カテゴリー
security Synology

[Synology] 自宅に設置したNASにWordPressを構築してblog配信、高まるネット・リスクとセキュリティ対策 – [2020/12/31]

レンタルサーバーを使用しない茨の道を選んだフロンフィアの苦悩は続く

[Synology] 自宅に設置したNASにWordPressを構築してblog配信、高まるネット・リスクとセキュリティ対策 – [2020/12/31]
スポンサーリンク
  • by Google Ads ID:11145
  • by Google Ads ID23293

ID22342

スポンサーリンク
by Google Ads ID8603

はじめに

これまで、DS918+を導入しblogを公開してから1年程度のサーバー管理をしてきましたが、アドレスを公開する前後では、サイバー攻撃を受ける割合が相当増えました。

WordPressへのログインは、ログを取っていない(何かいいプラグインがあるかも知れません)のでわかりませんが、DSMへのログイン攻撃が増加しました。これは、別の記事でも述べている通り、正に、「Low and Slow」によるブルートフォース攻撃です。ブルートフォース攻撃では、DSMのログインに対して、2~3分ごとに、IDをAdminとして、パスワードを試行してくるのです。

今年2020の春ごろにDS918+のログを何気に見て気がついたので良かったものの、そのログから3ヶ月以上の間ひたすら2~3分毎に試行を繰り返していました。少し冷や汗が出てきます。

この攻撃に対して、どのように対処したら良いのか、最近起こった「ドコモ口座」の内容に絡めて解説します。

スポンサーリンク
  • Synology DS517 by Amazon ID:22173
  • Synology DS920+ by Amazon ID:22172
  • オムロン BY50S用パック by Amazon ID:22171
  • オムロン BY50S by Amazon ID22170
  • Synology 高機能無線ルーター 800Mbps + 1,733Mbps(11a/b/g/n/ac対応) 高セキュリティ VPN Plus対応 RT2600ac by Amazon ID24327
  • エレコム LANケーブル CAT6A 5m 爪折れ防止コネクタ ホワイト LD-GPA/WH5 by Amazon ID24327

ドコモ口座の不正引き落としサイバー事件

スポンサーリンク
by Rakuten ID:15895

ドコモ口座は、簡単な手続きで広くユーザーに使ってもらうというコンセプトがあったようです。その結果、ドコモ口座の取得には本人認証がなく、偽名での口座開設が可能だったこと、更に、コンピュータからのドコモ口座へのアクセスも可能であった事から、コンピューターパワーを使ったサイバー攻撃により、口座IDとパスワードが盗まれたのではないかと推定されています。

ドコモ口座について

ドコモ口座は、数十もの銀行と連携しており、ドコモ口座のアプリをインストールした携帯電話などに現金を振り込み(チャージ)できます。そのチャージで簡単に決済ができる仕組みです。

連携しているとは、ドコモ口座にログイすれば、ドコモ口座と連携している自分の銀行の口座から、ドコモ口座への入金が簡単にできてしまう事を意味します。

日本の銀行が、二段階認証を進めているのに、連携している「ドコモ口座」が「ザル」では、セキュリティは台無しになります。ドコモ口座は、セキュリティホールになっていました。

考えられるパスワードの漏出

ドコモ口座の構造が分かれば、攻撃手法は想像に難しくありません。私が経験した「Synology NASに対する不正ログイン攻撃」の手法が、まず考えに浮かびます。

そうです、2~3分おきにIPアドレスを変えながら(これを「Low and Slow」攻撃と言います)、一定のIDとその都度パスワードを変えて試行する事を、数ヶ月でも繰り返すやり方です。これをブルートフォース攻撃(あのブルートの力任せという意味)と言います。

前回、春頃と今回、クリーンインストールした直後に攻撃された際のログを見ると規則的に試行しているのが分かります。

あとは、類似の手法として、リバース・ブルトーフォース攻撃です。これは、パスワードを一定にその都度IDを変えて試行することを繰り返すやり方です。これらのほとんどは、攻撃に気付かれないように「Low and Slow」のやり方と合わせて攻撃してきます。最後に、参考文献では、「パスワードスプレー攻撃」というものもあるようです。少しロジックが凝っているので、ハッカー好みかもしれません。詳しくは、参考文献を確認してください。

