【不正アクセス】ブログに限らずパスワードとセキュリティは強化しよう

こんな情報化社会だからこそ、セキュリティ対策は必須！ 突破を狙っている者は、すぐそこにいるかもしれませんよ。

皆さんは、ふだんから使用しているアカウントのパスワードをすべて同じものにしていたり、簡単な数字（たとえば誕生日）だけの組み合わせにしていたり、といった設定をされてはいないでしょうか？

なんでもないアカウントであればまだしも、そのアカウントに悪用できる情報が詰まっている場合、悪意のある何者かによって狙われてしまうことがあります。そして万が一パスワードが突破されてしまえば、アカウントは乗っ取られてしまい、その後はなにをされてしまうかはもうわかりません。

とくにブログを運営している方は、一定の期間を超えると、悪意を持った第三者に狙われやすくなると思うので、きちんと対策を打っておいたほうがいいですよ。

WordPressのアカウントは敵に狙われる

きっかけは、当サイトのお問い合わせ用につくったメールアドレスの、受信箱をチェックしていたときのことでした。

当ブログもある程度アクセス数が増えてきたことで、たまにお問い合わせをいただくようにもなってきたため、私はブログ用のメールアドレスをつくり、それを返信用として使用することにしていました。

なかには、業務提携などのおいしそうな話をぶら下げ、メールアドレスやアカウント情報などの、個人情報を狙おうとするやからがいるからです。

とくに、そういった「敵」は外国から攻撃してくることが多いのですが、最近になって敵なのか味方なのかよくわからないグレーな問い合わせがあり、私は返信しようか迷いながら、当ブログのメールアカウントにログインしたのです。

すると……

ひさびさに見た受信箱は迷惑メール一色！

ちなみに、このブログお問い合わせ用メールアドレスは、ふだんから使用したり、ブログで公開しているようなものではありません。つまり、これらのすべては、当ブログのメールアドレスを解析した敵による攻撃なのです。

Amazonや楽天の名をかたり、お支払いがどうだ、アカウントがロックされているだ、と不安をあおる悪意を持った第三者。ところがどっこい、私はもうこの手の詐欺には引っ掛からないのです。

これらはすべてゴミ箱にぶち込み、どうも迷惑メールを最初から受信拒否することもできたようなので、敵の攻撃に対するシールドを展開しておきます。

おそらく、このメールアドレスはお問い合わせ用にわかりやすくしておいたので、そういったところを突いてきたのでしょう。当ブログも敵に攻撃されるまでに成長したのか、と感慨にふけりながら、私はふと気になったことを確かめるため、ブログのセキュリティをチェックすることにしました。

ブログを乗っ取ろうとするやからが出現

公開していないメールアドレスが解析されるということは、ブログを乗っ取ろうとするやからが現れても不思議なことではありません。

そこで私は、WordPressのセキュリティ対策ソフトとして大活躍し、ログイン履歴も確認することができる「SiteGuard」をチェック。すると、ログイン履歴には、まさかの光景が……！

ブルートフォース……アタックだと……？

説明しよう！

ブルートフォースアタック（Brute force attack）とは、日本語では「総当たり攻撃」のことを指し、パスワードなどの暗号を片っ端から試していくことで、セキュリティを突破しようとする手法のことをいいます。

たとえば、パスワードが4桁であれば、0000～9999までを試せば理論上は突破することができるため、そういったプログラムをコンピュータに実行させ、暗号の解析を行うのです。

英字26文字4桁の解析であれば、解読時間はわずか約3秒。人が考えやすいパスワードをあらかじめ予測する「辞書攻撃」というものもあり、今回の場合、ログインユーザー名にブログから予測されるものが入力されていたことから、ブルートフォース × ディクショナリーアタックとでもいうような、危険極まりない技を使われた可能性がありました。

しかも攻撃回数は1秒間に3発、約0.3秒に1発というのもさることながら、第1段階として暗号化しておいたログインページが解析され、そこにたどり着いていたことにも驚きを隠せません。

ところがどっこい！ WordPressを乗っ取られると本気でシャレにならないことになってしまうため、このへんは「Edit Author Slug」という、ユーザー名を変更できるプラグインを利用するなどして、セキュリティは事前に強化しておいたのです。これによって被害は未然に防ぐことができました。

以前までは敵が現れることもなかったのでそこまで警戒してはいなかったのですが、さすがにこれは危ないと思い、私はセキュリティを全面的に、さらに強固なものにしたのです。

皆さんのパスワードは大丈夫ですか？

ブログの場合、アクセス数が増えればそれだけ人目にもつくようになるので、敵の攻撃も受けやすくなるのですが、ブログをやっていないから大丈夫、なんてことはありません。

ふだん使用しているメールのアカウントや通販のアカウント、クレジットカード、電子決済、スマホ、SNSなどなど、あげれば本当に切りがないですが、こういったもののパスワードを「誕生日+ゼロ4つ」のような簡単なものにしていないでしょうか？

こんなものはブルートフォースアタックにかかれば一発ですよ。なにせブルートフォースアタックですからね。ブルートフォースアタックをなめてはいけないのです。

ちなみに、私はこれを機に、セキュリティが低いと思っていたパスワードは全部変えました。とくにGoogleのアカウントは「AdSense、Analytics、Search Console」と、ブログの解析ツールなどがすべて同じアカウントでひも付けられているので、これも絶対に突破されるわけにはいかないからです。

いつか変えなきゃな、と思っていたのであれば、今すぐに変えましょう。いつ攻撃されるかわかったものじゃないですからね。

今回のまとめ

じつをいうと、半分は「ブルートフォースアタック」と言いたかっただけの記事なのですが、アカウントのセキュリティ対策の重要性は十分に伝わったのではないかと思います。

ちまたでよく聞く「私はこんなことは言っていません、アカウントが乗っとられたんです！」というのも大変だとは思いますが、ブログのアカウントに侵入されてしまうと、第三者によって悪意のあるコードが埋め込まれたりすることもあるようなので、わりと死活問題となってしまう場合もあります。

なにごとも、ことが起きてからでは遅いです。敵が攻撃してくる前に防御態勢を整え、攻撃されたとしても、弾き返せるようにしておく必要があるということです。

それと、敵なのか味方なのかよくわからない人物からのメールには返信するのはやめました。なぜか教えてもいない問い合わせ用メールアドレスに、同じ会社を名乗る人物からメールが来ていたからです。

ブログ運営は、見えざる敵との戦いでもあると私は知りました。