているので攻撃対象になりやすです。
常にWordPressの最新バージョンを利用するようにしましょう。
まとめ
WEB上にIDとパスワードが必要なページがある限り不正アクセスの攻撃はあります。
攻撃方法は年々高度な攻撃なって、たま、予想外の方法で侵入してきます。
当然管理側がユーザーに安全にサイトを利用してもらう為の努力は必要ですが、
ユーザー側でも定期的にパスワードを変えるなどの対策をとることで大きく不正アクセスを防ぐ事ができます。
その為、管理者はユーザーにセキュリティの大切さを説明(教育)して、いくことも大切だと思います。
