アクセス観測 on リタイア放浪記

DMARCレポートが届いた

Sun, 07 Jun 2026 06:00:00 +0900

二日前の6月5日に、DKIMおよびDMARC導入を行い運用を開始したのだが、昨夜21時頃のタイムスタンプで興味深いメールが届いた。

差出人は au（KDDI）である。

From: no-reply@ezweb.ne.jp
To: postmaster@sky.0t0.jp
件名: 集約レポート結果 2026/6/5 (1件)

添付されていたレポートファイル
（kddi.com!sky.0t0.jp!1780628123!1780628123.xml）
を本文下欄に掲載する。

DMARCを導入したのは今回が初めてであり、実際にレポートが届くと「きちんと機能しているのだな」と実感する。

レポート内容を見ると、送信元IPアドレスは 69.84.99.82 であり、当方のメールサーバーとは無関係である。

さらに、

envelope_from : sky.0t0.jp
header_from : sky.0t0.jp

となっており、当ドメインを差出人として使用したメールが送信されていたことが分かる。

しかし認証結果は、

SPF : SoftFail
DKIM : none
DMARC : fail

となっており、正規の送信メールではないことが確認できる。

つまり、

sky.0t0.jp を差出人に偽装したメールが送信された
SPFおよびDKIM認証に失敗した
DMARC評価によって不正メールとして判定された
auがDMARCレポートで通知してくれた

ということになる。

これまでも当サイトに対して様々な不審アクセスを観測しているが、今回はメールアドレスまで利用された形となる。

もちろんインターネット上ではメールアドレスの詐称自体は珍しいことではない。
しかし、自ドメインを騙った送信が実際に観測されると少々複雑な気分である。

そこでDMARCポリシーを

v=DMARC1; p=none

から、

v=DMARC1; p=reject; pct=100; rua=mailto:postmaster@sky.0t0.jp

へ変更した。

これにより、今後第三者が sky.0t0.jp を差出人として使用した場合でも、DMARCに対応した受信側では拒否されることになる。

DMARCレポートは地味な仕組みではあるが、「誰かが自分のドメインを騙っていないか」を確認できるため、個人運用のメールサーバーであっても導入する価値は大きいと感じた。

それにしても、なかなか陰湿な行為である（笑）

レポートファイル（kddi.com!sky.0t0.jp!1780628123!1780628123.xml）の内容

<?xml version="1.0" encoding="UTF-8"?>
<feedback>
  <report_metadata>
    <org_name>au.com</org_name>
    <email>noreply-dmarc-support@kddi.com</email>
    <report_id>20260605115523368832</report_id>
    <date_range>
      <begin>1780628123</begin>
      <end>1780628123</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>sky.0t0.jp</domain>
    <adkim>r</adkim>
    <aspf>r</aspf>
    <p>none</p>
    <sp>none</sp>
    <pct>100</pct>
    <fo>0</fo>
  </policy_published>
  <record>
    <row>
      <source_ip>69.84.99.82</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
        <reason>
          <type>other</type>
        </reason>
      </policy_evaluated>
    </row>
    <identifiers>
      <envelope_to>ezweb.ne.jp</envelope_to>
      <envelope_from>sky.0t0.jp</envelope_from>
      <header_from>sky.0t0.jp</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain/>
        <selector/>
        <result>none</result>
        <human_result/>
      </dkim>
      <spf>
        <domain>sky.0t0.jp</domain>
        <scope>mfrom</scope>
        <result>SoftFail</result>
      </spf>
    </auth_results>
  </record>
</feedback>

