ハッカーによりWordPressの脆弱性調査されているときのアクセスログの例と、その対策について解説します。
脆弱性調査とは
脆弱性調査(セキュリティ診断)は、その名のとおりシステムに潜在する脆弱性(セキュリティ上の弱点)を特定するための調査です。
脆弱性調査は真っ当な目的で行われる場合と、不正な目的で行われる場合があります。
- 真っ当な目的で脆弱性調査を行う場合
- セキュリティ会社や社内のシステム管理部門などが、システムの脆弱性を見つけて適切な対策を講じるために行う。
- 不正な目的で脆弱性調査を行う場合
- ハッカーなどが攻撃対象のシステムの脆弱性を見つけ、その脆弱性を悪用してサイバー攻撃を行うために行う
今回は、WordPress製サイトに対して行われる不正なアクセスログの例を紹介します。
ハッカーによりサイトの脆弱性を調査されているアクセスログ
以下のアクセスログは、実際に私のWordPress製サイトがハッカーにより脆弱性を調査されているときのものです。
上記のアクセスログがなぜハッカーにより脆弱性を調査されているものと判断できるのかについては、次項で解説します。
【判断根拠1】IPアドレス
「143.244.xxx.xxx」がハッカーのIPアドレスです。IPアドレスがハッカーによるものかどうか「AbuseIPDB」というサイトで調べることができます。このサイトは、不正アクセスに関与しているIPアドレスのデータベースを提供しており、IPアドレスを入力して検索すると、過去に別の通報があったかなどがわかります。
今回のIPアドレス「143.244.xxx.xxx」を入力して検索すると、「This IP was reported 56 times. Confidence of Abuse is 87%」という結果が表示されました。これは、同じIPが過去56回、不正アクセスに利用されているという報告がされていることになります。また、IPの概要も表示され、国外のホスティングサービスのものでした。
以上のことから、IPアドレスの情報だけでもほぼ黒(ハッカー)によるものだと推察できます。
【判断根拠2】アクセス先
重要なのはIPアドレスだけでなく、アクセス先(どのようなアクセスをしているのか)です。
先程のアクセスログでは、「/wp-content/ALFA_DATA/alfacgiapi/」 「/wp-content/plugins/ubh/」「wp-content/plugins/wp-hps/sh/」「wp-content/themes/twentyfive/」「/wp-content/plugins/Uwogh-Segs/」などにアクセスし、存在しないためリダイレクト(301)されています。
これらは、WordPress製サイトにハッカーが仕掛ける有名な不正ファイル(ハッカーが不正にインストールするプラグインやテーマ)です。検索すればソースコードや情報が出てきます。
つまり、このアクセスは既に不正ファイルが設置されているかという脆弱性調査をしていることがわかります。もし、アクセスが成功すれば不正ファイルがそこにある(脆弱性がある)ということがわかり、その不正ファイル(脆弱性)を使ってサイバー攻撃を行うものと推察できます。
以上のことから、ハッカーによる脆弱性調査を防ぐこともセキュリティ対策としては重要になります。
ハッカーによる脆弱性調査への対策
ハッカーによる脆弱性調査への対策としては、脆弱性調査のアクセスを拒否(ブロック)することです。
もし貴方のサイトが国内向けであれば、海外からのアクセスを.htaccessなどで拒否することがセキュリティ上は望ましいです。
海外からのアクセスを拒否するのは嫌だというのであれば、国単位で拒否したり、IPアドレス単位で拒否することも可能です。
ただし、私の経験上、沢山のIPアドレスを使って脆弱性調査をしてくることも多いため、国単位やIPアドレス単位で拒否しても、やらないよりはマシ程度(イタチごっこ)になります。
コメント