スポンサーリンク
by Google Ads ID19417

Synology NAS製品での対策

Synology製品のルーターおよびNASであるRT2600acおよびDS918+では基本的に以下の対策を講じることができます。ルーターを直接攻撃あるいはアクセスしてくることは、機器の性質上から少ないのですが、それでもインターネットからのログインでルーターの管理を実施できるようにしている場合は、NASと同様の対策が必要です。Synology Routerの設定については、別の記事をご参照ください。NASの場合の設定は、「コントロールパネル」から行います。

  1. 管理者権限ユーザーの2段階認証を設定
    • 「ユーザー」画面から設定する
    • 管理者を選択して、2段階認証を有効に設定する
  2. パスワードを出来る限り長く複雑にする
    • ユーザー画面から設定する
    • 今回の「ドコモ口座の事件」では、他の銀行と同様にパスワードは4桁でした。ブルートフォース攻撃をしやすい桁数です
    • なぜなら、ドコモ口座へのログインは、パソコンを使用できるため、世界に溢れるその手のツールを使って、パスワードをハッキングする事は容易です
    • Synology NASやパソコンは、銀行口座のようにパスワードの長さ制限について、人間のレベルとしてほとんど無いと言えます。できるだけ長くして複雑にすれば、ハッキングでパスワードを盗まれるリスクは低下します
  3. 「ファイアウォール」によるIPアドレス、ポートの閉鎖
    • 「セキュリティ画面」の「ファイアウォール」タグから設定する
    • Synolgoy製品には、NASとRouterがありますが、いずれもLinux系のOSが使用されています。もちろん、Linuxはサーバーを意識した設計であり、UNIXを親に持つため、サーバー系のツールが豊富にあります。Synolgoyは、台湾の企業であり世界的な企業です。自社製品に対する最適化は日々続けています。安心して導入しましょう。
    • NASでは、今回の攻撃に対して、「ファイアウォール」の設定によって、どうにかこうにか、攻撃を退けることができました。
    • 設定としては、受け付けない「IP」、「国」、「Port」を設定(Deny}することができますが、1つの設定に15か国までしか選択することができません。すべての国を選択し終えるには、数十のルールを作りました。日本以外のすべての国をDenyにします。この設定の結果、身に見えて2~3分の間隔でのアタック間隔は長くなり数十分程度になりました。漏れもあり完全ではありません。この漏れ対策は、以下の「自動ブロック」に続きます
  4. 「DoS保護」
    • 「保護」タグから設定します
    • 「DoS保護を有効にする」をチェック
  5. 「自動ブロック」によるブロックリスト化
    • セキュリティ画面の「アカウント」タグから設定します
    • 「自動ブロックを有効にする」をチェック
    • 「ログイン回数」を10 (緊急時には1:リアルタイムでの対策時の設定、でも1でもいいかも知れません)
    • 「分以内」を1440 (長い間隔でも漏らさないため)
    • 「ホワイト/ブロック リスト」ボタンで現れる画面から、「ブロックリスト」タグを開くと、自動で登録されたブロックIPアドレスを確認できます。このリストはエクスポートして、別のNASにインポートしておきましょう
    • ホワイトリスト」タグでは、ローカルのアドレスを設定しておきましょう。いざという時に、ローカルでのログインができるように。
    • 漏れたIPアドレスは、自動的に「ブロックリスト」に登録されますが、この設定の結果、「ファイアウォール」の設定により、70余りのIPアドレスがブロックリストに登録されました。その後、数日間続いたDSMへのログイン攻撃は、全く無くなりました
    • 自分の操作として出先から、DSMへのログインを上記の設定を超えて失敗した場合、自分の通信事業者のIPアドレスがブロックリストに追加されてしまい、出先からのログインができなくなります。その場合の対処方法は以下の通りです
      • 自宅に帰ってから、ホワイトリストに登録していローカルアドレスでログインして、ブロックリストから、おそらく通信事業者は日本のはずなので、日本を目当てにプロックされている項目を探して解除する。その他自分に関連するものも解除する
      • 出先からは、VPNに接続してローカルアドレスでログインして、上記の内容と同様に解除します
  6. もしもSynology Routerを使用しているなら、「Threat Invension」は是非導入すべきです。もちろん「ファイアウォール」も設定することもできます。
[Synology] Router 「RT2600ac」- ネットワーク攻撃にも余裕でブロック – ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Refererとは – ID3801

