個人ドメインセキュリティ実践：スキャン攻撃から防护戦略まで

はじめに

インターネット時代において、ドメインセキュリティはすべてのインターネットユーザーが注視すべき問題となっている。毎日、無数の自動化ツールがインターネットのあらゆる場所をスキャンし、潜在的な脆弱性を探している。多くの人は、大企業だけが攻撃対象になると考えているが、実際には、攻撃コストの低下とツールの普及により、インターネットに公開されたあらゆるサービスが攻撃対象となり得る。ドメインセキュリティは個人のプライバシーとデータ保護に関わるだけでなく、ネットワークサービスの安定した運用を維持する基盤でもある。サイバーセキュリティ脅威が進化し続ける中、完全なドメインセキュリティ防护体系を構築することはますます重要になっており、それが私たちが継続的に注視し、セキュリティ実践経験を共有する理由である。

実例分析

スキャン攻撃の事例

Cloudflare にデプロイした小さな展示サイトは、有効な URL が 2 つしかないにもかかわらず:

• https://weread-challenge.techfetch.dev/
• https://weread-challenge.techfetch.dev/logs-collector

それでも継続的にスキャン攻撃を受けている。

サイト公開当初、他のすべての URL は 404 を返していたが、公開当日から香港のホストがスキャンを開始し、ソース IP は毎日変更されるものの、大部分は香港からだった。一部のユーザーが香港 IP からのアクセスであるため、その地域を直接ブロックすることはできない。この事例は、ネットワーク攻撃の自動化と継続性の特徴を示しており、システム的なドメインセキュリティ防护戦略を構築する必要性を想起させる。

これらすべての URL は、さまざまな目的を持った試みであり、私の worker は / と /logs-collector のみを処理する。これらの執拗な試みは、基本的に脆弱性を探すためのものだ。これらの攻撃試行は Cloudflare の無料リクエスト数を消費するだけでなく、ログデータを汚染し、システム監視に干渉する。

しかし、このようにスキャンして CF の無料リクエスト数を消費し、ログを汚染するのは良いことではない。

その後、他のすべてのリクエストに 200 を返し、Host on Cloudflare Worker, don't waste your time というメッセージを追加した。

変更後、スキャン量は減少した。因果関係は断定できないが、この方法は明確なメッセージを伝えるものだ。

自分自身のホストでサービスを実行している場合、このように毎日スキャンされ、サービスがタイムリーにセキュリティ更新を行わなければ、いずれは脆弱性をスキャンされ、侵入されるだろう。これがドメインセキュリティの重要性を強調する理由であり、それは単回の攻撃の成否だけでなく、長期的なシステムセキュリティ態勢に関わる。

攻撃者にとって、このような攻撃は毎日定期的に絶え間なく試行するものであり、一つでも突破できれば成功であり、基本的にすべて自動化されており、デバイスと時間のコストは高くない。これがネットワーク攻撃が如此に普及している理由でもあり、攻撃者にとっては低コスト・高リターンの活動だからだ。

セキュリティ脅威分析

攻撃者の特徴

越境攻撃はネットワーク攻撃の一般的な特徴であり、攻撃者は異なる地域に攻撃インフラを展開することで、追責される可能性を低減する。自動化ツールの広範な使用により、攻撃コストは大幅に削減され、Nmap や Masscan のようなポートスキャンツールは攻撃者の標準装備となっている。攻撃は通常継続的であり、コストは極めて低い。攻撃者は十分なボットネット資源を保有しており、頻繁に IP アドレスを変更してブロックを回避できる。攻撃時間は通常、深夜や休日を選択し、この時間帯は監視と対応が脆弱になりがちだ。

一般的な攻撃手法

ポートスキャンは攻撃者の第一歩であり、彼らは開いているポートを一括スキャンし、SSH、RDP、MySQL などの一般的なサービスを識別する。脆弱性スキャンは、既知の脆弱性を持つ古いソフトウェアを標的とし、パス特徴やファイル名特徴を通じて潜在的な攻撃面を識別する。さらに、攻撃者は独自に様々な入力を構築し、入力検証脆弱性を通じてシステム権限を取得しようと試みる。

セキュリティ実践

ドメインセキュリティ防护は、サービスタイプに応じて異なる戦略を採用する必要がある。自家用サービスと公開サービスには、完全に異なる保護方案が必要だ。

flowchart TD
    A[ドメインサービス展開] e1@--> B{サービスタイプ判断}
    B e2@-->|自家用サービス| C[VPN 方案選択]
    B e3@-->|公開サービス| D[エッジセキュリティサービス選択]

    C e4@--> E[社内 DNS 構築]
    C e5@--> F[Tailscale または ZeroTier 展開]
    C e6@--> G[社内固定 IP アクセス設定]

    D e7@--> H[Cloudflare 選択]
    D e8@--> I[阿里云 ESA 選択]
    D e9@--> J[WAF および DDoS 防护設定]

