サーバーを公開した瞬間から、ボットの攻撃は始まっています。これは誇張ではなく、文字通りの事実です。その様子をリアルタイムで可視化した「Knock-Knock.net」というプロジェクトが、Hacker Newsで話題になりました。
インターネットの「背景放射」
Knock-Knock.netは、無防備なサーバーに対するボットのアクセス試行をリアルタイムで可視化するWebサイトです。開発者はこれを「インターネットの背景放射」と呼んでおり、宇宙の背景放射になぞらえた表現がとても的確だと感じます。
実際にサイトを開くと、世界中から次々とアクセスが飛んでくる様子が地図上に表示されます。どの国からの攻撃が多いのか、どんなユーザー名とパスワードが試されているのか、最も攻撃的なISPはどこか——こういった統計データも確認できるようになっています。
よく試されるパスワードが興味深い
このサイトの面白いポイントは、ボットが試行するユーザー名やパスワードの一覧を見られることでしょう。「admin」「root」「password」「123456」といった定番はもちろん、なぜそのパスワードが選ばれたのかという背景まで解説してくれるケースもあります。
自分が使っているパスワードがリストに載っていたら、今すぐ変更することをおすすめします。ボットは24時間365日、膨大な組み合わせを試し続けているのですから。
個人サーバーも例外ではない
「うちは小さなサーバーだから狙われない」と思っている方もいるかもしれません。しかし、ボットはIPアドレスを総当たりでスキャンしているため、サーバーの規模は関係ないのです。VPSを借りてSSHポートを開けた瞬間から、攻撃は始まります。
個人的に初めてVPSを契約したとき、ログを見て驚いた記憶があります。設定して数時間も経たないうちに、知らないIPアドレスからの認証失敗ログが何百行も並んでいたのです。
基本的な防御策
こうした自動攻撃から身を守るための基本的な対策は、それほど難しくありません。SSHの鍵認証を有効にしてパスワード認証を無効化すること、fail2banのようなツールで一定回数の失敗後にIPをブロックすること、そしてデフォルトのポート番号を変更すること——この3つだけでも劇的に安全性は向上します。
Cloudflareのボット解説ページも基礎知識として参考になりますし、AbuseIPDBで怪しいIPアドレスを検索することも可能です。
可視化の力
Knock-Knock.netが素晴らしいのは、普段は見えないサイバー脅威を「目に見える形」にしたことです。Flashpoint ArchiveがWebゲームの保存を可視化したのと同様に、可視化は理解を深める強力な手段になります。
AI音声クローンの法的問題のように、テクノロジーのリスクを正しく理解することは大切です。サイバーセキュリティの世界も同じで、脅威を知ることが防御の第一歩と言えるでしょう。
Knock-Knock.netはブラウザからすぐに確認できます。サーバー管理者はもちろん、IT初心者の方にも「インターネットの裏側」を体感できるサイトとして、ぜひ一度アクセスしてみてはいかがでしょうか。