不正な会員登録

[signifiant]

——————————————-
WordPress のバージョン：6.6.1
Welcart のバージョン：2.11.2
PHP のバージョン：8.3.8
Welcart専用の拡張プラグインとバージョン：無し
ご利用の親テーマとバージョン :Simplicity2 child 20161002
ご利用の子テーマとバージョン :Simplicity2 2.8.7.1
症状を確認したブラウザ：Chrome
サーバー【重要】：さくら スタンダード
——————————————–

お世話になっております。
２年ほど前に、不正な会員登録がたくさんあり、その後Recaptchaやメール認証を行うことによって解決していましたが、昨日からまた不正登録が頻繁に起こるようになりました。
郵便番号や電話番号など、数字しか入力できない部分にも登録不可能なはずのランダムな英文字が入っており（操作ログからの会員情報画像を添付しました）、Recaptchaやメール認証をどのように避けているのかも全く分かりません。
見つけるたびに削除しておりますが、10分に１度くらい新規に登録されるため、良い気持ちはしません。
原因あるいは、回避方法をご存知の方おられないでしょうか。

Attachments:

You must be logged in to view attached files.

[ikeda]

signifiant様
こんにちは。
まず、Welcartは今のところPHP8.3には対応しておりませんので、
対応バージョンまでダウングレードしていただけますようお願いいたします。
システム要件をご確認ください。

現在も不審な会員登録は続いているでしょうか。

[signifiant]

お世話になります。
PHPバージョン最新にしておりましたので、8.1まで下げました。

不正登録ですが、最後は数分に1度くらいの間隔となり、あまりにひどいのであちこち調べまして、functionに下記を追記したことで、ひとまず防ぐことができたようです。

function mw_usces_filter_member_check($mes)
{
$fax = $_POST[“member”][“fax”];
// FAX番号に数字以外が含まれている場合
if( strlen($fax) && !preg_match(“/^[0-9]+$/”, $fax) ) {
$mes .= “FAX番号は半角数字で入力して下さい。<br />”;
}
return $mes;
}
add_filter(‘usces_filter_member_check’, ‘mw_usces_filter_member_check’, 10);

とはいえ、FAXに数字が含まれていないことを利用した単純なフィルターですので、最後は対策のいたちごっごになりそうです。
もし、他により良い方法などありましたら、ご教示いただければ幸いです。

また、不正登録自体は4月頃から来ていたようで、その頃から隣同士の会員番号の間隔が100番以上飛んでいたため、おそらく登録だけしてメール認証が通らずに自動で消去されていたのではないかと推測しています。

取り急ぎのご報告となりますが、よろしくお願いいたします。

[Alicia]

signifiant 様

こんにちは。

　勉強になります。usces_filter_member_check をこんな風に使ったことはありませんでした。
さながら、お手製のハニーポットですね。これで防げているのなら、これで様子見ということなりますでしょうか。

　確かに、電話番号はちゃんと数字のみを入れてきてるようですので、これではそのうち突破されるかもしれませんね。
私は、今のご時世FAXを非表示にしていますので、そういう場合ならFAXを正規表現で数字以外とはせずに、何か入力されたら、即ボット判定としても良さそうです。
外国からなら、フリガナに正規表現をつけても、それなりの効果が見込めそうです。
仕組み自体は、Jquery Validation　でも可能ですね。

　あとは、よくあるケースとして
<input type="hidden" name="〇〇" >
で、最初から人間には見えない落とし穴を作っておくとかでしょうか。

ハニーポットは、Welcart 本体でも搭載されると便利かもしれませんね。（このような古い技術では、今となっては、あまり意味がないのかもしれませんが・・・。）

　ただ気になるのが、Google reCAPTCHA v3 がちゃんと仕事をしていないような気がしますので、一度確認された方が良いのではないかと思います。

Welcart Shop システム設定 >　Google reCAPTCHA v3　において

　｢Google reCAPTCHA v3　動作中response_OK｣

と表示されていますでしょうか？

　また、スコア（閾値）は、いくつになっていますでしょうか？　
デフォルトで 0.5 ですが、小さ過ぎるとボットを通過させやすくなります。
デフォルトより、1.0　に近づけるとより厳しい判定になりますが、厳しすぎると人間も通さなくなります。
一度、1.0 （人間でも 100% ボット判定される）にして、ご自身でフォームに入力してみて、ちゃんと機能しているかご確認ください。テスト後は、スコアを戻すのをお忘れなく。

　メール認証が突破されてるのも気になります。さっぱり分かりません。なんか悔しいです。これもちゃんと動いてますか？

不正登録自体は4月頃から来ていたようで、

この頃に、PHPのバージョンを、8.2以上にしてしまわれたのでしょうか？この頃は、メール認証は機能していて防げていたのに、

昨日からまた不正登録が頻繁に起こるようになりました。

ということは、9/6直前に、サーバー環境や新たなプラグインなど何か環境に影響を与える要因があって、ついにメール認証まで突破され、登録を許してしまったという流れでしょうか。

　PHPのバージョンを正されたので、すでにそれだけで reCAPTCHA やメール認証が復活し、解決しているかもしれませんし、そうなれば、FAX の対策も不要かもしれません。また、経過を共有いただけるとありがたいです。

