あなたのサイトは大丈夫?海外からのアクセスを拒否する最も簡単な方法

• セキュリティ対策

• 
• ツイート

海外からの不正アクセスが年々増加

日頃から不正アクセスのニュースを耳にする機会が増えましたが、対岸の火事と思っていませんでしょうか。
車を運転する以上は事故の可能性がゼロではないのと同じで、ウェブサイトを公開する以上は不正アクセスの
被害に遭う可能性もゼロではありません。悪意あるハッカーは脆弱性のあるサーバを常に探しては悪用する
事を繰り返しています。基本的なセキュリティ対策を行っていれば、問題の起こる可能性は低いのですが、
最近は海外からの不正アクセスが増加し、このアクセスそのものがサーバに負荷を与える問題が起こっています。

サーバに負荷を与える主な不正アクセス

不正アクセスと一言で言っても色々なものがあるので、主な手法を挙げるのは難しいのですが、あるサイトが
個別にターゲットにされる場合を除けば、ほとんどの場合が「SSH」「FTP」「HTTP/HTTPS」での不正アクセスです。

SSHによる不正アクセス&対策

SSHとは、簡単に説明するとサーバをリモート操作するソフトウエアですが、世のほとんどのサーバ管理はSSHで
行われていると言っても過言でなく、SSHの標準ポート22で適当なユーザ名とパスワードで不正なログインを
試みることが日常的に行われています。SSHでサーバにログインされてしまうと、サーバが目の前にあるかのように
操作されてしまい大変危険です。対策としては、簡単なユーザー名とパスワードにしないのはもちろんの事、
標準ポートを22ではなく別のものに変更する事です。これだけでも無作為な不正アクセスには対応でき、
徐々にSSHを利用した不正アクセスは減少する場合があります。

FTPによる不正アクセス&対策

WEB開発者の方でなくとも、FTPは耳にした事がある方も多いと思いますが、FTPはサーバ(PC)間でファイルを
転送するソフトウエア(プロトコル)です。サーバに接続するためにはSSHと同じようにユーザ名とパスワードが
必要で、簡単なユーザー名とパスワードにしないのは当然ですが、世の多くのウェブサイトは共有レンタルサーバを
利用しているケースが多く、SSHのようにFTPの標準ポートを変更する事が難しいです。(最近では共有レンタルサーバ
でもSSHが利用できる場合もありますが、この場合も恐らくポート番号は変更できないと思います)このため、
FTPを利用した不正アクセスの対策としては、FTPを行う接続元のサーバ(PC)のIPアドレスを制限する方法です。
(SSHでも行うべき対策です)PPPoEなど接続元のIPアドレスが変わってしまう環境では、都度制限変更をする事が
面倒ですが、昨今の不正アクセス状況を考えると、しかるべき対策だと思います。

HTTP/HTTPSによる不正アクセス&対策

SSHやFTPの不正アクセス対策としては、ユーザー名とパスワードの複雑化、標準ポートの変更、アクセス元IP
アドレスの制限が主なものですが、HTTP/HTTPSによる不正アクセス対策ではどれも難しいです。そもそもウェブサイトは
不特定多数の方が閲覧するもので、ユーザー名やパスワードは無くアクセス元IPアドレスの制限もできず、標準ポートは
HTTPが80、HTTPSが443で、これを変更してしまうと一般の人はサイトが閲覧できなくなります。ではどう対策すれば
良いかと言いますと、不正アクセスの大半は海外からのものが多いので、海外IPアドレスからのアクセスを
すべて遮断する方法が有効です。

SSHによる不正アクセス&対策

SSHとは、簡単に説明するとサーバをリモート操作するソフトウエアですが、世のほとんどのサーバ管理はSSHで
行われていると言っても過言でなく、SSHの標準ポート22で適当なユーザ名とパスワードで不正なログインを
試みることが日常的に行われています。SSHでサーバにログインされてしまうと、サーバが目の前にあるかのように
操作されてしまい大変危険です。対策としては、簡単なユーザー名とパスワードにしないのはもちろんの事、
標準ポートを22ではなく別のものに変更する事です。これだけでも無作為な不正アクセスには対応でき、
徐々にSSHを利用した不正アクセスは減少する場合があります。

海外IPアドレスからのアクセスを拒否する方法

IPアドレスは国別で与えられているものが公開されていますが、必ずしも正確ではありません。また、「海外IPアドレス
のアクセスを拒否する」という設定よりも、「日本のIPアドレスからのアクセスのみ許可する」という方が人にもサーバにも
優しい設定となります。最近日本ではIPアドレスの不足により日本からのアクセスであっても海外に割り当てられたIPアドレスを
使用している場合があるため注意が必要なのと、検索エンジンのIPアドレスは海外IPアドレスになるため、これは許可する
設定も必要になります。海外からのIPアドレスを拒否するだけでも、WEBサーバやDBサーバの負荷はかなり減少しますので、
日本国内限定のウェブサイトであれば、標準で制限してしまった方がトラブルを未然に防ぐ事ができます。

.htaccessでの制限方法

#検索エンジンのUserAgentを環境変数に代入
SetEnvIf User-Agent ”Googlebot” allowbot
SetEnvIf User-Agent ”msnbot” allowbot
SetEnvIf User-Agent ”bingbot” allowbot
SetEnvIf User-Agent ”Slurp” allowbot

#一旦、すべてのアクセスを拒否
order deny,allow
deny from all

#検索エンジンからのアクセスを許可
allow from env=allowbot

#許可するIPアドレスを一覧で記述
allow from 国内IPアドレス