不正アクセスからECサイトを守るには?管理画面とユーザーアカウントを守る認証対策の基本

EC
不正アクセス対策とは
  • 不正アクセス対策では、管理画面とユーザーログインの両方を守る必要がある
  • Basic認証は、テスト環境や管理画面への簡易的な入口制限として有効
  • 管理者ログインには、2段階認証・多要素認証の導入が重要
  • ログイン試行回数制限やIP制限を組み合わせることで、総当たり攻撃や不正ログインのリスクを下げられる

ECサイトやWordPressの不正アクセスでは、管理画面へのログイン試行、パスワードの使い回しを狙った攻撃、古いシステムの脆弱性を突いた侵入などが問題になります。特に管理画面は、侵入されると顧客情報の閲覧、商品情報の改ざん、不正なファイル設置などにつながるため、重点的に守る必要があります。

不正アクセスは「特別なサイト」だけの問題ではない

ECサイトやWordPressサイトを運営していると、不正アクセスのニュースを目にする機会があります。

大手企業の情報漏えいが報道されると、「自社のような中小規模のサイトは狙われないのでは」と考えてしまうかもしれません。しかし実際には、攻撃者が狙うのは有名企業だけではありません。

古いWordPress、更新されていないプラグイン、推測しやすい管理画面URL、弱いパスワード、使い回されたログイン情報など、侵入しやすい場所があれば規模に関係なく攻撃対象になります。

特にECサイトの場合、会員情報、注文履歴、配送先住所、問い合わせ情報など、個人情報を扱うことが多くなります。管理画面に侵入されると、単なるサイト改ざんでは済まない可能性があります。

そのため、不正アクセス対策では、まず「ログインされない仕組み」を整えることが重要です。

管理画面への攻撃で多いもの

管理画面への攻撃で代表的なのが、ブルートフォース攻撃やパスワードリスト攻撃です。ブルートフォース攻撃は、IDとパスワードの組み合わせを大量に試す攻撃です。

一方、パスワードリスト攻撃は、他のサービスから流出したID・パスワードの組み合わせを使い、別のサイトへのログインを試す攻撃です。

利用者や管理者が同じパスワードを複数サービスで使い回していると、ひとつのサービスから漏れた情報を使って、別のサイトにもログインされる可能性があります。IPAも、不正ログイン対策としてパスワードの作成・管理方法と多要素認証の設定を案内しています。

管理画面では、次のような状態が危険です。

  • 管理者IDが「admin」のまま
  • パスワードが短い、または推測しやすい
  • 退職者や外部担当者のアカウントが残っている
  • ログイン試行回数に制限がない
  • 管理画面に誰でもアクセスできる
  • 2段階認証がない
  • WordPressやプラグインが古いまま

どれかひとつだけで即座に侵入されるとは限りません。しかし、複数の弱点が重なると、不正アクセスのリスクは高まります。

Basic認証は「入口を隠す」ための簡易的な防御

Basic認証とは、特定のページやディレクトリにアクセスする際に、追加のIDとパスワードを求める仕組みです。

例えば、テスト環境や開発中のページ、管理画面の手前にBasic認証をかけることで、誰でも直接アクセスできる状態を避けられます。

Basic認証は、簡易的な入口制限として有効です。特に、以下のような場面で役立ちます。

  • 公開前のテストサイト
  • 開発環境
  • 関係者だけが見る確認ページ
  • WordPress管理画面の前段
  • 特定ディレクトリへのアクセス制限

ただし、Basic認証は万能ではありません。あくまで、管理画面へ到達する前にもう一枚壁を作る対策です。

管理画面そのもののパスワードが弱ければ危険ですし、Basic認証のID・パスワードを関係者間で使い回している場合も注意が必要です。

Basic認証は「これだけで安全にするもの」ではなく、「攻撃対象になりやすい入口を減らすもの」と考えるのが現実的です。

管理者ログインには2段階認証・多要素認証が重要

管理画面を守るうえで、最も重要な対策のひとつが2段階認証・多要素認証です。

通常のログインは、IDとパスワードだけで行われます。しかし、パスワードが漏えいした場合、それだけでログインされてしまう可能性があります。

2段階認証や多要素認証を導入すると、パスワードに加えて、ワンタイムコード、認証アプリ、SMS、メール、セキュリティキーなどを使って本人確認を行います。これにより、仮にパスワードが知られてしまっても、すぐにログインされるリスクを下げられます。

OWASP Top 10でも、認証の失敗に対する予防策として、多要素認証の実装が挙げられています。特に導入すべきなのは、管理者アカウントです。

ECサイトの管理者は、商品情報、注文情報、顧客情報、決済関連情報にアクセスできる場合があります。そのため、一般ユーザーよりも強い認証が必要です。

ECシステムでも、管理画面にログインするスタッフ、外部制作会社、保守担当者などには、多要素認証を必須にすることを検討すべきです。

ログイン試行回数制限は、総当たり攻撃を止める基本対策

ログイン画面で何度でもパスワードを試せる状態は危険です。攻撃者は、機械的に大量のID・パスワードを試すことができます。そのため、一定回数ログインに失敗した場合に、一時的にログインを制限する仕組みが必要です。

