Movable Type CMSプラットフォーム Movable Type
ドキュメントサイト

Movable Type 5 ManualMovable Type 5 マニュアル

不正ログインに対するアカウントのロック

最終更新日: 2017.10.06

セキュリティを強化するため、Movable Type 5.13から、アカウントの認証ロックアウト機能が追加されています。

認証ロックアウト機能

Movable Typeにログインする時に、一定の回数以上、ユーザー名とパスワードを間違えると、ユーザーのアカウントがロックされます。これにより、ユーザーアカウントへの辞書攻撃などを防止します。

管理画面(mt.cgi)、コメント認証(mt-comment.cgi)およびコミュニティ(mt-cp.cgi)のへのログインが対象となります。ただし、外部認証によるログインは対象にふくまれません。

ロックアウトされる条件

標準の設定では、以下の条件で管理画面へのログインをロックアウトします。

  • ある特定のMTユーザーが、1800秒間に、6回以上ログインに失敗した場合、そのユーザーのログインを禁止します。
  • 同一IPアドレスから、1800秒間に、10回以上ログインに失敗した場合、そのIPアドレスからのアクセスを禁止します。

ロックアウト条件の変更

ロックアウトの条件は、管理画面と環境変数で変更することが可能です。管理画面では、以下の手順で変更します。

  1. ナビゲーションから、[システム] を選択します。
  2. サイドメニューから、[設定] > [全般] を選択します。
  3. アカウントロックの設定」を設定します。

設定項目は以下の通りです。

  • 通知メール受信者
    ユーザーがロックアウトされた場合に、通知メールを受信する管理者を選択します。設定されていない場合は、システムのメールアドレス宛に通知メールを送信します。
  • ユーザーのロック方針
    指定した秒数の間に、指定回数以上のログイン失敗があったアカウントをロックします。
  • IPアドレスのロック方針
    指定した秒数の間に、指定回数以上のログイン失敗がおこなわれたIPアドレスをロックします。加えて、ロックしないIPアドレスをホワイトリスト形式で指定できます。

ロックアウトの解除

アカウントがロックされると、ロックされたユーザーアカウントのメールアドレスと、システム管理者に通知メールが届きます。ロックを解除するためには、以下の三通りの方法があります。

  • ロックされたユーザーあるいはシステム管理者に送信された、通知メールに記載されたURLにアクセスして、アカウントのロックを解除します。
  • ユーザーのロック、およびIPアドレスのロックは、ロック後に一定の期間が経過すると自動で解除されます。最後に失敗したログインから、ユーザーのロック方針あるいはIPアドレスのロック方針で指定した秒数が経過すると、ロックは自動的に解除されます。
  • システム管理者として管理画面にログインします。ナビゲーションから [システム]を選び、サイドメニューの[ユーザー] > [一覧] を選びます。ユーザーの一覧画面で、フィルタから 「アカウントがロックされているユーザー」を選択します。ユーザーを選択して、[ロック解除]ボタンをクリックします。

環境変数の追加

認証ロックアウトの設定は以下の環境変数からも可能です。