[Synology] Threat Preventionが検知したWordPressへの連続Loginアタックは全てIPアドレスが異なっているBrute Force Attack – reCAPTCHAプラグインで対策する – ID3611 [2020/03/20]

by Google Ads ID23293
by Google Ads ID:11145
by Google Ads ID24747
by Google Ads ID:11143(2)

Post Views: 54

by Google Ads ID8603

1 Threat Preventionとは
2 攻撃を受けた
3 攻撃内容
4 CAPTCHの導入を考える
5 編集履歴
6 関連記事

Threat Preventionとは

Synologyのパッケージ「Threat Prevention」は、IT業界における一般的な名称は、「侵入検知システム (IPS: Intrusion Prevention System)」です。

Synology DS517 by Amazon ID:22173
Synology DS920+ by Amazon ID:22172
オムロン BY50S用パック by Amazon ID:22171
オムロン BY50S by Amazon ID22170
Synology 高機能無線ルーター 800Mbps + 1,733Mbps(11a/b/g/n/ac対応) 高セキュリティ VPN Plus対応 RT2600ac by Amazon ID24327
エレコム LANケーブル CAT6A 5m 爪折れ防止コネクタホワイト LD-GPA/WH5 by Amazon ID24327

攻撃を受けた

by Rakuten ID:15895

Threat Preventionのログを眺めていると、少し怖いログが残っていました。調べてみると、Brute-Force-Attackと呼ばれる不正にアカウントを取得する総当たり攻撃であることがわかりました。

Threat Preventionでは、アラート処理に留まっており、ドロップしていないことがログよりわかりました。何かの対応策が必要です。

by Google Ads ID19417

参考
ブルートフォースアタックとは？実験から分かる危険性と有効な4つの対策
https://japan.norton.com/brute-force-attack-9215

攻撃内容

その内容は、18:30から始まり、44分間で35回のWordPress Longin が試みられていて、どれも異なるIPアドレスからでした。

最初は1分間隔で、後半は2分間隔の攻撃で、ログには、”ET POLICY Cleartext WordPress Login”とあり、以下の図の様に実行されていました。

WordPressには、時間と回数によるセキュリティは掛けていました、IPアドレスが異なると機能しなはずです。

35回程度でPWを破られることは無いと思われますが、2段階認証(2ステップ認証)も導入しておかないと危険であると判断しました。

2019/11/24 はりきり(Mr)

CAPTCHの導入を考える

このような攻撃に対処するreCAPTCHAプラグインをWordPressにインストールすることにしました(2019/11/24)。

追記　(2019/11/24)

Brute-force attack (参考1)と呼ばれるアカウント取得のハッキングのようです。多くのHTTP Brute Force Attack Toolは、ネット上に存在するポートが空いているプロキシサーバーのリストをもとに、そこを中継して攻撃をしてくるため、IP Addressが異なることが多いようです。

このため、このプロキシサーバーのリストにあるIP Addressを全てブロックできればよいようですが、個人そこまでできません。

デバイスCookie

既知および未知のブラウザまたはデバイスからの認証試行を個別にロックアウトすることも検討できます。デバイスCookieを使用したオンライン推測攻撃のスローダウンの記事(参考2)では、特定のブラウザーが既にログインに使用されているかどうかに関する情報に基づいて、ロックアウトメカニズムのプロトコルを提案しています。このプロトコルは、単純なアカウントのロックアウトよりもDoS攻撃の影響を受けにくく、効果的で実装が容易です。

CAPTCHAの使用

よくある写真で自転車だけ選びなさいとか言うやつです。パズルもありますね。

最終的に、GoogleのreCAPTCHAを利用するWordPressのPlugin “Login No Captcha reCAPTCHA”をインストールしました。インストール方法は、TechMemoさんをご参照ください。

Amazonに行く

Synology DiskStation DS918+ [クアッドコアCeleron J3455 1.5GHz CPU搭載] 4ベイNASキット by AMAZON – ID14279

参考1

Blocking Brute Force Attacks
https://www.owasp.org/index.php/Blocking_Brute_Force_Attacks

参考
デバイスCookieを使用したオンライン推測攻撃の速度を落とす
https://owasp.org/www-community/Slow_Down_Online_Guessing_Attacks_with_Device_Cookies

参考3

ブルートフォース攻撃のブロック
https://translate.google.co.jp/translate?hl=ja&sl=en&u=https://www.owasp.org/index.php/Blocking_Brute_Force_Attacks&prev=search

編集履歴

2020/03/20 文言整備、用語整備、参考サイトの整備

by Amazon ID13339
by Amazon ID13211

【Amazon.co.jp 限定】HP USBメモリ 128GB USB 3.1 スライド式金属製 HPFD796L-128 GJP by Amazon - ID 24751
3Dプリンターダヴィンチ Jr. 1.0(造形サイズ15×15×15cm) - 環境に優しい土に返るPLAフィラメント - ダビンチ Jr. 1.0 XYZプリンティングジャパン by AMAZON ID21513
3Dプリンター|ダヴィンチ1.0 pro|オートキャリブレーション機能付|オープンフィラメント可|ABS対応|造形サイズ20×20×20cm|レーザー刻印機能拡張可|積層ピッチ0.02mm~|3F1AWXJP00F - XYZプリンティングジャパン by AMAZON ID21511
ABS使用可造形サイズ175×175×175mm オープンフィラメント可オートキャリブレーション機能付きレーザー刻印機能拡張可金属系PLA拡張可 3FJSPXJP00G - ダビンチ Jr.Pro X+ XYZプリンティングジャパン by AMAZON ID21509
zedela 5-in-1 USB-Cハブ【3ポート5Gbps by Amazon - ID 24751