【ConoHa WING】攻撃してきた特定のIPアドレスを制限する方法
この記事では、僕が契約しているレンタルサーバー「ConoHa WING
」のIPアクセス制限機能を使って、攻撃してきた特定のIPアドレスをブロックする方法を書きます。
ナポリタン寿司はこれまで「ConoHa WING」のデフォルトのセキュリティ設定、「SiteGuard WP Plugin」WordPressプラグインを入れても基本デフォルト状態でより高度なオプションの設定変更はあんまりしていませんでした。果たして対策と言えるのも分かりません。
そんなバカな状態だったからか、単純にアクセス数(母数)が増えたからそういうのも増えただけなのか分かりませんが、気づいた時には1日何十件も攻撃されていた状況でした。
ちょーど2024年12月31日に「年末だし普段全く弄っていないセキュリティ設定でも確認してみますか」と作業して気づきました。
「おいおい洒落になってねーぞ…。こんな状況で逆によく今まで大丈夫だったな…。こりゃTverで年越し番組見てる場合じゃないな。ピクチャーインピクチャーで端っこに表示させて(おいw)対策するぞ…」となったのでした。
僕が契約しているレンタルサーバー「ConoHa WING」には攻撃された履歴(IPアドレスと攻撃内容)を確認できる機能があり、さらに指定したIPアドレスをアクセス制限する機能があります。
指定されたIPアドレスで当サイトにアクセスしても「403 Forbidden」エラーを吐き出します。
本記事の注意点です。僕はセキュリティのセの字も知らない初心者です。用意されているものを使ってセキュリティ対策するしかない素人です。
間違った対策をしている可能性もあるので、あんまり信用せずに。そういう疑心暗鬼の目でネットを利用するのも大切なセキュリティ対策だと思います。
攻撃者のIPアドレスを確認する
必要性
むやみやたらにIPアドレスを追加しても意味がありません。実際に攻撃してきたIPアドレスを調べて二度といたずらされないようにします。
一度攻撃されないと特定できないという後手で、さらにIPアドレスなんていくらでもごまかしようがある(らしい)のであんまりアテにはなりませんが、とにもかくにも一度攻撃してきたIPアドレスを調べる必要があります。
ログイン
「ConoHa WING」のコントロールパネル(管理画面)にログインします。
セキュリティ関連繋がりで余談として書いておきますが、ログインページはメールなどのリンクから開くのではなく、あらかじめ登録していたブックマークから開くか、広告ブロッカーなどを導入してスパム系サイトも除外した上でGoogle検索して公式リンクを開くほうがおすすめです。
メール内のリンクだとそもそもメールが公式そっくりに作られた偽物の可能性があり、リンクも当然偽サイトな可能性があるためです。
最近の偽サイトはパッと見ただけだと違いが分からないほど精巧に作られているものがあるので、「いやいやさすがにひっかからんよ(笑)」と思わないようにしましょう。
誰でも交通事故で被害者になってしまう可能性を秘めているのと同じで、ブラウジングもいつ自分が被害者になってもおかしくない可能性を一人ずつ例外なく抱えています。
過信せず常に疑いの目で利用するのがいいのかなと思います。といい感じに警告していますが、全て自分に対してです。ほんと。
WAFの攻撃履歴を確認
僕はVPSやGAMEなどではなくWINGを使っているので上部のタブは「WING」にします。左側サイドバーにある「サイト管理」をクリックします。
「サイトセキュリティ」をクリックします。
「WAF」タブを選択します。利用設定が「ON」になっていることを確認します。そもそもここがオフ(OFF)になっている場合必ずオンにしましょう。僕みたいなセキュリティ対策について何も分からない初心者がとにかく絶対にオンです。オフでいいはずがないです。
オンにしていた場合、攻撃された時ページ下部に履歴が残ります。「攻撃元IPアドレス」が相手のIPアドレスです。
デフォルトでは「10件表示」になっているので数が多い場合は「100件」とかに増やすといいかなと思います。
確認できるのは直近1000件までです。一つのIPアドレスにつき一つの履歴ではなく、同じIPアドレスから別日時に攻撃された場合それぞれ残ります。
そのため僕のサイトで1000件全て確認してみましたが、実際は同じIPアドレスからの攻撃がほとんどでIPアドレス別でいうと200件あるかないかでした。