Post Views: 42 目次1 RT2600ac1.1 NASとRouter2 Threat Prevention2.1 インストール3 「侵入を試みる」ログ4 ESSHOP?5 Referer? / Inject […]

参考文献

「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は

https://www.itmedia.co.jp/news/articles/2009/09/news048.html

「ブルートフォース攻撃」と「リバースブルートフォース攻撃」の違い

https://wa3.i-3-i.info/diff312attack.html

パスワードスプレー攻撃とは?仕組みと被害の特徴、対策方法について徹底解説, 2019 – CyberSecurity.com –

1) ブルートフォース攻撃とリバース・ブルートフォース攻撃 : ブルーとフォース攻撃とは、あるIDに対して、総当たりのパスワードを入力して当たりを探す、力任せの攻撃。転じて、リバースが付くリバース・ブルートフォース攻撃は、パスワードを固定してして、IDを総当たりで行ってくる攻撃

2) パスワードスプレー攻撃 : 同じパスワードで、同時に多数のアカウント(ID)に対して、不正アクセスを試みる攻撃

3) Low and Slow攻撃 : 攻撃もとのIPアドレスを一回一回変えながら、しかも、数分の間隔を空けて、不正アクセスを試みる攻撃の手法。ブルートフォースなどの攻撃手法と組み合わせて攻撃してくる

https://cybersecurity-jp.com/column/30629

セキュリティ関連記事

security, WordPress
[WordPress] AMP対応化で、使用しているその他のプラグインによるエラーが出ないようにするために – プラグイン別 [2020/11/16] ID24858

Post Views: 52 目次1 はじめに2 基本的な設定方法3 WordPress プラグイン別3.1 Content of Table Plus はじめに AMPプラグインをインストールしている場合、投稿/ページ […]

security, WordPress
[WP] WordPress – ログイン/アクセス制限に関する設定 – ID24132 [2020/10/09]工事中

Post Views: 57 目次1 はじめに2 設定ファイル・設定される方のファイル/フォルダ?3 allow?, deny? はじめに WordPressのセキュリティ設定を考えます。WordPressには、各種のフ […]

security, Synology, WordPress
[Synology] サイバー攻撃の種類と対策概要 – Fire Wall、IDS/IPS、WAF – RT2600acにはThreat Preventionがある- △ID12353 [2021/04/09]

自宅にNASを置き、さらにWordPressも置いているオーナーにとっては、レンタルサーバーを利用したWordPress設置と比較して、セキュリティ対策を考慮することは重要です。サイバー攻撃の種類を知って、その対策について知識を持つことは、常にセキュリティ対策を実施していがなければならないオーナーとしては、必須の知識です。

ブルートフォース関連記事

[WP-Plugin] WP-OptimizeからW3 Total Cacheに変更 ID19320 [2021/10/25] はコメントを受け付けていません
気になる企業 – Netflix はコメントを受け付けていません
[Synology] Let’s Encription 証明書をインポートし設定が失敗し、遠隔ログインができなくなった場合の対処法 [2021/10/18] はコメントを受け付けていません
[Trip] 北海道の秋は足が早いですよ、10月「Bird Watching Cafe」に行ってきました - 千歳市街から20分 はコメントを受け付けていません

まとめ

Synology NASの不正ログイン試行への対策について解説しました。レンタルサーバーを使わない茨の道を選んだのですから、頑張って地道に確実に行きたいものです。