アクセス観測終了？！

Mon, 01 Jun 2026 06:00:00 +0900

去年7月から続くしつこい付きまといアクセス。

ここしばらくの間、ACMEチャレンジ以外のログを取得しない状態で、PORT80のみ常時公開していたが、本日付でサイトの運用を見直した。

公開状態のままではアクセスが絶えないため、通常は閉鎖し、証明書更新（ACME）のタイミングのみ短時間公開する構成に変更した。

これにより不要なアクセスを観測する機会はほぼなくなる。
いよいよ無意味なアクセス観測も終了だろうか？！

一方で、インターネット上では対象への執着に基づく監視行動や追跡行為が少なからず存在する。
興味深いのは、それらの行動が必ずしも合理的な目的に基づいていない点である。

行動科学の観点では、人は好意だけでなく嫌悪によっても対象へ注意を向け続けることが知られている。
対象を否定したいという感情が、結果として継続的な観察や監視を生み出し、本人の時間や認知資源を消費させる。

しかし、そのような行動は新たな知識や価値を生み出すことが少なく、多くの場合は生産性の低い活動に終始する。

限られた時間を何に使うかは個人の自由だが、他者への執着や監視に費やすより、自らの知識や経験を積み上げる方向へ向けた方が建設的であるように思う。

少なくとも私は、不要な雑音から距離を置き、自分の時間を自分のために使いたい。

伊吹山音頭

Thu, 21 May 2026 06:00:00 +0900

去年7月から続くしつこい付きまといアクセス。

未だに消えてないが、海外からのアクセスを専用サイトに閉じ込め、ACMEチャレンジ以外のLOGを取っていないので、詳細は不明な状態。

下記のパケットカウント、ルール14がその専用サイト宛のパケットだが、昨日２４時間で120アクセスのみ。
少し前と比べると一桁少なくなっている。
このまま放置すれば、いずれ自然消滅か・・・

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1    7869K 6530M ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2        0     0 DROP       6    --  br0    ppp0    0.0.0.0/0            0.0.0.0/0            tcp dpts:137:139
3        0     0 DROP       17   --  br0    ppp0    0.0.0.0/0            0.0.0.0/0            udp dpts:137:139
4        0     0 DROP       6    --  br0    ppp0    0.0.0.0/0            0.0.0.0/0            tcp dpt:445
5        0     0 DROP       17   --  br0    ppp0    0.0.0.0/0            0.0.0.0/0            udp dpt:445
6        0     0 DROP       6    --  br0    ppp0    0.0.0.0/0            0.0.0.0/0            tcp dpt:111
7        0     0 DROP       17   --  br0    ppp0    0.0.0.0/0            0.0.0.0/0            udp dpt:111
8    26800   16M ACCEPT     0    --  br0    ppp0    192.168.1.0/24       0.0.0.0/0           
9      170  8763 DROP       0    --  ppp0   br0     0.0.0.0/0            0.0.0.0/0            match-set firehol_level3 src
10      78  3968 DROP       0    --  ppp0   br0     0.0.0.0/0            0.0.0.0/0            match-set firehol_level2 src
11       7   292 DROP       0    --  ppp0   br0     0.0.0.0/0            0.0.0.0/0            match-set firehol_level1 src
12      10   436 DROP       0    --  ppp0   br0     0.0.0.0/0            0.0.0.0/0            match-set gcloud src
13       0     0 DROP       0    --  ppp0   br0     0.0.0.0/0            0.0.0.0/0            match-set other_block src
14     120  7868 ACCEPT     6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:9080
15     113  6312 ACCEPT     0    --  ppp0   br0     0.0.0.0/0            192.168.1.1

ちなみに、一日１～２回はスパムメールを送り付けようとしてくる。
DNSBL（ブラックリストデータベース）zen.spamhaus.orgを参照して、該当すれば拒否されるのだが、その際の応答メッセージを

アクセス観測終了

Tue, 28 Apr 2026 06:00:00 +0900

ほんの二日前、「Honeypot再起動」したばかりだが、そのアクセスLOGはゴミでしかない。
長年、このゴミを眺めることが半ば習慣になっていた。
例のつきまといアクセスと、それ以外を分離して観測するための構成でもあったのだが、ここにきて突然バカバカしさが勝ってきた。
ということで、今度こそ観測自体を廃止することにした(笑)

