【元記事】(https://zenn.dev/kusuke/articles/25330f7759eba4)
3行まとめ
- HTTPSサイト公開後即座に攻撃botが殺到する現象を実例付きで解説
- CT Log(証明書透明性ログ)は誰でも検索可能で、新規ドメインを特定される
- dev/stg環境でもBasic認証・IP制限・WAF・ワイルドカード証明書で防御すべき
要約
背景・課題
- SSL証明書発行時にCT Logへドメインが公開され、攻撃者に新規サイトを特定される
- 公開直後は「ザル」(adminパスワードのまま、.env露出、ログ垂れ流し)なことが多く狙われる
- 本来27アクセスに対し1620回のbotアクセスが来た実例あり
アプローチ
- dev/stgは本番と別ドメイン(機械的に思いつかないもの)を使用
- Basic認証/IP制限でbotの探索コストを上げて諦めさせる
- Cloudflare等WAFで海外アクセス遮断。ただし直アクセスにも注意
- ワイルドカード証明書でサブドメインをCT Logに露出させない
成果・ポイント
- CT Log非掲載は技術的に可能だがブラウザエラーが出るので実務上不可
- パブリックIPがあればポートスキャンも来る。定期的にスキャンされる前提で設計
- AIクローラーの大量アクセスによるクラウド費用高騰にも注意