マイクラ鯖の荒らし対策・セキュリティ設定【公開前に必須】


※本記事にはアフィリエイト広告(プロモーション)が含まれています。

マイクラ鯖をインターネットに公開した瞬間から、あなたのサーバーは世界中のボットのスキャン対象になります。「フレンドにしかIPを教えてないから大丈夫」は通用しません — サーバーリストのスキャナーは全IPアドレス空間を機械的に巡回していて、無防備なサーバーは数日で見つかります。実際、対策なしで放置された鯖が「建築を全部TNTで消し飛ばされた」事例は珍しくありません。この記事では被害に遭う前にやるべき設定を優先度順に解説します。

対策1: ホワイトリスト(最重要・所要1分)

フレンド鯖なら、これだけで荒らしリスクの9割が消えます。登録した人以外はログイン自体できなくなります。

# サーバーコンソール or OP権限で
/whitelist on
/whitelist add フレンドのMinecraftID

server.properties なら white-list=true。「不特定多数に来てほしい公開鯖」以外は常時ONが正解です。新しいフレンドが増えたら add するだけなので、運用の手間もほぼゼロです。

対策2: online-mode=true を絶対に変えない

server.propertiesonline-mode=false は、Mojangアカウント認証をスキップする設定です。これをfalseにすると誰でも任意の名前でログインできるようになります。あなたのIDを名乗ってOP権限を奪うことすら可能です。

割れ対策以前にセキュリティの根幹なので、どんな解説記事に書いてあっても false にしてはいけません。

online-mode=true

対策3: OP権限は最小限に

OP(オペレーター)は /stop/ban/give も使える全権です。「仲良いから」で配ると、アカウント乗っ取りや内輪もめの際にサーバーごと吹き飛びます。

  • OPは自分だけ、多くても2人まで
  • 「ホームやテレポートを使わせたい」だけなら、OPではなくLuckPermsで個別権限を配る
  • ops.json を定期的に見て、身に覚えのないOPがいないか確認

対策4: CoreProtectで「荒らされても戻せる」状態にする

予防をすり抜けられた場合の保険です。プラグイン対応サーバー(Paper)ならCoreProtectを入れておくと、全ブロック操作がログに残り、荒らしの痕跡をまとめて巻き戻せます。

# 直近3時間の、特定プレイヤーの操作を半径30ブロックで復元
/co rollback u:荒らしID t:3h r:30

さらに自動バックアップがあれば、最悪ワールドごと復元できます。「予防(whitelist) + 記録(CoreProtect) + 復元(バックアップ)」の3層が揃えば、荒らしはほぼ怖くありません。

対策5: VPS自体のファイアウォール

ゲームのポート以外は閉じておきます。特にRCON(25575)は開けっ放し厳禁です。リモートからサーバーコマンドを実行できるポートなので、公開するとパスワード総当たりの的になります。

ufw default deny incoming
ufw allow ssh          # 自分のSSH接続
ufw allow 25565/tcp    # Minecraft (Java版)
ufw enable

RCONを使う場合もVPS内部からのみ(enable-rcon=true でも UFWでは開けない)にして、rcon.password は長いランダム文字列にします。

統合版(Bedrock)鯖の場合はUDP 19132を開けます。詳しくは統合版サーバーの記事で。

対策6: 見つかりにくくする小技

  • server.propertiesmotd に「フレンド専用」と書くだけでも、興味本位の侵入は減ります
  • enable-status=false にするとサーバーリストのping応答を返さなくなり、スキャナーの一覧に「オンライン」と表示されなくなります(フレンドのサーバー一覧でもオフライン表示になる点は許容が必要)
  • どうしてもポートを隠したいならポート開放不要のトンネル型マルチという選択肢もあります

公開鯖の場合の追加装備

不特定多数を受け入れる公開鯖は上記に加えて:

  • アンチチートプラグイン(Grim等)でキルオーラ・飛行チートを検知
  • ログイン保護: 新規参加者を一定時間観察エリアに置くプラグイン
  • バックアップ頻度を上げる: 日次 → 6時間ごと
  • DDoS対策はVPS事業者側の機能に依存するので、プラン選定時に確認(VPS比較記事参照)

まとめ(優先度順チェックリスト)

  1. /whitelist on — フレンド鯖ならこれだけで9割解決
  2. online-mode=true を死守
  3. ✅ OPは自分だけ。権限配布はLuckPermsで
  4. ✅ CoreProtect + 自動バックアップで「戻せる」体制
  5. ✅ UFWでゲームポート以外閉鎖、RCONは外に出さない

全部やっても30分かかりません。建築数百時間の成果を守る保険としては破格に安いので、公開前にぜひ一巡してください。