米国 WordPress はインターネットで最も人気の高いコンテンツマネジメントシステム(Content Management System:CMS)。そのシェアは、50%を超えている。だが、この高い人気のため、WordPress はアタッカーの攻撃対象にもなりやすい。同システムは先週、大規模なブルートフォース攻撃を受けた。

WordPress を狙ったブルートフォース攻撃 ― 唯一の有効な対策は Google 認証システムを利用した2段階認証
ブルートフォースとは、アタッカーがユーザー名とパスワードの組み合わせをランダムに入力し、ログインできるまでこれを繰り返すという攻撃手法。今回の WordPress のケースでは、アタッカーはユーザー名を"admin"に設定している利用者にターゲットを絞り、パスワードに対するブルートフォース攻撃を仕掛けた。

ホスティングプロバイダーによるブルートフォース攻撃との戦い

WordPress のシステムは、WordPress.com サイトだけでなく、GoDaddy や HostGator といった有力なホスティングプロバイダーで利用されている。

GoDaddy は今回の件につき、ホスティングインフラに対するブルートフォース攻撃は珍しいことではないとコメントした。とはいうものの、GoDaddy は今回の攻撃が非常に大規模で、かつ洗練されたものであることも認めている。GoDaddy は先週金曜日、攻撃の大半は緩和できたと発表した。だが、顧客の一部はいまもアカウントを回復できていない。GoDaddy は次のように述べている。

「我々のセキュリティーチームは、アタッカーの IP アドレスを元に、攻撃がどこから行われているのか突きとめる努力を継続している。また、怪しいと見られるアクセスについては、すべてをブロックしている。さらに我々は、数千のサーバーすべてに対して、新たな機能をインストールした。これは、怪しい振る舞いをするアクセスをより素早くブロックすることが可能なものだ」

HostGator は、今回のブルートフォース攻撃では9万を超える IP アドレスが利用されたことを報告した。HostGator の Sean Valant 氏は、Blog に次の投稿をしている。

「この攻撃により、WordPress サイトのバックエンドが遅くなったり、ログインできなくなったりといった現象が発生した。我々はこの攻撃を緩和する複数の対処をサーバー全体に対して実施した。だが、この手の攻撃の前には、できることは限られている」

より大規模なボットネットが待ち構えている?

今回の WordPress を狙ったブルートフォース攻撃の真の動機は不明だ。だが、将来の攻撃に備えた、ボットネット構築が目的ではないかという見方が存在している。CloudFlare CEO である Matthew Prince 氏は、Blog に次の投稿をしている。

「今回の攻撃では、将来の攻撃で使用するより強力な大規模なボットネットの構築のために、家庭用 PC による弱いボットネットを利用したのではと懸念されている。大規模なサーバーマシンを利用すれば、DDoS 攻撃でより大きなダメージを与えることができる。サーバーマシンは、大規模なネットワーク接続を持っているし、より大規模なトラフィックを生成することも可能だ」

CloudFare のネットワークは最近、史上最大規模の DDoS 攻撃を受けたばかりだ。

ブルートフォース攻撃への対抗策とは?

WordPress に対するブルートフォース攻撃へのリスクを緩和させるには、いくつかの対処をする必要がある。

CloudFlare や Incapsula といった Web セキュリティサービス企業は、Webアプリケーションファイアウォール(WAF)を設定すべきであると述べている。

WordPress 創始者である Matt Mullenweg 氏は、WordPress の root 管理で「admin」を使用するべきではないと提案している。Mullenweg 氏はまた、WordPress.com Web サイトの「Selecting a Strong Password」で説明されている"強い" パスワードの利用も推奨している。

WordPress.com の Blog ホスティングサービスを利用している場合、利用者は Google 認証システムを利用した2段階認証を利用することも可能だ。このシステムでは「秘密の番号」の入力が求められるが、これは30秒ごとに新規生成されるので、ブルートフォース攻撃で突きとめるのはほぼ不可能となる。

「秘密の番号」の入力画面
「秘密の番号」の入力画面

「秘密の番号」は Google 認証システムで生成される
「秘密の番号」は Google 認証システムで生成される

Mullenweg 氏は、2段階認証の利用を強く推奨している。

「2段階認証を採用するべきだ。そうすれば、まだこのシステムを採用していない WordPress.com 内の99%のサイトに先駆けることができる。採用すれば、恐らくは、二度とブルートフォース攻撃で悩まされることはなくなるだろう。

多くの人が様々なアドバイスをしているが、その多くは有効ではない。今回の攻撃をしかけているボットネットは、9万以上の IP アドレスを使っているため、IP 制限では対応できないのだ。アタッカーは、あるアドレスがブロックされれば、すぐに別の IP アドレスから攻撃をしかけてくる」

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。