物理的なホストは用意せず、仮想ハニーポット（192.168.1.156）として設定。
仮想ハニーポット宛のパケットはFORWARDチェインにて無条件にDROPし、実体のない「ブラックホール」として動作させ、DROPカウントのみ確認できる構成とした。

156というIPアドレスは「イチコロ」をもじって割り当てている。
文字通りイチコロである(笑)

なお、本構成では「応答を返さない」ことを優先しており、スキャン元に対してはタイムアウトを誘発させるだけの受動的な防御となる。
ログを肥大化させず、リソース消費も最小限に抑える狙いである。

●PREROUTINGチェイン

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        4   172 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25 match-set firehol_level3 src to:192.168.1.156:25
2       28  1680 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25 match-set firehol_level2 src to:192.168.1.156:25
3        8   380 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25 match-set firehol_level1 src to:192.168.1.156:25
4       80  4752 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25 match-set gcloud src to:192.168.1.156:25
5      121  6642 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 match-set firehol_level3 src to:192.168.1.156:80
6       86  4428 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 match-set firehol_level2 src to:192.168.1.156:80
7        4   200 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 match-set firehol_level1 src to:192.168.1.156:80
8       13   616 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 match-set gcloud src to:192.168.1.156:80
9      194 10556 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 match-set firehol_level3 src to:192.168.1.156:443
10      57  2916 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 match-set firehol_level2 src to:192.168.1.156:443
11       4   200 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 match-set firehol_level1 src to:192.168.1.156:443
12       4   204 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 match-set gcloud src to:192.168.1.156:443
13       0     0 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 match-set jpnet src to:192.168.1.1:22
14       2   120 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25 to:192.168.1.1:25
15       2    80 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 match-set jpnet src to:192.168.1.1:80
16       2   120 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 match-set searchengines src to:192.168.1.1:80
17      12   692 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 match-set jpnet src to:192.168.1.1:443
18     171  9944 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 match-set searchengines src to:192.168.1.1:443
19       0     0 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:587 match-set jpnet src to:192.168.1.1:587
20       0     0 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:993 match-set jpnet src to:192.168.1.1:993
21     121  6684 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 to:192.168.1.156:80
22     120  7996 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 to:192.168.1.156:443
23       5   232 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:587 to:192.168.1.156:587
24      10   460 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:993 to:192.168.1.156:993

・ルール1～12
firehol_level1～3：FireHOL公開のブラックリストIPを仮想ハニーポット（192.168.1.156）へ
gcloud：スパム傾向の強いGoogle Cloud発を仮想ハニーポット（192.168.1.156）へ

Honeypot再起動

Sun, 26 Apr 2026 11:00:00 +0900

一週間ほど前、「翻弄の手仕舞い」の記事にあるように、つきまといアクセスや、スキャンアクセスの分離受信を廃止したのだが・・・
例のつきまといアクセスが一向に止まず、ログに残り続ける状態となっていた。
アクセスはHTTPSへ301リダイレクトされるため、最終的にはルーターでDROPされ、相手側は何も情報を得られない。
それにもかかわらず、執拗にアクセスを繰り返してくる。

結果として、ランダムなスキャンや攻撃アクセスよりも、つきまといアクセスのログが目立つ状況に・・・
これが不快で、じわじわとストレスが蓄積していく。

そこでiptablesの構成を変更し、Honeypot（観察用サーバー）を再起動。
再び分離受信を行うことにした。

ただし、「翻弄の手仕舞い」以前の状態、「正規サイトとハニーポット切り替え詳細」の記事にある設定へ単純に戻すと、目障りなつきまといアクセスまでHoneypot側のログに残ってしまう。
そこで今回は、FireHOLデータベースに登録されているIPレンジのホストのみを、Honeypot（観察用サーバー）へDNAT転送する構成とした。

