国外IPアドレスフィルタとは

さくらのレンタルサーバで提供している「国外IPアドレスフィルタ」機能について、よく「海外の人がWebサイトにアクセスできないのでは？」と誤解されることがあります。正確には、「不正アクセスや攻撃の対象になりやすいファイルやフォルダ（ディレクトリ）へのアクセスをブロックする」機能になっています。

具体的には、WordPressのダッシュボードである/wp-admin/フォルダ配下や、ファイルをアップロードするFTPの認証などが対象になっており、詳しくはサポートサイトでブロック対象が紹介されています。

https://help.sakura.ad.jp/rs/2234/

つまり、海外の人がWebサイトにアクセスできないということはないのですが、例えば海外旅行に行って自分のWordPressブログを更新するといった場合にはダッシュボードにアクセスできなくなってしまいます。もちろん海外から解除することは可能で、レンタルサーバコントロールパネルへアクセスして国外IPアドレスフィルタをオフにすることによってアクセスできるようになります。また、許可リスト機能もありますので、自分のIPアドレスがわかる方は許可リストにそれを追加する方が安全です。

なぜ海外からのアクセスをブロックするのか？

WordPressやその他のCMS、FTPやメールサーバーといったものはサイバー攻撃の対象になりやすく、攻撃が成功するとフィッシング詐欺メールの送信や、フィッシング詐欺サイトの公開に使われるケースが出てきます。こういった攻撃の多くは海外から行われることが多く、これを防ぐためにブロックしているわけです。例えばwp-login.phpのファイル名で存在するWordPressのログイン画面は、よく総当たり（ブルートフォース）攻撃や流出したパスワードのリストを使ったパスワードリスト攻撃の対象になることが多いのですが、国外IPアドレスフィルタによって海外からの攻撃は無効になっています。お客様のサイトやメールアドレスが犯罪に使われてしまうのを防ぐとともに、無差別な攻撃によりサーバーの負荷が高まり、そのWebサイトだけではなく他のお客様のWebサイトの表示パフォーマンスが悪化することを防ぐ目的もあります。

さくらのレンタルサーバは日本国内から利用しているお客様が圧倒的に多いため、初期設定で国外IPアドレスフィルタはONになっています。

特定のアプリケーションも対象にするのはなぜ？

FTPやメールサーバといった機能へのアクセスをブロックするのはわかるのですが、WordPressやMovable TypeのようなCMSから、Contact Form 7といった特定プラグインまで対象にするのはなぜでしょうか。鍵は「利用者数」になります。WordPressは現在トップシェアのCMSで、世の中で新たに作られるサイトの多くがWordPressを利用して作成されています。悪者からしてみると「とりあえず攻撃対象のWebサイトはWordPressを使っている」前提で攻撃をすれば「成功する確率が高くなる」というわけです。この攻撃に対応するために、あらかじめ利用者の多いアプリケーションをブロック対象に追加する対策を行っています。

今回、2023年11月の機能追加により、コメント・フォーム（WordPressやMovable Type、Contact Form 7）へのアクセスもブロックする機能が追加されました。この背景には、以前ご紹介した「お問い合わせありがとうございましたメール」を悪用する攻撃が非常に増えており、大量のアクセスが海外からコメント、問い合わせフォームを狙い撃ちにして来る状態になっていることが挙げられます。その結果、サーバの負荷が非常に高くなり無関係なWebサイトの公開などに影響が出てくるケースが増えています。

もちろん、どんなアプリケーションでも制限なく安全に利用できるのが理想のレンタルサーバーですが、共用サーバーを運用する上で許容しきれない多数の攻撃を受け、多くのお客様のWebサイト表示パフォーマンスが大きく低下する事象が頻発していることによる対応となりました。

問い合わせフォームを狙った攻撃については、以前の記事で詳しく紹介しています。

Webサイトのフォームで悪用被害急増中！加害者にならないためのフォーム設置講座 | さくらのホームページ教室

WordPressやContact Form 7は「危険なアプリ」ではない

こういった機能を作ると、「やっぱりWordPressやContact Form 7は攻撃を受けるためセキュリティ的によくないじゃないか」といった議論になりがちです。しかしWordPressは無料のアプリケーションでありながら、組織化されたメンテナンス体制が作られており、脆弱性の発見とそれに対する修正、自動アップデートは迅速に行われます。Contact Form 7も、作者の方がアクティブにメンテナンスをされているプラグインです。Movable Typeに関してはシックス・アパートという営利企業によってメンテナンスされています。一方、世界中でこれらのアプリケーションを使っている人がいるがゆえに、膨大な量のドキュメントにアクセスできたり、プラグインが無料で使えたり、様々な便利機能がどんどんリリースされるリリースサイクルなどの恩恵も受けられるわけです。短絡的に動的なCMSだからダメと言い切れないことも理解しておく必要があります。

ソフトウェアである以上、脆弱な箇所があとで発見される可能性はありますので、適切に開発者側でも利用者側でもメンテナンスされていればリスクは低く抑えられていると考えていいでしょう。WordPress本体はマイナーバージョンの自動アップデートが初期設定されていますが、プラグインは対応が必要なので、もちろん定期的にアップデートが必要になります。

自分が対応は必要なの？

今回さくらのレンタルサーバでは、この海外からのフォーム投稿をブロックする機能をリリースしたあとに、周知期間を経て全ユーザの初期設定をONに変更します。このため、Movable TypeやWordPress、Contact Form 7のコメント、フォーム機能を使っていて、かつ自分のウェブサイトに海外からのお問い合わせなどが入る場合、設定値をOFFに変更しておく必要があります。一度OFFにしておけば勝手にONになることはありません。自分の顧客は国内だけという方はそのままにしておけば勝手にONになりますし、今すぐ適用したい場合はサーバコントロールパネルからONに切り替えることができます。ご自身の利用ケースに応じて使い分けましょう。

詳しい使い方はサポートサイトでご確認ください。

国外IPアドレスをフィルタ設定したい