編集履歴

2020/09/11 はりきり(Mr)
2020/12/31、追記 (自分がログインを何度も失敗してブロックされた場合の対処方法)
スポンサーリンク
  • by Amazon ID19245
  • by Amazon ID13211
スポンサーリンク
  • 【Amazon.co.jp 限定】HP USBメモリ 128GB USB 3.1 スライド式 金属製 HPFD796L-128 GJP by Amazon - ID 24751
  • 3Dプリンター ダヴィンチ Jr. 1.0(造形サイズ15×15×15cm) - 環境に優しい土に返るPLAフィラメント - ダビンチ Jr. 1.0 XYZプリンティングジャパン by AMAZON ID21513
  • 3Dプリンター|ダヴィンチ1.0 pro|オートキャリブレーション機能付|オープンフィラメント可|ABS対応|造形サイズ20×20×20cm|レーザー刻印機能拡張可|積層ピッチ0.02mm~|3F1AWXJP00F - XYZプリンティングジャパン by AMAZON ID21511
  • ABS使用可 造形サイズ175×175×175mm オープンフィラメント可 オートキャリブレーション機能付き レーザー刻印機能拡張可 金属系PLA拡張可 3FJSPXJP00G - ダビンチ Jr.Pro X+ XYZプリンティングジャパン by AMAZON ID21509
  • zedela 5-in-1 USB-Cハブ【3ポート5Gbps by Amazon - ID 24751
スポンサーリンク

用語の解説、関連タグ付き投稿の抽出

brute-force-attack

[Synology] セキュリティ改善法 – Threat Preventionとファイヤーウォールの運用を連携する – ID28980 △[2021/08/01]
[Synology] 自宅に設置したNASにWordPressを構築してblog配信、高まるネット・リスクとセキュリティ対策 – [2020/12/31]
[Synology] NAS/Router ログ・センターは、毎日1回は見るべし – サーバーへの総当たり攻撃を発見、システムのログイン制限の適切な設定と自動ブロック- △ [2021/08/01]
[Synology] サイバー攻撃の種類と対策概要 – Fire Wall、IDS/IPS、WAF – RT2600acにはThreat Preventionがある- △ID12353 [2021/04/09]
[Synology] Threat Preventionが検知したWordPressへの連続Loginアタックは全てIPアドレスが異なっているBrute Force Attack – reCAPTCHAプラグインで対策する – ID3611 [2020/03/20]
スポンサーリンク
  • by Google Ads ID23293
  • by Google Ads ID:11145

Update ID21920

BIOLOGICS, equipment-culture
[Bio-Equip] Xuri Cell Expansion System W25 – △ID8624 [2020/02/05]

Post Views: 54 Xuri Cell Expansion System W25 Cytiva社製のロッキング方式の細胞の拡大培養システム Xuri Cell Expansion System W25, GE […]

BIOLOGICS
[Bio-Lab] Empty Column, PD-10 – ID8584

Post Views: 57 目次1 PD-10 Empty Column1.1 用途 PD-10 Empty Column 僕の検討では、タンパク質精製として、カラム条件の検討をする場合に、必ず使います。レジンの充填容 […]

BIOLOGICS
[Bio-Material] Sartobind® Phenyl – ID8626 [2020/02/05]

Post Views: 49 Sartobind Pheny 疎水性クロマト用のメンブラン担体です。レジンを使用するより取り扱いが簡便になり、製造工程がシンプルになります。もちろん、シングルユース仕様です。 Sartob […]

スポンサーリンク
by Google Ads ID19417

更新された投稿の最新順

スポンサーリンク
  • by Amaozn ID13196
  • by Amazon ID13339
スポンサーリンク

スポンサーリンク
  • by Google Ads ID:11145
  • by Google Ads ID23293

最新記事(Synology, ID:14676)

Synology, WordPress
[Synology] Let’s Encription 証明書をインポートし設定が失敗し、遠隔ログインができなくなった場合の対処法 [2021/10/18]