つきまとい側は、DROPを避けるためFireHOLなどのブラックリストに該当しないホストを使ってくる。
そのため逆に、FireHOL該当ホストだけを通すことで、意図的に振り分けを行う形である。

この構成であれば、スキャンアクセスの収集は維持しつつ、例のつきまといアクセスの大半を除外できる。
さらに、FireHOLで検知されるホストの中身も確認できるため、一石二鳥だ。

●PREROUTINGチェイン

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        7   352 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:smtp match-set firehol_level3 src to:192.168.1.2:25
2        1    40 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:smtp match-set firehol_level2 src to:192.168.1.2:25
3        0     0 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:smtp match-set firehol_level1 src to:192.168.1.2:25
4       44  2268 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:http match-set firehol_level3 src to:192.168.1.2:80
5        1    52 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:http match-set firehol_level2 src to:192.168.1.2:80
6        0     0 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:http match-set firehol_level1 src to:192.168.1.2:80
7       49  2616 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:https match-set firehol_level3 src to:192.168.1.2:443
8       29  1596 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:https match-set firehol_level2 src to:192.168.1.2:443
9        7   384 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:https match-set firehol_level1 src to:192.168.1.2:443
10       1    60 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:ssh match-set jpnet src to:192.168.1.1:22
11       8   420 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:smtp to:192.168.1.1:25
12       0     0 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:http match-set jpnet src to:192.168.1.1:80
13       1    44 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:http match-set searchengines src to:192.168.1.1:80
14       0     0 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:https match-set jpnet src to:192.168.1.1:443
15      31  1728 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:https match-set searchengines src to:192.168.1.1:443
16       0     0 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:submission match-set jpnet src to:192.168.1.1:587
17       0     0 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:imaps match-set jpnet src to:192.168.1.1:993

・firehol_level1～3 : FireHOLで公開されているブラックリストIPからのアクセスのみを Honeypot（192.168.1.2）へ振り分け
・jpnet：日本国内からのアクセスを Main Server（192.168.1.1）へ
・searchengines：主要検索エンジンのクローラを Main Server（192.168.1.1）へ

翻弄の手仕舞い

Sat, 18 Apr 2026 07:00:00 +0900

2025年7月から一年近く続いている執拗なつきまといアクセスのおかげで、様々な実験を行うことができた。
その過程で、ルーターのIPフィルター構成も、以前とは比べ物にならないほど高度化している。

皮肉なことに、すべてはこの「つきまとい」の副産物である。

その集大成が、下記の記事で触れている「未知のアクセス＝自動的に観測対象」とする構成だ（笑）
「パラレルワールド作戦」
「正規サイトとハニーポット切り替え詳細」

その経緯の中で、「深淵迎賓館」と名付けた歓迎ムードのサイトも生まれた。
ネーミングからして我ながら傑作で、思い出すたびに少し笑ってしまう。

ただし、そこで得られるLOGの大半は、実質的に“ノイズ”でしかない。
ラズパイの消費電力が小さいとはいえ、サーバーを2台稼働させ続けるコストに見合う価値があるかと言われると疑問が残る。

ゴミLOGを収集し続ける意味はあるのか・・・
そう自分に言い聞かせ、今回はひとまず手仕舞いとすることにした（笑）

正規サーバーは、以下の2系統をバーチャルホストで構成している。

・正規ドメイン：sky.0t0.jp
・非正規アクセス受け口（IP直打ち等）：pacific.sky.0t0.jp（ハニーポット）

この前提で、iptablesの構成を以下のように整理し、しばらく運用してみる。

●PREROUTINGチェイン

smtp（ポート25）およびhttp（ポート80）は、DNAT段階では制限を設けない。

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        1    60 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:ssh match-set jpnet src to:192.168.1.1:22
2        3   140 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:smtp to:192.168.1.1:25
3       49  2524 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:http to:192.168.1.1:80
4        8   460 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:https match-set jpnet src to:192.168.1.1:443
5       22  1244 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:https match-set searchengines src to:192.168.1.1:443
6        0     0 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:submission match-set jpnet src to:192.168.1.1:587
7        0     0 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:imaps match-set jpnet src to:192.168.1.1:993

