Googleの検索結果で順位をできるだけ上げたいと考える人は多いです。
Googleは掲載順位を決めるための情報種集を常に行っており、Webサイトを巡回するそのプログラムをGooglebotと言います。ですから、多くの人はGooglebotのアクセスを妨げることがないように、場合によってはセキュリティに例外を設けて特別扱いすることもあります。
そのため、Googlebotのフリをすれば不正アクセスが容易になります。例えば、無作法に短時間に大量のアクセスをする人を見つけたら、通常はアクセスを拒否するように設定するでしょう。しかし、Googlebotのフリをするだけで、大量のアクセスをおお目に見てもらえるとすれば、攻撃者は好きなだけアクセスして不正アクセスのヒントを得られます。例えば、1秒に1回程度のアクセスが許されるなら、1日で約10回近いアクセスができます。あり得そうなパスワードを上位10万種類にしぼって不正アクセスを試みれば、幾つかのサイトでは1日でアカウントを奪取できるでしょう。
実際、Googlebotのフリをするというのはとてもありふれた不正アクセスの手段です。Criminals ride Google coattails in DDoS attacksによれば、Googlebotのフリをした攻撃が流行しているようです。
適切なセキュリティにはITの基礎知識が必要ですが、残念ながらそのようなITリテラシは十分に当たり前のものとはなっていません。一方で、WordPressやEC-CUBEなどの便利なソフトウェアが普及したことで、専門知識はもちろんITリテラシが十分になくても、簡単にWebサイトやショッピングサイトが構築できます。Googlebotのフリをした不正アクセスが流行るのもうなずけます。
例えば、WordPressのサイトを攻撃する人はどうするでしょうか。WordPressを素に近い状態で使っていると記事の制作者としてアカウントのIDが分かります。IDはモロバレですから、あとはパスワードを推測するだけです。パスワードはハンドル名、年月日、辞書に出ている単語、映画やマンガに出てくる用語など、キーワードを組み合わせたものがおおいので、これらを組合せたものを使って片っ端から試すでしょう。
4桁の暗証番号ならどうでしょうか。そもそも1万通りしかないので、西暦や生年月日を試して、それでダメならしらみつぶしにアクセスするでしょう。それでも3時間とかからずに全てのパスワードを試せます。
偽Googlebotの対処方法
Googleが公開している対処方法の1つがこれです。
アクセスログをみて、以下のようにコンソールでアクセス元のIPアドレスがgoogle.comドメインに名前があるか確認します。違えば偽物です。
偽物からのアクセスを拒否するには.htaccessファイルに以下のように書けば良いでしょう。例えば、偽GooglebotのIPアドレスが123.23.3.0ならば***.***.***.***をそれに置き換えます。
order allow,deny
allow from all
deny from ***.***.***.***
上記の内容はIPアドレスによるアクセス制限です。原則としてどのアクセスも許容するが、特定のIPアドレスからのアクセスは拒否するという設定になります。もし、拒否するIPアドレスが複数になる場合には以下のように書きます。
order allow,deny
allow from all
deny from ***.***.***.***
deny from ***.***.***.***
deny from ***.***.***.***
まとめ
- 偽Googlebot の不正アクセスが流行っている。
- DNS リバース ルックアップ と DNS フォワード ルックアップ で偽物を判別できる。
- .htaccess に一筆加えて 偽Googlebot を閉め出せる。
対策が面倒という人がおおければ 偽Googlebot を閉め出す WordPressプラグイン とか作ります。プラグインをインストールして有効化したら対策終了って感じのやつを。
お問い合わせについて
業務として技術コンサルティングやシステム設計・開発を行っております。
気になることがありましたらご相談下さい。
ご相談のみで完結する場合、コンサルティング費用の目安は
内容によりますが1時間で5千円〜1万円ていどです。
コンサルティングや開発を検討されるその前に、
まずはお気軽にコメントやメールでご連絡下さい。
※ご契約前のコメントやメールでのやりとりは無料です。