Security Blog
Security Blog

ブルートフォース、DoS、およびDDoS攻撃-違いは何ですか?

これらのタイプのサイバー攻撃は、インターネットの開始以来よく知られています。それらはWordPressにセキュリティリスクをもたらしますか?それらを効果的に軽減できるセキュリティツールは何ですか?私たちがそれを成功させることができる可能性は何ですか?


English version: Brute-force, DoS, and DDoS attacks – what’s the difference?


ブルートフォース攻撃は、ハッカーが最終的に正しく推測することを期待して、徹底的な努力(ブルートフォースを使用)を通じて、資格情報またはログイン、パスワード、暗号化キーなどの暗号化データを推測するために使用する試行錯誤の方法です。ブルートフォース攻撃は、WordPressをハッキングするための最も一般的なパスワードクラッキング方法の1つです。

サービス拒否(DoS)攻撃は、WebサイトまたはWebサーバーをシャットダウンし、単一のホスト(IPアドレス)からの無用なトラフィック(ジャンク要求)で溢れさせて、意図したユーザーがアクセスできないようにする攻撃です。 DoS攻撃は、コンピューター防御システムを破壊するために使用されることがあります。 WordPressの一部の機能は、DoS攻撃の攻撃ベクトルとして悪用される可能性があります。たとえば、 CVE-2018-6389です。

DDoS攻撃は、「分散型DoS攻撃」の略です。このような攻撃は、標的となるWebサイトまたはWebサーバーを、複数のデバイスまたはボットネットからの無用なトラフィックで溢れさせることによって増加します。ボットネットは、ユーザーの知らないうちに悪意のあるソフトウェア(マルウェア)に感染し、グループに編成され、サイバー犯罪者によって制御されるコンピューターのネットワークです。最新のボットネットには、何万もの侵害されたモバイルデバイスやデスクトップコンピュータが含まれている可能性があります。その性質上、最新のDDoS攻撃はコストがかかり、多くのリソースを必要とします。通常、それはあなたがこの種の攻撃を命じるのに十分な灰色のお金を持っている強い敵を持っていることを意味します。非常に多くの場合、DDoS攻撃の増加は、悪意のある競合他社または政敵によって命令されます。

それで、違いは何ですか?

技術的には異なって見えますが、Webサイトの所有者の観点からは、違いは攻撃の目的にあります。

DoS攻撃とDDoS攻撃はどちらも同じ目標を持っています。そして、この目標は、被害者、標的のWebサイト、またはWebサーバーを押し下げ、それから利益を上げることです。 DDoS攻撃は、防御システムを破壊して管理アクセスを取得するために実行されることがあります。

ブルートフォース攻撃を行う目的は、侵入者/ハッカーが実行したい違法な活動を実行するために、標的のWebサイトへの管理者アクセスを取得することです。彼らの典型的な活動は次のとおりです。

  • 正当なユーザーを偽のWebサイトにリダイレクトして、個人データを盗む
  • 被害者のWebサイトで正当なものを模倣した支払いフォームを使用してフィッシングページを作成する
  • 顧客データベースから個人データを盗む
  • 他のWebサイトを攻撃するためのツールとして使用するために、Webサーバーにバックドアとトロイの木馬をインストールする
  • 管理者および顧客のコンピューターに感染するための悪意のあるソフトウェアのインストール
  • 信頼できるWebサイトのコンテンツを変更して、フィッシングWebサイトへのリンクを挿入する

これらの攻撃はWordPressにどのように影響しますか?

デフォルトでは、WordPressは、ログインフォーム、REST API 、XML-RPCを介して、または特別な認証Cookieを送信することにより、無制限のログイン試行を許可します。これにより、上記のブルートフォース攻撃を介してパスワードを比較的簡単に解読できます。

WordPressを保護し、これらの攻撃を軽減する方法

ブルートフォース攻撃とDoS攻撃の両方は、Webサイトにインストールされたセキュリティソフトウェアで正常に軽減できます。どちらの場合も、オタクである必要はなく、無料でその保護を受けることができます。

  1. WordPressに対するブルートフォース攻撃は、WPCerberプラグインによって正常に軽減できます。他のセキュリティ機能の中でも、XML-RPCおよびRESTAPIインターフェイスを保護します。
  2. DoS攻撃は、特別なWebサーバー構成で軽減できます。セキュリティプラグインをインストールしても、それを実現することはできません。ベストプラクティスは、NGINXレート制限ルールを使用することです。私たちの推奨事項を確認してください: WordPressをフォートノックスに変えてください

残念ながら、DDoS攻撃は、Webサーバーレベルで、またはWordPressプラグインだけで軽減することはできません。 DDoS攻撃は、ホスティングプロバイダーネットワークにインストールされた特別なハードウェアでのみ正常に軽減できます。その性質上、DDoS攻撃を軽減するには多くの計算リソースが必要であり、サブスクリプションベースでホスティングプロバイダーからのサービスとして提供されます。ブルートフォース攻撃やDoS攻撃とは異なり、すべてのDDoS攻撃が正常に軽減される保証はありません。すべては、攻撃の強力さ、アンチDDoSシステムの強力さ、およびセキュリティプロバイダーが割り当てることができるネットワーク帯域幅の量によって異なります。

分散型DoS攻撃からWordPressを保護するための最も手頃なソリューションの1つは、Cloudflareサービスを使用することです。ただし、知っておく必要のあるいくつかの欠点があります。 Cloudflareは、ドメインのすべてのDNSレコード、顧客の個人データを含むWebサイトとの間のWebトラフィックを制御します。これは、すべてのトラフィックとそのすべてのデータが暗号化されていない形式でCloudflareプロキシサーバーを通過するためです。一部のユーザーは、Cloudflareには所有者がWebサイトからブロックされているという問題さえあると報告しました。したがって、私たちの多くのように、DDoSに問題がない場合は、首に追加の痛みを引き起こす可能性のあるレイヤーを1つ追加する理由はありません。

Cloudflareを使用することに決めたら、 WPCerber用の特別なCloudflareアドオンを使用することをお勧めします。

侵入者に追いつく

WordPress IP address information

Cerber shows additional WHOIS information about the intruder IP address in the WordPress dashboard

攻撃の物理的な原因(コンピューター、モバイルデバイスなど)を簡単に特定できます。

WP Cerber Security&Antispamをインストールしている場合は、次の投稿を確認してください:侵入者のIPについて詳しく知る。最も残念なことは、これらの攻撃の大部分が実際のパフォーマーやマスターにまでさかのぼることができないことです。それらをさかのぼろうとするたびに、攻撃の中間点である操り人形として使用される一連の感染したパーソナルコンピュータとモバイルデバイスが発生します。


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.