・jpnet：日本国内からのアクセスを Main Server（192.168.1.1）へ
・searchengines：主要検索エンジンのクローラを Main Server（192.168.1.1）へ

パラレルワールド作戦

Sun, 05 Apr 2026 05:00:00 +0900

先日実施した、「深淵迎賓館仕様変更」の内容につき、フロントページを変更した。

当初は下記イメージの「深淵迎賓館」をフロントページとし、別の世界に引き込む構成としていた。

これはこれで雰囲気があって面白いのだが、ふとこう考えた。

転送された先が、見かけ上まったく正規サイト (https://sky.0t0.jp/) と同じであれば、彼らは「正規サイトに侵入できた」と認識するのではないか、と。

というわけで、深淵サーバー（192.168.1.2）の index.html を、正規サーバー（192.168.1.1）のものと完全に同一にした。

リンク先のページも同様に配置し、見かけ上は正規サイトと同様の記事遷移が可能な状態にしてある。

ブログについては、Hugoのarchivesインデックスのみを配置。
一覧はそれらしく見えるが、実際にリンクを辿ると 404（Not Found）になる仕掛けだ。

当初の、「シュレディンガーのサーバー」作戦に続き、今回は言わば・・・
「パラレルワールド作戦」である（笑）

同じ構造、同じ見た目、しかし中身は別世界。
さて、彼らはどこまで“気づかずに歩き続ける”のか。
しばらくは、この世界線のログを眺めて楽しむことにしよう（笑）

シュレディンガーのサーバー

Sat, 04 Apr 2026 06:00:00 +0900

先日実施した、「深淵迎賓館仕様変更」の内容が、なかなか秀逸だと自覚したので記事にした（笑）

同一IPアドレスで、国内からだと正規サイト、海外からだと深淵。

……冷静に考えて、ちょっと頭おかしい構成である（褒め言葉）。

観測者によって変わる世界

同じIPを叩いているはずなのに、

日本国内 → 本尊（192.168.1.1）
海外 → 深淵（192.168.1.2）

という分岐が発生する。

つまりこれはもう、

「シュレディンガーのサーバー」

観測するまで中身が確定しない、量子的なWebサーバーであるｗ

地理的二重構造という名の罠

普通の人は「海外からのアクセス？ DROPでいいでしょ」で終わる。

しかし今回は違う。

あえて通す。
そして、別の世界へ案内する。

属性	ゲートウェイ	到着地	体験
国内（jpnet）	Rule 19/21/22	192.168.1.1	3,000記事の静寂
海外（その他）	Rule 15 (DNAT)	192.168.1.2	2178バイトの虚無

拒否ではない。
歓迎している（ように見せかけて奈落に落とす）。

この「偽りの表札」こそが今回のキモ。

デイトレに例えると

日本人には本物の板を見せる。

海外のボットには──
見せ板（しかも約定しないやつ）を握らせる。

完全にハンデ戦であるｗ

なぜこんな構成は珍しいのか

普通はこうなる：

WAF（Web Application Firewall）
CDN（Geo-IP機能）
高価なロードバランサー

で、きっちり振り分ける。

しかし今回は違う。

iptables + ipset だけ。

家のルーター感覚で
「世界を二分」している。

この雑さと完成度の同居がたまらないｗ

犯人（獣）視点の悲劇

昨夜の配送スパムの送り主（たぶん海外）はこうなる：

テスト（自分）
「よし、サイト生きてるな（深淵が表示される）」

獲物（国内）
「……普通に記事読めるけど？」

犯人
「？？？？？」

「本尊」と「深淵」の圧倒的格差

Fri, 03 Apr 2026 06:00:00 +0900

昨日、深淵迎賓館仕様変更を実施し、深淵サーバーでLOGを集めてるけど、深夜のわずか5時間で、この数字の差……！
iptablesのパケットカウンタが、あまりにも残酷なまでの「格差」をリアルに映し出しています。