    E e10@--> K[サービス完全非表示]
    F e11@--> K
    G e12@--> K

    H e13@--> L[実 IP 非表示]
    I e14@--> L
    J e15@--> L

    classDef start fill:#E3F2FD,stroke:#1565C0,stroke-width:1px,color:#0D47A1;
    classDef decision fill:#FFF8E1,stroke:#EF6C00,stroke-width:1px,color:#E65100;
    classDef action fill:#E8F5E9,stroke:#2E7D32,stroke-width:1px,color:#1B5E20;
    classDef result fill:#F3E5F5,stroke:#6A1B9A,stroke-width:1px,color:#4A148C;
    classDef animate stroke:#EF6C00,stroke-width:2px,stroke-dasharray: 9\,5,stroke-dashoffset: 900,animation: dash 25s linear infinite;
    class A start;
    class B decision;
    class e1,e2,e3,e4,e5,e6,e7,e8,e9,e10,e11,e12,e13,e14,e15 animate;
    class C,D,E,F,G,H,I,J action;
    class K,L result;

VPN をリバースプロキシの代わりに使用

ほとんどの人はソフトウェアをタイムリーにアップグレードしない。最善の戦略は、自分のドメインを公開しないことだ。スキャン攻撃はプレフィックスを構築することも、サフィックスを構築することもでき、あらゆるサブドメインが試される。サブドメインスキャンの重点領域には、nas、home、dev、test、blog、work、webdav、frp、proxy などが含まれる。自動化攻撃を実現するため、攻撃者はサブドメイン辞書を準備し、自動テストを実行する。これらの一般的な名称は優先的にスキャンされるため、これらの明らかなサブドメイン名称の使用を避けることは基本的な防护策だ。

自家用サービスには、リバースプロキシの代わりに VPN 技術を使用することをお勧めする。これにより、サービスを完全に社内に隠すことができる。社内 DNS サーバーを構築し、例えば AdGuard Home を使用して、ドメイン解決を設定し、社内デバイスがすべて固定 IP 経由でアクセスできるようにできる。AdGuard Home は DNS サービスを提供するだけでなく、広告ブロックとペアレンタルコントロール機能も備えており、家庭ネットワーク環境下での理想的な選択肢だ。DDNS も AdGuard Home の API で実現できる。社内環境であるため、ドメインは自由に選択でき、公的ドメイン規則の制限を受けない。この方式の利点は、サービスが完全に公的に公開されないため、自然にスキャン攻撃のリスクを回避できることだ。

エッジセキュリティサービスの使用

公的アクセスが必要なサービスには、エッジセキュリティサービスが最適な選択だ。Cloudflare は世界的に领先するエッジセキュリティサービスを提供しており、個人開発者が本当に商業価値のあるプロジェクトを見つけるまで、その無料版で十分対応できる。国内の阿里云 ESA も良い選択肢で、新ユーザーは 3 ヶ月無料トライアルでき、通常の有料プランはルートドメイン月額 10 元、50GB トラフィック制限だ。Cloudflare の完全無料サービスと比較して、ESA の主な利点は中国本土でのアクセス速度が優れていることだ。

セキュリティサービスは一般的に価格が高いが、保護しなければ、攻撃を受けた場合の損失はより大きくなる可能性がある。有料保護にすれば、毎日直接的な固定支出を見ることになる。エッジセキュリティサービスは一種の保険と見なせ、非常に安価でコストパフォーマンスが極めて高い。典型的に、専門家に専門的な仕事を任せることだ。

エッジセキュリティサービスの主な目的は、自分の実 IP を隠すことだ。ユーザーはエッジノードにアクセスし、エッジノードは実 IP へのアクセスを決定するかどうかを計算する。その本質は、キャッシュ、WAF、CDN、DDoS 防护などの機能を統合した前置きのリバースプロキシだ。ユーザーとサービスの間に第三者を挿入するため、ユーザー体験が低下する可能性がある。Cloudflare と ESA の両方を使用しているが、要するに、体験が最も良いユーザーの体験をわずかに低下させるが、より多くの地域のユーザー体験を向上させる。全体として、非常に価値のある投資と言える。

まとめ

ドメインセキュリティはシステム工学であり、サービスタイプに応じて異なる保護戦略を採用する必要がある。自家用サービスには、優先的に VPN 方案を採用し、Tailscale と ZeroTier は成熟して信頼性の高い選択肢だ。DNS サービスが必要な場合は、社内に AdGuard Home を構築でき、完全な DNS 解決方案を提供し、広告ブロックとペアレンタルコントロール機能を含む。公的アクセス要件には、AdGuard Private を使用して暗号化された DNS 解決サービスを提供できる。

公開サービス、つまり大衆にアクセスさせるサービスには、エッジセキュリティサービスを一层かけることが最善だ。Cloudflare は世界的に领先する無料セキュリティ防护を提供しており、大多数の個人開発者に適している。特に中国本土でのアクセス速度を気にする場合は、阿里云 ESA を選択でき、国内のノード分布がより広く、より良いローカライゼーション体験を提供できる。

どの方案を選択するにしても、重要なのはドメインセキュリティの意識を構築し、攻撃が発生するのを待つのではなく、能動的に防护策を講じることだ。サイバーセキュリティには銀の弾丸はなく、自分に合ったものが最善だ。

• ←前へ
• 次へ→