情報セキュリティ ブログ記事

あなたのサイトは大丈夫?脅威にさらされるWebサイト

2020/07/06

 

 

企業や個人に関わらずWebサイトの公開が一般的になっているなか、Webサイトに対するセキュリティ対策を意識している人は少ないかもしれません。Webサイトを公開していても攻撃を受けている様子もないのでセキュリティ対策を後回しにしてしまっていませんか。実はインターネット上に公開されているWebサイトであればどんなものであっても常に攻撃にさらされていると考えなくてはいけません。

では実際にはどんな攻撃を受けているのでしょう?
それはWebサイトへのアクセスログをよく観察してみるとわかります。

Webサイトに対してどのようなアクセスが行われているのかを知るために、攻撃を受けることを前提に構築されたWebサイトを用意してどのような攻撃を受けることがあるのかを調査しました。このWebサイトに攻撃者がアクセスしたときの情報をログとして保存します。これらのログを確認することで攻撃者が何をしようとしているのかを知ることができます。

1週間、webサイトを公開したところ約3万件のアクセスがあり、これらのほとんどが不正アクセスを試みようとするものでした。以下の表は攻撃者がアクセスしてきたアドレスの上位10個です。

アドレス 件数
/wp/wp-login.php 1,548
/old/wp-login.php 1,546
/wordpress/wp-login.php 1,544
/blog/wp-login.php 1,540
/backup/wp-login.php 1,538
/cms/wp-login.php 1,534
/2019/wp-login.php 1,532
/2020/wp-login.php 1,524
/wp1/wp-login.php 1,520
/old/xmlrpc.php 774

これを見るとほとんどのアクセスがWordPress※に対してログインを試みようとしていることがわかります。(WordPressそのものにセキュリティの脆弱性が存在するわけではありません。) また、これらの不正アクセスはそのほとんどがロボット(ボット)によるもので、WordPressで構築されたWebサイトを想定した総当たり攻撃であると推測できます。インターネット上では自動でWebサイトを探索して情報を収集するボットが存在し、悪意を持って作成されたボットが常にセキュリティの脆弱なサイトを探しています。

Webサイトへの不正アクセスはどんなWebサイトであっても受ける可能性のある脅威です。しかしボットを用いるような初期攻撃は単純なものであることが多いため、ログイン試行回数に制限を設けたり2段階認証やワンタイムパスワードを設定したりすることでも防ぐことができます。

Webセキュリティ対策は、個人や組織がセキュリティを意識することから始まります。自分は被害にあわないだろうと安易に考えるのではなく、Webサイトを運営している以上は攻撃を受ける前提で、少しずつでもセキュリティを意識しておくことが大切です。

※コンテンツ管理システムのひとつ。HTMLの知識がなくてもwebサイト制作が可能な無料のツール。

 
このエントリーをはてなブックマークに追加