間違いなく、「深淵迎賓館」がメインサイトであると言って良いでしょう(笑)

Chain FORWARD (policy DROP 1 packets, 44 bytes)
num   pkts bytes target     prot opt in     out      source               destination 
12    7235  296K ACCEPT     6    --  ppp0   br0      0.0.0.0/0            192.168.1.2          multiport dports 25,80,443
...
17       0     0 ACCEPT     6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:80 match-set jpnet src
18       2   120 ACCEPT     6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:80 match-set searchengines src
...
19       0     0 ACCEPT     6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:443 match-set jpnet src
20      31  1812 ACCEPT     6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:443 match-set searchengines src

もはや「本尊（192.168.1.1）」がゴーストタウンで、「深淵（192.168.1.2）」が超巨大都市のような状態ですｗ

深淵迎賓館仕様変更

Thu, 02 Apr 2026 16:00:00 +0900

別ホストの攻撃LOG収集用サーバー、名付けて「深淵迎賓館」について、これまでは正規サイトからの転送などは行わず、ルーターも専用に用意し、別IPによる完全独立構成で運用していた。

しかし、実際に流れてくるのはこの程度の“ありふれた”アクセスばかりで、専用ルーターを用意するほどのメリットは見当たらない（笑）

59.146.94.167.censys-scanner.com - - [26/Mar/2026:05:25:34 +0900] "\x16\x03\x01" 400 489 "-" "-"
59.146.94.167.censys-scanner.com - - [26/Mar/2026:05:25:34 +0900] "GET / HTTP/1.1" 200 2159 "-" "Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)"
・・・
46.101.82.104 - - [26/Mar/2026:05:49:15 +0900] "GET / HTTP/1.1" 200 5273 "-" "-"
204.76.203.206.ptr.pfcloud.network - - [26/Mar/2026:05:53:35 +0900] "GET / HTTP/1.1" 200 2215 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36 Edg/90.0.818.46"

いわゆるスキャナ系、既知クラウド、そして正体不明の汎用クローラ。
“観測対象としての価値”という意味では、特に目新しさはない。

そこで本日より、グローバルIPは正規サイトと同一とし、ルーターも常時稼働している一台に統合、以下の構成で運用を開始した。

●物理的イメージ

Internet
   |
   v
+----------------------------+
|        Router              |
|     iptables / NAT         |
+----------------------------+
   |                      |
   |                      |
 Normal                 Suspicious
 / Allowed              / Unknown
   |                      |
   v                      v
+----------------+   +----------------+
| 192.168.1.1    |   | 192.168.1.2    |
| Main Server    |   | Honeypot       |
+----------------+   +----------------+

●ルーターの iptables 振り分けイメージ

つきまといアクセスの排除完了

Sat, 28 Mar 2026 06:00:00 +0900

現状

2025年7月下旬頃から、特定の組織的な挙動に起因する可能性がある不審なアクセスが継続していました。
これに対し、先日新たに攻撃ログ収集用のサーバーを構築したことで、本ブログを含む正規サイトの運用を「国内限定」に制限しつつ、不審な挙動を分離・監視できる体制が整いました。

そもそも、私のサーバーには外部からのアクセスは極めて限定的です。
そのため、攻撃ログの観測・分析そのものが運用上の主要な意義となっていますが、国内限定とした場合、これらのアクセスも同時に遮断されてしまいます。

そこで、攻撃ログの観測・分析専用サーバーを別IPで構築することにより、正規サイトを国内限定とすることによるデメリットを補完する構成としました。

現在の正規サイト用ルーター構成では、iptables を用いて以下のように防御を構築しており、海外VPS経由の「つきまといアクセス」は事実上排除されています。
本運用は、今後も恒久的な措置として継続する予定です。

