JR東日本は、同社が運営するポイントサービス「Suicaポイントクラブ」のウェブサイトに約92万件のログインアタックが3月16日にあったことを明らかにした。今のところ、会員本人以外による操作はないようではあるが、念のためアタックがあった時間帯にサービスを利用した会員に対してパスワードの変更を促しているという。

ニュースになるのは、このような大規模なサービスサイトに対する不正侵入ばかりだが、実際にそれは、すでに我々の身近で起こっている。

当社のクライアントでも、不正侵入はされていないものの、ログインアタックは繰り返し起きているのだ。JR東日本「Suicaポイントクラブ」のような大きなサービスサイトでもない、一般的なコーポレートサイトに設置したWORDPRESSのログイン画面に対してだ。

彼らのログインアタックの方法は様々だが、ログインID、パスワードを入手していなければ、ランダムにID、パスワードを組み合わせてログインを試みたり、順番に文字を組み合わせた総あたりを行う。

ログイン失敗の跡を解析してみると、数十万回のアタックを繰り返したあと、諦めて退散しているケースが多い。そのぐらいのアタックの回数では普通はログインに成功しないが、もしこの間に偶然当たってしまうこともあり得る。

それを回避するためには、

基本中の基本だが、
（１）ログインIDとパスワードの組み合わせを人が想像できるような言葉にしない。
IDは「admin」パスワードが企業名などという、恐ろしいパスワードを設定している企業も意外と多いのが現実だ。

（２）パスワードの桁数は6桁以上の長いものにし、英数字をランダムに使用する。
そうすれば、アルファベット（大文字、小文字）、数字を合わせて62文字を1桁で使用できる。ということは、パスワードを6桁にすれば、約1,000万通りの組み合わせができることになるのだ。

（３）ログインに規定回数失敗した場合、ログイン画面をロックする機能を実装する。
これが今回のコラムの主題。
ID、パスワードを強固なものにしても、偶然は避けられないし、何も対策を打たなければハッカーたちは、延々アタックを繰り返すことになる。それではサーバーに負荷もかかり、間違ってサーバーダウンに陥ってしまうと大変だからだ。

たとえば、WORDPRESSであれば、これを可能にしてくれるプラグインが開発されている。当社もこれを利用し、クライアントのサイトでハッカーによる不正ログインを防御している。
ロックするまでの回数、再度ログインを許可する間隔などを管理画面から設定可能だ。

昨年から大幅に増えた不正侵入やハッキング事件。大きなサービスサイトではないサイトにおいても、セキュリティを高めておくことはGoogle Analyticsを利用してアクセス解析を行うのと同じくらい必須なのである。