Post Views: 2 ID32737 目次1 はじめに2 証明書のImportに失敗3 証明書なしで接続する4 最後の手段5 Fire Fox6 その他の接続方法7 編集履歴 はじめに Synology NASでは […]

site setting, Synology, WordPress
[Synology] RT2600ac – FAQ – アクセスログが残っていない – ID30977 [2021/08/12]

Post Views: 19 RT2600ac管理FAQ アクセス・ログが残っていない 考えられる理由は以下の通り ログの保管場所が設定されていない 外部メモリ(SDカード、USBメモリ)を変更した 編集履歴 2021/ […]

スポンサーリンク
by Google Ads ID19417
security, Synology, WordPress
[Synology] セキュリティ改善法 – Threat Preventionとファイヤーウォールの運用を連携する – ID28980 △[2021/08/01]

Post Views: 40 目次1 はじめに2 ルーチンワークの概要3 ルーチンワークの詳細3.1 Threat Preventionの操作3.2 ネットワークセンターの操作4 Alert4.1 ET POLICY O […]

network, Synology
[Synology] DS918+/DS920+の2つのネットワークインターフェースを一つに束ねると通信速度を速くできるらしい – でも、Windowsとのファイル転送(SMB)で遅くなったのはなぜ? – ID29535 [2021/05/01]

Post Views: 44 目次1 はじめに1.1 Bondの作成1.2 SMBによる転送速度が遅くなった!?2 解決3 まとめと今後4 編集履歴 はじめに Bondの作成 DS918+/DS920+には、2つのLAN […]

folder, Synology
[WP] ブログにおけるメタディスクリプションの意義と設定方法 – ID28775 [2021/03/14]

Post Views: 49 目次1 はじめに2 メタディスクリプションの機能3 メタディスクリプションの設定4 お勧めのプラグイン5 編集履歴 はじめに メタディスクリプションは、検索エンジンで表示されるページの1つの […]

app, Synology
[Synology] 写真の管理 / Photo Station & Moments はDSM 6用 – ID26326 [2021/08/01]

Post Views: 55 目次1 はじめに1.1 必要なもの2 補完的に活用する3 バックアップ4 Windows10のiCloudフォトからバックアップを取る5 MomentsからPhoto Stationのフォル […]

Page: 1 2 21
スポンサーリンク

スポンサーリンク
  • by Google Ads ID:11145
  • by Google Ads ID23293

その他記事(ALL-RANDOM, ID:16786)

gourmet, LIFE
[食] 2019年、いきなりステーキ食べ納め – ID5180 [2019/12/31]

Post Views: 52 いきなりステーキ 首都圏では、40店舗以上の同時閉店が発表された「いきなりステーキ」ですが、大阪八尾市店の「いきなりステーキ」でサーロイン400g。2019年の食べ納めです。 萱振町4丁目4 […]

BIOLOGICS, CMO, gene-therapy
気になる企業 ベクタービルダー /デザイン/受託/開発/GMP製造 [2020/11/21] ID24901

Post Views: 58 目次1 VectorBuilder1.1 サイトでできること1.2 ベクターデザインできる種類2 GMP施設3 編集履歴 VectorBuilder ベクタービルダー・ジャパンのサイトより。 […]

スポンサーリンク
by Google Ads ID19417
eye, HEALTH
[健康] 白内障 – 術後(体験) – 2週以降の経過・日常生活のまとめ – △ID12705 [2020/04/17]

Post Views: 59 目次1 日常生活で気付いた点2 編集履歴3 白内障手術の術前/術後4 術後の検診4.1 術後から約10日後までの点眼4.2 術後、約10日後(3/27)から新たに開始する点眼、4/17まで。 […]

スポンサーリンク

スポンサーリンク
by Google Ads ID:11143(2)

- 以下のツールに敬意を示します -
Support to AMP (Accelerated Mobile Pages) by official AMP plugin for WordPress, and compatible powered by
Post viewing : Flex Posts - Widget and Gutenberg Block