OWASPのAuthentication Cheat Sheetでも、パスワード推測を防ぐための対策としてログインスロットリングが説明されています。

ログイン試行回数制限には、いくつかの設計があります。

  • 一定回数失敗したら一定時間ロックする
  • 短時間に連続したログイン試行を制限する
  • IPアドレス単位で試行回数を制限する
  • アカウント単位で試行回数を制限する
  • 失敗回数が増えるほど待機時間を長くする

ただし、単純なアカウントロックには注意も必要です。悪意ある第三者が特定のユーザーIDに対して何度もログイン失敗を発生させると、正規ユーザーがログインできなくなる可能性があります。

そのため、ログイン試行回数制限は、ユーザー体験と攻撃対策のバランスを見ながら設計する必要があります。管理画面では厳しめに、一般ユーザー向けログインでは段階的に、という考え方が現実的です。

IP制限は、管理画面を守る強力な対策

IP制限とは、特定のIPアドレスからしかアクセスできないようにする仕組みです。管理画面へのアクセス元が限られている場合、非常に有効な対策になります。

例えば、社内ネットワーク、VPN、保守会社の固定IPなどに限定すれば、攻撃者が管理画面のURLを知っていても、そもそもアクセスできません。特に、EC管理画面では、IP制限を検討する価値があります。

ただし、IP制限にも注意点があります。在宅勤務や外出先から管理する場合、アクセス元IPが固定されていないことがあります。スマートフォンのテザリングやモバイル回線では、IPが変わることもあります。

そのため、運用体制に合わないIP制限を入れると、正規の管理者がログインできない問題が起こります。

IP制限は強力ですが、運用方法とセットで考える必要があります。可能であれば、VPN経由でのみ管理画面にアクセスさせる構成にすると、管理しやすくなります。

古いECシステムやWordPressで確認すべきこと

古いECシステムや長年運用しているWordPressでは、最初に次の点を確認するとよいです。

  • 管理者アカウントが必要最小限になっているか
  • 退職者や以前の外部担当者のアカウントが残っていないか
  • 管理者のパスワードが使い回されていないか
  • 管理画面にBasic認証やIP制限があるか
  • 2段階認証・多要素認証が導入されているか
  • ログイン試行回数制限があるか
  • WordPress本体、テーマ、プラグインが更新されているか
  • 使っていないプラグインやテーマが残っていないか
  • ログイン履歴や不審なアクセスを確認できるか
  • バックアップが取得されているか

不正アクセス対策は、何かひとつ入れれば終わりではありません。

  • 管理画面への到達を防ぐ
  • ログイン突破を防ぐ
  • 不審なログインを検知する
  • 万が一に備えて復旧できるようにする

このように、段階的に備えることが重要です。

認証対策は「強くする」だけではなく「運用できる」ことが大切

セキュリティ対策では、強い仕組みを入れることが重要です。しかし、現場で運用できなければ意味がありません。

  • IP制限を厳しくしすぎて、担当者が頻繁にログインできなくなる
  • 2段階認証の設定方法が分からず、管理者が放置してしまう
  • パスワードポリシーを厳しくしすぎて、メモや使い回しが増える

こうした状態では、かえって運用リスクが高まります。重要なのは、サイトの規模、運営体制、担当者の人数、外部会社の関与、更新頻度に合わせて、現実的な認証設計にすることです。

  • 管理画面は強く守る
  • ユーザーアカウントは利便性と安全性のバランスを取る
  • テスト環境や開発環境は外部から見えないようにする
  • 不要なアカウントは残さない

このような基本を積み重ねることで、不正アクセスのリスクを大きく下げることができます。

管理画面を守ることは、顧客情報を守ること

ECサイトの不正アクセス対策では、まず管理画面を守ることが重要です。管理画面に侵入されると、顧客情報の閲覧、注文情報の確認、商品情報の改ざん、不正なファイル設置など、さまざまな被害につながります。

Basic認証、2段階認証、多要素認証、ログイン試行回数制限、IP制限は、それぞれ役割が異なります。

  • Basic認証は入口を絞るための対策
  • 多要素認証は、パスワード漏えい時の被害を抑える対策
  • ログイン試行回数制限は、総当たり攻撃を防ぐ対策
  • IP制限は、管理画面にアクセスできる人を限定する対策

これらを組み合わせることで、ひとつの対策に依存しない安全な構成に近づきます。古いECシステムを運用している場合は、まず管理画面の認証対策から見直すことをおすすめします。

西部俊宏
執筆者:西部俊宏
株式会社Webの間代表取締役。上場企業でのSEOやWebサイト構築実績多数。ECサイトのカスタマイズ経験も多数あり。
会社概要はこちら

私たちは、ECを業務に合わせて設計・構築します。
カスタマイズ前提だからこそ、これまで実現できなかった要件にも対応できます。

「できない」を、実現するEC構築について
 
お問い合わせ