サイトに6000件のスパム攻撃?~実際の相談事例から学ぶ対策~
先日、こんな相談をいただきました。
「サイトのお問い合わせフォームに、一日で6000件ものスパム送信があったんです。どうしたらいいでしょうか?」
実はこの手の相談、最近増えているんです。調べると添付ファイルはできないようにしているし、内容も意味不明な文字列だけなので直接的な被害はないと思うのですが、対策を考えておく必要があります。
今回はこの事例を元に、スパム攻撃の背景や対策について考えてみたいと思います。
6000件という数字の意味
まず、一日で6000件という数字に驚かれる方も多いと思いますが、これは明らかに人間の手による送信ではありません。
自動化されたボット攻撃です。つまり、プログラムが機械的にフォームに送信を繰り返している状況ですね。
手動で6000件も送信するのは物理的に不可能ですから、何らかのツールやスクリプトを使って攻撃が行われたと考えられます。
意味不明な文字列の正体
「内容が意味不明な文字列」というのも、実はよくあるパターンです。
これは攻撃者がランダムな文字列を生成して送信している可能性が高く、以下のような目的が考えられます。
システムの脆弱性テスト
フォームがどんな入力を受け付けるのか、どんな処理をするのかを探っている可能性があります。「この文字列を送ったらエラーが出るかな?」「特殊文字を送ったらどうなるかな?」といった具合に、システムの反応を見ているのかもしれません。
リソース消費攻撃
大量のデータを送信することで、サーバーやデータベースに負荷をかける目的もあります。サーバーがダウンしたり、レスポンスが遅くなったりすれば、攻撃者にとっては「成功」ということになります。
偵察段階
今回は本格的な攻撃の前段階で、どんなサイトなのか、どんなセキュリティ対策があるのかを調べている段階かもしれません。
一日で止まった理由を考える
送ってきたのはその日だけでその後3週間は何も来ていない点も興味深いポイントです。
目的達成の可能性
攻撃者が何らかの情報収集を完了した可能性があります。「このサイトはこういうセキュリティレベルなんだな」ということが分かれば、次のステップに移るかもしれません。
対策を察知
サイト側で何らかの対策を講じたのを察知して、一時的に攻撃を停止している可能性もあります。
他のターゲットに移行
攻撃者は通常、複数のターゲットを狙っています。このサイトでの調査が終わったら、次のターゲットに移った可能性もあります。
「被害がない」は本当か?
直接的な被害はないとは思いますが、本当にそうでしょうか?
サーバーへの負荷
6000件の送信は、確実にサーバーに負荷をかけています。他の利用者がサイトを見ようとしたときに、表示が遅くなったり、最悪の場合アクセスできなくなったりする可能性があります。この件の場合は深夜帯にメールが集中していたとのことですので、サイトの性質上そこまでの影響はないと思います。
管理の手間
スパムメールの確認や削除、ログの調査など、管理者の時間を奪っています。これも立派な「被害」と言えるでしょう。
信頼性への影響
もしお客様からの正当なお問い合わせがスパムに紛れて見落とされたら、ビジネスに影響が出る可能性もあります。
今からできる対策
CAPTCHA の導入
人間と機械を判別するCAPTCHA(「私はロボットではありません」のチェックボックスなど)は、ボット攻撃に対して非常に効果的です。
入力制限の強化
文字数制限、使用可能文字の制限、送信間隔の制限など、フォームの入力制限を見直すのも有効です。
IPアドレスのブロック
同一IPアドレスからの連続送信を制限したり、怪しいIPアドレスをブロックしたりする仕組みも検討できます。
ログ監視の強化
定期的にアクセスログを確認して、異常な送信パターンを早期発見できるようにしておくことも大切です。
Web制作者としての視点
Web制作の現場では、「フォームは作って終わり」ではなく、「作った後の運用」まで考える必要があります。
クライアントへの説明の重要性
「なぜこの対策が必要なのか」をクライアントに理解していただくことも重要です。今回のような事例があると、対策の必要性を実感していただきやすくなります。
継続的な警戒が必要だがここで大事な考え方
今回の事例で注意したいのは、「3週間何もないから安心」とは言えないということです。
攻撃者は時間を置いてから再び攻撃を仕掛けてくることもあります。今回は「偵察」だった可能性もあるので、継続的な監視と対策の見直しが必要です。
とは言っても、もしかすると今回のだけで攻撃が終わっているのかもしれません。こういった時の考え方には対策についての「塩梅」も一つ大事な点ではあります。
最悪な事態を考えると今回の件に限らず、どこまでも最悪な事態を考えられるのがWebの世界です。ですので、方向性や対策は考えておく必要はもちろんありますが、そればかりに気をとられて他の業務がおろそかになってしまってはいけません。
例えば、家の施錠をしっかりしていても、窓ガラスを割られたら…
インターホンを鳴らされて開けたら悪い人だったら…
家の鍵を開けている時に後ろから…
このように平和な日常の中でも最悪な事態を考えるとどんな状況であっても考えることはできるのです。
問題が1度起こったから注意しまくる。問題が一度も起こっていないから気にしない…
という極端な考え方ではなく、起こる可能性のことを考えて必要な準備をしておくという心構えが大事なのです。
状況によってはしばらくは過度に警戒する必要もあるでしょう。そうでなければ準備を整えておいた上で日常に戻る…このように常に物事の優先順位を考えて行動するとむやみに不安になったり、無神経に気にしなかったりとならずに済みます。
まとめ:準備しておくことの大切さ
サイバー攻撃は、「いつ来るか分からない」ものです。
でも、事前に対策を講じておけば、被害を最小限に抑えることができます。今回の相談事例も、幸い大きな被害はありませんでしたが、これを機にセキュリティ対策を見直すことで、将来のリスクを大幅に減らすことができるでしょう。
「うちのサイトは小さいから狙われない」と思っていても、自動化された攻撃は規模に関係なく行われます。どんなサイトでも、基本的なセキュリティ対策は必要不可欠です。
もしも似たような状況に遭遇したら、「被害がないから大丈夫」ではなく「今後に備えて対策を強化しよう」と考えることをおすすめします。
サイト運営は作って終わりではなく、継続的な管理とメンテナンスが重要ですね (^^)
