「masa88921111」によるxmlrpc攻撃とセキュリティ対策

stop_sign
目次

事象

事象の発覚

このブログは、セキュリティ対策として「Wordfence」を利用しているのですが、そこからメールが飛んできました。

中身は以下の通り。

[Wordfence Alert] ユーザーがサインインからロックアウト


IP アドレス ***.***.***.***のユーザーが、次の理由でサインインまたはパスワード回復フォームの使用をロックアウトされました: サインインしようとしたときに、無効なユーザー名’masa88921111’が使用されました.

ユーザーの IP: ***.***.***.***
ユーザーのホスト名: ***************
ユーザーの場所: *********

Wordfence Alert Mail(※一部、個人情報となるIPなどは伏字にしています)

事象の詳細

ライブトラフィックを確認したところ、「/xmlrpc.php」に対して不正アクセスを試みたようです。

いわゆる、「xmlrpc攻撃」というものでしょう。

明確な攻撃意思をもってアクセスを試みていることが分かります。

という事は、こちらもキッチリ記事にさせていただきましょう。

対応

こんな弱小ブログを攻撃しなくても……と思いつつも、海外勢も含めるとかなりの不正アクセス(の試み)があるので困りものです。

このブログを乗っ取られたら、Xserver側からデータ抜いて潰せばよいと思ってます。
もっと言えば、個人が趣味で運営しているブログで個人情報やクレジット情報とかも全くないのになぜ狙うかね……。

セキュリティ対策

Xserver側の設定で「.htaccess編集」を行い、以下を追加しました。

もともと、「Wordfence Alert」として検知・ブロックしてるので対策しなくても問題ないのですが、プラグイン側に脆弱性が見つかった――などの事象があるかもしれないので、念のためということで以下を追加しておきました。

<Files "xmlrpc.php">
    Order allow,deny
    Deny from all
</Files>

セキュリティ対策プラグインを入れていない人は?

何らかのプラグインを導入した方が良いです。

こんな弱小ブログでも狙われるわけですから……。

今回の攻撃は「Wordfence」で防いでくれているようで、今回のxmlrpc攻撃以外にもワラワラとアクセスされているのをきっちり防いでぐれているっぽいので、プラグイン「Wordfence」を導入してみるのもよいでしょう。

有名どころの「Jetpack」は、広告収入を得ている商用サイトでは利用禁止ですのでご注意ください。

「masa88921111」とは何か?

前置き

攻撃に利用されるIDというのは、「admin」とか「root」のように良く利用されるワードが利用されるものです。

そのため、「masa88921111」というIDを指定したログインは妙に引っかかるので少し調べることにしました。

他の被害者はいない!?

この記事を書いている時点では、検索エンジン(Google)でもX(旧Twitter)でも攻撃被害の情報は無かったです。

たまたま、このブログに目をつけて攻撃しているのか、他の被害者が気付いていない/情報発信していないのか分からない状態となりました。

しかし、Google検索すると少しだけ情報がヒットしたので、まとめておきます。

情報1.「masa88921111」を利用している人

フリーランスの方が利用するサイト「ランサーズ」にて、フリーランス登録している人に「masa88921111」のIDを利用している人物(高市 昌典氏)がいました。
※検索すれば制限なく閲覧できる範囲に名前(本名かどうか不明)が出ていたため、本記事でもそのまま記述しています。

顔写真まで閲覧可能であり、得意分野に「記事作成・ブログ記事」や「LINUX」とあることを考える彼が関与している可能性があるかもしれないと勘ぐってしまいます。

彼が本件に関連しているかどうかの確証は得られていません。

私個人としては、IDの「12文字が完全一致する」というのは何らかの関与が疑わしいというのが本音です。

だからと言って、この方と決めつけて何かをするつもりはありません。なぜなら、エビデンス(証跡)が無いからです。

情報2.「masa88921111」を利用しているブログ

もう1つの情報として、「masa88921111」を利用しているブログがあるようです。

それは『fruitial』いうサイトであり、このサイトにて「masa88921111」というユーザ名を利用しているようである。
※こちらも検索すれば、すぐにヒットするためブログ名を明記しておきます。

私も当該サイトにアクセスまではしておらず、中身は確認していません。また、このサイトを宣伝するつもりではないため、リンクはしないことにします。

xmlrpc攻撃を受けてIDで調べた人を釣るタイプの詐欺サイトかもしれないので、アクセスする場合は自己責任でお願いします。

このサイトについても、今回の記事や前述の人物との関係性は分からない状態です。

さいごに

実は、今回伏字にしているホスト名部分からも調査することができました。

某クラウドサービスを踏み台にしていることが分かっており、そのサービス会社に「明確な攻撃意思をもったアクセスに利用されています」とIPや時間を添えて通報することで、サービス利用停止に追い込むできるかもしれない。

同じ被害に遭った方の参考になれば、なによりです。

目次