ちゃらまんブログ

エンジニアちゃらまんがサイト立ち上げや技術的な情報を公開するブログ

セキュリティ

ブルートフォースアタックについてとその対策

投稿日:2017年7月21日 更新日:

以前の記事でも記載しているように、ブルートフォースアタックとは攻撃者があなたのサイトのログインページに対してランダムでログインIDとパスワードを入力して不正なログインを試みる攻撃です。

その対策について考えていきましょう。

対策としては主に3つあります。
①推測されやすいログインIDやパスワードを使わない
②ログインを含む管理画面にIP制限をかける
③2段階認証を用いたワンタイムパスワードの導入

①推測されやすいログインIDやパスワードを使わない
これはあなたがサイトの管理者であるならばすぐにでも確認しておきましょう。
これによって不正なログインをされるケースは思ったよりあります。
また、ログインIDとパスワードは管理し、どのユーザーでログインできるのかを把握しておくことも重要です。

②ログインを含む管理画面にIP制限をかける
そもそもログイン画面を表示する際に、特定のグローバルIPでしかアクセスを受け付けなくすることでセキュリティは格段に高まります。
グローバルIPって何それ?って感じの人は、最後まで読んでください。

グローバルIPというのは、あなたがWEBサイトにアクセスするときに使っているIPのことです。
グローバルIPとはWEB上での住所みたいなもので、あなたが使っているIPを他の人が同じタイミングで使っているということはありません。
なので、特定のグローバルIPのみアクセスできるようにすればあなたしかアクセスできないページとなりセキュリティが確保されるのです。
あまり詳しくは書きませんが、WEBサイトを閲覧しているということはグローバルIPを使っているという風に認識してください。

自分の使っているグローバルIPを確認したいときはこちら。
https://www.cman.jp/network/support/go_access.cgi

■アクセス制限設定方法
アクセス制限をかけたいフォルダに「.htaccess」というファイルを作成します。
(存在する場合には、追記となります)
ファイル内に以下のように記載すると完了です。
order deny,allow
deny from all
allow from xx.xx.xx.xx ←許可したいIP

ただ、ここで気をつけておかなければいけないことは、グローバルIPは変わるということです。
住所は持ち家ではなく賃貸なのです。
時間が経つと自分が使っていたグローバルIPを他の人が使っているということになるわけです。

これだと特定のIPにアクセス制限をかけてもIPが変わってしまう為、自分がアクセスできなくなってしまいます。
対策をして自分のみアクセスできるようにしましょう。

-グローバルIPを固定する
多くの企業ではこちらを設定しています。
賃貸から持ち家にしています。
メリットはIPがずっと変わらないので、一度設定してしまえば、セキュリティが担保されます。
デメリットとしては、IPを固定する為に費用が発生します。

個人の場合でも、プロバイダと契約するときに固定IPにするサービスを使うことで固定のIPにすることができます。
1,000円前後で提供しているところもありますので、詳しくは契約しているプロバイダに問い合わせてみてください。

ここで問題!
「もう既にプロバイダと契約しているし、契約中のプロバイダにそんなサービスないよ」というあなた
そういう場合には今使っている回線から固定IPにする方法があります。
料金もそれほど高くないのでこちらを検討してみてはいかがでしょう。
インターリンクという会社が提供しています。
・マイIP
http://www.interlink.or.jp/service/myip/

-アクセス制限をするIPを接続時に変える
IPを固定できない場合には「.htaccess」を書き換える方法を取ります。
ログイン画面にアクセスする前にグローバルIPを調べます。
調べたIPを「.htaccess」の許可するIPを上書きしてください。
これで今の住所でのIPが許可されログイン画面を表示できるようになります。

メリットはお金がかかりません。
デメリットは手間が増えたり、管理画面に途中で突然繋がらなくなることがあります。

-ベーシック認証をかける
あまりおすすめはしませんが、IPも固定できない、いちいち許可するIPを変えるのも面倒という人は管理画面にベーシック認証をかけてください。
ただ、ベーシック認証はブルートフォースアタックの対策にはなりませんのでご注意ください。

③2段階認証を用いたワンタイムパスワードの導入
googleが提供する2段階認証を自身のサイトに導入します。
基本的に②がきちんと設定されている場合には必要ありません。
ワードプレスだと比較的導入が簡単にできるため、ワードプレスで説明していきます。
・2段階認証の「Google Authenticator」
簡単に説明すると、スマホで取得したワンタイムパスワードを用いなければログインできない仕組みです。
自分のスマホでしかパスワードが分からない、かつワンタイムパスワードという特性から攻撃者がログインできることは少なくなるでしょう。
設定方法は、こんな感じです。
-アプリをダウンロード
-WordPressに「Google Authenticator」プラグインを設定
-ワンタイムパスワードの発行

このサイトに詳細は記述されていますので、設定したい人は確認してみてください。
http://viral-community.com/wordpress/wordpress-google-authenticator-1416/
いかがでしたでしょうか。
セキュリティ対策をしっかり施して安全なWEBライフをお過ごしください。

-セキュリティ

執筆者:

comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


関連記事

no image

WEBサイトのセキュリティについて初心者が知っておくべき事

今回はセキュリティについてサーバーなんて扱ったこともないという人向けに順を追って記事を書いていこうと思います。 初回は初心者でも分かりやすく説明していくので、安心してください。 ワードプレスなどで誰で …

PREV
WEBサイトのセキュリティについて初心者が知っておくべき事