「自分のサイトは小規模だから大丈夫」 「特に重要な情報もないし、ハッカーに狙われるわけがない」
WordPressでサイトを運営していると、ついセキュリティ対策を後回しにしてしまいがちです。しかし、攻撃者はサイトの規模に関係なく、常に脆弱性を探してインターネットを巡回しています。
今回は、サイトの「404エラーログ」という些細な記録をきっかけに、海外からの不審なアクセスを発見し、対策を講じるまでの一連の流れを実践的なノウハウとしてご紹介します。あなたのサイトを守るための具体的なヒントが、きっと見つかるはずです。
不正なボットが自社サイトに巡回していました
発端:見慣れない「404エラー」の記録
サイト運営者が定期的にチェックすべき項目の一つに「404エラーログ」があります。これは、訪問者が存在しないページにアクセスしようとした際に記録されるものです。
私は、ワードプレスで404エラーをチェックするのは「Redirection(リダイレクション)」というプラグインを使っています。
Redirectionはリンク切れのチェックなどに役立ちますが、時に招かれざる客の足跡が残っていることがあります。
ある日、ログをチェックしていると、奇妙な記録が目に留まりました。
- アクセス先URL:
/contact.php - ユーザーエージェント:
Go-http-client/1.1 - IPアドレス:
144.172.96.144
一般の訪問者が使うChromeやSafariといったブラウザ名ではなく、「Go-http-client」という見慣れない名前。しかも、数日間隔で同じIPアドレスから繰り返しアクセスが試みられていました。
これは一体、何なのでしょうか?
気づきと仮説:これは「普通のアクセス」ではない
ここで、いくつかの仮説を立てました。
- 仮説1:これは人間によるアクセスではない 「
Go-http-client」は、Googleが開発したプログラミング言語「Go」で作られたプログラムがアクセスしてきたことを示すものです。つまり、何らかの目的を持ったボット(自動化プログラム)である可能性が濃厚です。 - 仮説2:目的はスパムや脆弱性探し アクセス先の
/contact.phpは、多くのお問い合わせフォームで使われる典型的なファイル名です。ボットはこのようなありふれたファイル名をターゲットに、「スパムメッセージを送りつけられるフォームはないか」「セキュリティ上の弱点(脆弱性)はないか」を無差別に探していると考えられます。 - 仮説3:IPアドレスを変えながら執拗にアクセスしてくる ログをさらに詳しく見ていくと、同じ
Go-http-clientから、少しずつ違うIPアドレスを使ってアクセスしてきていることが判明しました。これは、IPアドレス単位でのブロックを回避しようとする、より悪質なボットの手口です。
これらの状況証拠から、「海外のクラウドサーバーを利用した悪質なボットが、サイトの脆弱性を探るために無差別攻撃を仕掛けている」という結論に至りました。幸い、私たちのサイトには該当するファイルがなかったため「404エラー」となり実害はありませんでしたが、放置しておくのは非常に危険です。
対応:IPアドレスとユーザーエージェントの「二段構え」でブロック
原因が特定できたので、次はいよいよ対策です。相手はIPアドレスを変えてくるため、IPアドレスのブロックだけでは不十分。そこで、以下の二段構えでアクセスを遮断することにしました。
- 【根本対策】ユーザーエージェントでブロックする 相手が
Go-http-clientという名前を名乗ってくる以上、この名前でのアクセスをすべて拒否するのが最も効率的です。サーバーの設定ファイル.htaccessに以下の記述を追記し、「Go-http-clientで始まるアクセス」をすべてシャットアウトします。 - 【補強対策】特に悪質なIPアドレスをブロックする 念のため、これまでのログで特にアクセスの多かったIPアドレスも個別にブロックしておきます。
最終的に、.htaccess ファイルに以下の設定を追記しました。
# 特定のユーザーエージェントを拒否
SetEnvIf User-Agent "^Go-http-client" block_bot
<RequireAll>
Require all granted
Require not env block_bot
</RequireAll>
#特定のユーザーエージェント記述のEND
# 頻出する悪質なIPアドレスを拒否
deny from 144.172.103.112
deny from 52.231.14.129
deny from 52.231.97.189
deny from 20.191.140.170
deny from 216.24.219.111
deny from 13.79.230.11
deny from 20.39.205.91
※.htaccessはサイトの動作に影響する重要なファイルです。編集する際は必ずバックアップを取ってください。
この対策を実施して以降、Go-http-clientからの不審な404エラーはピタリと止まりました。
まとめ:サイト運営者が学ぶべき3つの教訓
今回の経験から、すべてのWordPressサイト運営者が心に留めておくべき教訓は3つです。
- 定期的に404エラーログをチェックしよう ログはあなたのサイトの健康状態を示すカルテです。見慣れないアクセスは、攻撃の予兆かもしれません。最低でも月に一度は目を通す習慣をつけましょう。
- 不審なアクセスは「ユーザーエージェント」と「IPアドレス」で見極める 「見たことのないユーザーエージェント」や「短時間に集中する海外IPからのアクセス」は危険信号です。放置せず、その正体を調べる癖をつけましょう。
- セキュリティ対策は多層的に IPアドレスのブロック、ユーザーエージェントのブロック、そしてWordPressのセキュリティプラグイン(Wordfenceなど)の導入やサーバーのWAF(ウェブアプリケーションファイアウォール)機能を有効にするなど、複数の防御壁を組み合わせることで、サイトの安全性は飛躍的に高まります。
インターネットにサイトを公開している以上、攻撃は「いつか来るもの」ではなく「常に来ているもの」。この記事が、皆さんの大切なサイトを守る一助となれば幸いです。
この記事を書いた遠田幹雄は中小企業診断士です
遠田幹雄は経営コンサルティング企業の株式会社ドモドモコーポレーション代表取締役。石川県かほく市に本社があり金沢市を中心とした北陸三県を主な活動エリアとする経営コンサルタントです。
小規模事業者や中小企業を対象として、経営戦略立案とその後の実行支援、商品開発、販路拡大、マーケティング、ブランド構築等に係る総合的なコンサルティング活動を展開しています。実際にはWEBマーケティングやIT系のご依頼が多いです。
民民での直接契約を中心としていますが、商工三団体などの支援機関が主催するセミナー講師を年間数十回担当したり、支援機関の専門家派遣や中小企業基盤整備機構の経営窓口相談に対応したりもしています。
保有資格:中小企業診断士、情報処理技術者など
会社概要およびプロフィールは株式会社ドモドモコーポレーションの会社案内にて紹介していますので興味ある方はご覧ください。
お問い合わせは電話ではなくお問い合わせフォームからメールにておねがいします。新規の電話番号からの電話は受信しないことにしていますのでご了承ください。
【反応していただけると喜びます(笑)】
記事内容が役にたったとか共感したとかで、なにか反応をしたいという場合はTwitterやフェイスブックなどのSNSで反応いただけるとうれしいです。
遠田幹雄が利用しているSNSは以下のとおりです。
facebook https://www.facebook.com/tohdamikio
ツイッター https://twitter.com/tohdamikio
LINE https://lin.ee/igN7saM
チャットワーク https://www.chatwork.com/tohda
また、投げ銭システムも用意しましたのでお気持ちがあればクレジット決済などでもお支払いいただけます。
※投げ銭はスクエアの「寄付」というシステムに変更しています(2025年1月6日)
※投げ銭は100円からOKです。シャレですので笑ってご支援いただけるとうれしいです(笑)
