ブルートフォースアタックとは？サイトへの不正侵入を防ぐための対策

[公開日] 2014/3/3　[更新日] 2014/3/22　[ワードプレス]

ブルートフォースアタック。なんだかプロレスの必殺技みたいな名前ですね。これはパスワードを強引に解読する方法の一種で、不正アクセスによく使われます。

あなたのサイトを外部の攻撃から守るために、敵の手のうちを知って対策を立てておきましょう。

ブルートフォースアタックとは？

ブルートフォースアタックとは、パスワードを手当たり次第に入力して強引にログインをしようとする攻撃のことです。すべての文字列を入力することから「総当り攻撃」とも言われます。

「自転車の鍵番号を忘れてしまって、4桁の数字をすべて順番に合わせて解錠した」なんて経験がある人もいるかと思いますが、アレと同じことですね。



ブルートフォースアタックは非常に初歩的な暗号解除方法なのですが、パスワードが貧弱な物に設定してあると、いとも簡単に侵入を許してしまう結果になります。

例えば、4桁の英数字（大小の区別無し）のパスワードの場合、解読するには約3秒の時間しかかかりません。3秒って、パスワード無いのと同じですよね…^^; これではほとんどパスワードとしての役割は果たしていません。



6桁の英数字の場合でも数十分もあれば解読できてしまいますが、8桁を超えてくると数十日という単位の時間が必要になってきます。

8桁以上の英数字の場合だと、一応パスワードとしての役割を果たせると言えます。パスワードを必要とするサイトでは、ブルートフォースアタックに対して一定の効力があるということで、8文字以上の設定になっていることが多いです。

ただし、wordとかsecurityなど、文字列が意味を持つ単語になっている場合は注意が必要です。ブルートフォースアタックではなく、辞書アタックという攻撃方法で被害に遭いやすくなります。辞書アタックは意味を持つ文字列に特化した攻撃方法になっています。

ブルートフォースアタックでサイトへ不正侵入されるのを防ぐ対策

1.ブルートフォースアタックに対策がしてあるサーバーと契約する

現在では多くのサーバーで、ブルートフォースアタックを警戒して海外IPからのアクセスを制限しています。

私が使っているエックスサーバーも、早くからブルートフォースアタックへの対策をしています。エックスサーバでは基本的に海外IPからログインURLへアクセスすることができません。

海外から自分のサイトを更新したい場合は、そのセキュリティー設定をオフにするか、または個別でIPを指定してアクセス許可する必要があります。

エックスサーバーのアクセス許可の方法はこちらをご覧ください。
→Xサーバーの「WordPress国外IPアクセス制限」は個別に解除可能

2.パスワードを簡単な物にしない

• 文字数を多くする
• 意味のある文字列は使わない
• 記号や数字も使用する

上記のことをすると、パスワードの強度が高まります。パスワードは文字列が長いほど、また数字や記号などが複雑に、無秩序に並んでいる方がより解読しにくいことになります。

それと、定期的にパスワードを変更することも安全性を高めます。面倒ですが、重要なパスワードほどこまめに変更したほうが良いです。



ただ、余りに複雑なパスワードを設定したり、頻繁に変更すると、今度は覚えるのが大変ですよね。今日食べたお昼ごはんのメニューすらすぐ忘れてしまう私には、無機質な文字列をたくさん覚えるのは難しいです…。

そうした場合には、パスワードを覚えてくれるサービスを利用すると、自分はパスワードを覚えなくてよいので便利です。ロボフォームやLastPassなどですね。

→LastPass
→ロボフォーム

これらのサービスを利用する場合は、ロボフォームやLastPass自体のパスワード管理を厳重にしないと、登録してあるパスワードをすべて盗まれてしまうという恐ろしい結果になるので、十分な注意が必要です。

※クレジットカードの番号や、ネットバンクなどのパスワードは登録しないほうが良いです。クリティカルなパスワードは、自分の頭の中だけに記憶しておくようにしてください。

3.不正な侵入をされてないかログをチェックしておく

WordPressの場合は、管理者以外が不正に侵入を試みた形跡がないか、ログイン履歴を定期的にチェックするプラグインがあります。

プラグイン凶骨を使うと、ワードプレスのログイン履歴が確認できます。身に覚えのないログイン履歴、もしくはログインに失敗した履歴などがあった場合は、すぐにパスワードを変えたりするなど対処することができます。

→ログイン履歴を監視するCrazy Bone(狂骨)の使い方

4.サイト全体のバックアップをする

大事だとは知っていても、面倒でバックアップをしていない人はけっこういると思います。万が一不正侵入をされて、サイト内容改ざんの被害を受けた場合でも、すぐバックアップから復元できるようにしておくことが大切です。

サイトがあるサーバーとは別の外部記憶装置に、サイト全体のバックアップをすることが望ましいですね。できれば1種類の方法ではなく、複数の方法でバックアップを取っておくことをおすすめします。

私はプラグインBackWPupで、毎日定時にサイト全体のバックアップを実行する設定にしてあります。

→BackWPupでバックアップを自動かつ定期的に！

ポイント

きちんと対策をしておけば、プルートフォースアタックをはじめとした不正侵入を過度に恐れる必要はありません。ただしセキュリティに関して全く対策を講じないのはダメです。

今までこつこつと作成してきたサイトがダメージを受けてしまってからでは遅いので、できるだけ早めに対策を習慣化しておいてくださいね。