[ikeda]

Alicia 様
いつもありがとうございます。

signifiant 様
PHP ダウングレードの対応ありがとうございます。
Alicia 様が仰るように、Google reCAPTCHA v3 と 新規登録時のメール認証 の機能が正常に動作しているかをご確認いただけますでしょうか。
現状ひとまずは止まったということですが、引き続き経過を見ていただけたらと思います。

[abisissy]

こんにちは、横から失礼します。私共のサイトも同様です。

4月頃に始まったのも同じで、今現在は1日0～10数件程度あります。
ごくまれにメール認証を突破してきます（これまでに数件ほど）。
それ以上の被害はないので様子見でいたのですが…

電話番号以外はランダムな大小英字（数字がない）で登録してあるので、郵便番号などに何らかのバリデーションを入れればいいのかなと思ってはいたのですが、signifiant様のFAXに入れるアイデアはいいですね。

これは、Welcart様のほうで実装はされないでしょうか？

——————————————-
WordPress のバージョン：6.6.2
Welcart のバージョン：2.11.2
PHP のバージョン：8.0.30
Welcart専用の拡張プラグインとバージョン：
　WCEX DL Seller 3.5.4
　WCEX Widget Cart 1.2.5
　WCEX Patch for AFC 6.0.3
　WCEX Favorites 1.0.4
ご利用の親テーマとバージョン :Total 5.19
ご利用の子テーマとバージョン :上記の子テーマ
　ショップ部分のベースは Welcart Basic 1.8.5
症状を確認したブラウザ：Chrome
サーバー【重要】：Xserverビジネス

Google reCAPTCHA v3動作中response_OK スコア0.6
——————————————–

[Alicia]

abisissy 様

情報共有ありがとうございます。
PHP8.0 適正　スコア0.6 ですか。人力でやれそうな頻度でしょうか？
signifiant 様は、

不正登録ですが、最後は数分に1度くらいの間隔となり、あまりにひどいのであちこち調べまして

と仰ってます。
これらは、本当に不具合なしで reCAPTCHA v3　突破してるんでしょうか。だとすれば、今後被害が増えるかもしれませんね。

これは、Welcart様のほうで実装はされないでしょうか？

どうなんでしょうね。判断が分かれるところかも。突破された人が少数ならば、フックで今のところ対応できそうですし。
　そもそもバリデーションで簡易なハニーポット作るよりも、reCAPTCHA v3　の方が格段に精度が高いイメージがあるので、実装したところで・・・というのもあります。不具合が確認されてるわけでもありませんし。
　メール認証含め、まずは突破された方の情報が集まらないと何とも言えないかもです。

[signifiant]

皆様

色々とご教示いただき、ありがとうございます。
迷惑登録も収まっていましたので、PHPを8.1とした後、FAX部分のフックを外しまして様子見をしていますが、
現在のところ新規の登録は来ていません。引き続き様子を見ます。

reCAPTCHAですが、PHP 8.3の時にスコアを0.8としたところ、自分のテストでも弾かれたので正常に動いていたのではないかと思うのですが、１度しかテストしなかったため余り自信がありません。
また、0.8に上げていた時にも迷惑登録は続いていて、これは手に負えないと思った記憶がありますが…これも自信無しです。
PHP8.1に戻した後数回テストしましたが、スコア1.0で間違いなく弾かれました。

PHPのバージョンを上げたのがいつなのか、全く覚えていないので、こちら方面での情報をお出し出来なくて申し訳ないです。
その他思い当たるのが、最近気付いたのですが、Wordfenceが「Unite Gallery Lite」と「YARPP」という2つのプラグインについて致命的という警告を出していたのが、ちょうど9月9日でした。
Unite Galleryは「削除済みプラグイン」としてプラグインリストから外されており、YARPPの方は「プラグイン脆弱性」で「脆弱性の深刻度: 5.3/10.0 (中)」となっていました。

Unite Galleryは大したことに使っていないので良いのですが、YARPPは関連商品表示に使っていたため、どうしたものかと、こちらも様子見をしている状態です。

様子見ばかりとなってしまいましたが、何か進展がありましたらこちらに書かせていただきます。

[abisissy]

皆様

こちら、reCAPTCHAのスコアは、signifiant様同様、0.7や0.8に上げてみたこともあったのですが状況は変わらず、関係はわかりませんが同時期にお客様からログインできないという連絡もあったので、現状0.6です。

人力で対応というか、仮登録はあってもメール認証されなければ、一日ほど経てば自動的に会員リストから削除されるので、それに任せています。
正式登録されなければ、会員登録メールも来ませんし。

4～5月頃、ひどいときは数分に一度あったりしましたが、今現在はだいぶ減り、一日0件だったり、10数件だったりです。

様子見しかできませんね…

※PHPのバージョンは、WCEX Favoritesプラグインが8.0までしか対応していないので上げられません。

[ikeda]

皆さま貴重なご意見をいただき誠にありがとうございます。

abisissy様
取り急ぎ下記について回答させていただきます。

※PHPのバージョンは、WCEX Favoritesプラグインが8.0までしか対応していないので上げられません。

WCEX Favorites は PHP8.1 に対応しております。
対応バージョンの更新が遅くなり大変申し訳ありません。

[投稿者]

投稿