まぁそれでも僕からしたらおおごとですけどね。同じIPアドレスから毎秒ごと別の内容で攻撃されているのは怖いです。数うちゃあたれで機械的に試している印象です。
IPアドレスをコピーしてまとめる
IPアドレスをそれぞれコピーしていきます。
基本的には「攻撃ターゲットURL(攻撃された場所)」が管理画面の「wp-admin」フォルダーだったり、その中にある「admin-ajax.php」だったりした場合は、誤操作アクセスは考えられないので全て悪意目当ての攻撃と判断していいと思います。
他にも長い文字列だったり、「old」や「bak」ファイルあたりにアクセスしてきてるのも攻撃だと判断していいのかなと思います。
基本的に読者はサイト内で用意されているページ遷移で完結するので、わざわざ表向きには見えない管理者のファイルへのアクセスを試みているのはおかしいと思っていいかなと思います。
僕はもう同じIPアドレスが複数回(2回以上)履歴に残っている場合ははもう攻撃と判断しました。
1回でも正直ここに残っている時点で怪しいんですが、まぁ見逃してもいいかもしれません。パッと見同じようなIPアドレスで末尾の数字だけ違うのが連続(ほぼ毎秒)で攻撃してきているみたいなパターンは1回でも攻撃と判断していいです。
判断したIPアドレスを一つすつコピーしてメモ帳に貼り付けていきます。
コピーしてはIPアクセス制限のテキストボックスに貼り付ける…作業をしてもいいんですが、どうしても行ったり来たりで非常に時間がかかります。まず一気に別の媒体(メモ帳やらExcelやらなんでもいい)に書き出してから、一気に貼り付けるのがおすすめです。
ここからは余談ですが、僕はWindows11でクリップボード履歴ソフト「Clibor」を使っています。
本ソフトは最大1万件履歴を保存でき、さらにコピーした順番で貼り付けていくFIFOモードというのが用意されています。
いちいちコピーしてメモ帳に貼り付け…の行ったり来たり作業をしなくても、ずら~~とひたすらCtrl+Cでコピーしていって、ある程度コピーしたらまとめてメモ帳に今度はCtrl+Vで貼り付けていく…というまとめ作業ができてしまいます。超便利です。
https://www.naporitansushi.com/clibor/IPアクセス制限に登録する
IPアクセス制限ページを開く
攻撃してきたIPアドレスを特定できたら、「WAF」の隣の隣くらいにある「IPアクセス制限」をクリックします。「ブラックリスト」をクリックして展開します。
IPアドレスを書き込む
テキストボックスが表示されます。デフォルトでは書き込みできないようになっているので、編集したい場合右横にある鉛筆マークを押します。
入力できるようになるのでコピーしたIPアドレスを貼り付けます。一行につき一つのIPアドレスです。一つ書いたらその都度Enterキーを押して改行しましょう。
設定の保存
編集したら「保存」を押して設定を適用します。
うまく保存できたら「成功しました」とポップアップが左下に表示されます。この時「100件を超えています」って表示されたら一度貼り付ける量を減らして何回かに分けて保存しましょう。
本当にブロックできているのか自分で確認
本当にアクセス制限できているのか確認するため、試しに自分のIPアドレスを入力してみました。
自分のIPアドレスは以下のサイトから確認できます。「あなたの利用しているIPアドレス」の下に表示されます。
https://www.cman.jp/network/support/go_access.cgi設定を保存した後、自分のサイト(https://www.naporitansushi.com)にアクセスしてみます。
見事サイトが表示されず白紙のページに黒文字で「Forbidden」と表示されました。403エラーです。トップページだけでなく記事やカテゴリーなどどのページもダメでした。
もし、WAFの攻撃履歴に誤検知で自分のIPアドレスがのっていて、気づかずにIPアクセス制限に書き込んでしまうと上記のように自分が開けなくなります。
「書き込んだ後いきなり自分のサイト開けなくなった!」と焦るのではなく、自分のIPアドレスを調べて、登録したIPアドレス一覧から探して削除してあげます。
感想
以上、「ConoHa WING」のIPアクセス制限機能を使って攻撃してきた特定のIPアドレスをブロックする方法でした。
セキュリティ対策は初心者だろうがちゃんと向き合うべきですね。最低限用意されている設定を活用してやっておくといいかなと思います。