Chain INPUT (policy DROP 2198 packets, 142K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     114K   19M ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2     4572  519K ACCEPT     0    --  br0    *       0.0.0.0/0            0.0.0.0/0
3      750 34579 DROP       0    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            match-set firehol_level1 src
4      451 22657 DROP       0    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            match-set firehol_level2 src
5     1521 82559 DROP       0    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            match-set firehol_level3 src
6        0     0 ACCEPT     17   --  ppp0   *       0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:500
7        0     0 ACCEPT     17   --  ppp0   *       0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:4500
8        2    80 ACCEPT     17   --  ppp0   *       0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:1194
9        0     0 ACCEPT     0    --  lo     *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     229K  154M ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2       49  2060 DROP       0    --  ppp0   br0     0.0.0.0/0            0.0.0.0/0            match-set firehol_level1 src
3       57  2924 DROP       0    --  ppp0   br0     0.0.0.0/0            0.0.0.0/0            match-set firehol_level2 src
4       66  3448 DROP       0    --  ppp0   br0     0.0.0.0/0            0.0.0.0/0            match-set firehol_level3 src
5        0     0 DROP       6    --  br0    ppp0    0.0.0.0/0            0.0.0.0/0            tcp dpts:137:139
6        0     0 DROP       17   --  br0    ppp0    0.0.0.0/0            0.0.0.0/0            udp dpts:137:139
7        5   260 DROP       6    --  br0    ppp0    0.0.0.0/0            0.0.0.0/0            tcp dpt:445
8        0     0 DROP       17   --  br0    ppp0    0.0.0.0/0            0.0.0.0/0            udp dpt:445
9        0     0 DROP       6    --  br0    ppp0    0.0.0.0/0            0.0.0.0/0            tcp dpt:111
10       0     0 DROP       17   --  br0    ppp0    0.0.0.0/0            0.0.0.0/0            udp dpt:111
11    4384 2676K ACCEPT     0    --  br0    ppp0    192.168.1.0/24       0.0.0.0/0
12       0     0 DROP       0    --  ppp0   br0     0.0.0.0/0            192.168.1.1          match-set other_block src
13      22  1320 DROP       0    --  ppp0   br0     0.0.0.0/0            192.168.1.1          match-set gcloud src
14       0     0 ACCEPT     6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:22 match-set jpnet src
15       2   112 ACCEPT     6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:25
16       0     0 ACCEPT     6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:80 match-set jpnet src
17       2   120 ACCEPT     6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:80 match-set searchengines src
18       0     0 ACCEPT     6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:443 match-set jpnet src
19     134  7784 ACCEPT     6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:443 match-set searchengines src
20       0     0 ACCEPT     6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:587 match-set jpnet src
21       0     0 ACCEPT     6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:993 match-set jpnet src
22      10   500 DROP       6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:22
23      47  2764 DROP       6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:80
24      83  4528 DROP       6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:443
25       2    96 DROP       6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:587
26       1    52 DROP       6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:993

Chain OUTPUT (policy ACCEPT 118K packets, 8744K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     0    --  *      lo      0.0.0.0/0            0.0.0.0/0

・ipset の内容
firehol_level1～3　：　FireHOL で公開されているブラックリストを DROP
jpnet　：　日本国内からのアクセスのみ許可
searchengines　：　主要サーチエンジンのみ許可

聖域の3分間を狙うハイエナたち

Thu, 19 Mar 2026 06:00:00 +0900

導入：午前0時の「呼吸」

SSL証明書の更新（ACME）のため、深夜0時、わずか3分間だけ正規サイト（sky.0t0.jp）のPort 80が開放される。
それは、サーバーが深呼吸をするような、一瞬の隙である。

通常は閉ざされた門。
この3分間のみ、外界との接続が許可される「例外領域」となる。

観測ログ：正規サイトとハニーポット

ハニーポット（pacific.sky.0t0.jp）

43.166.247.82 - - [19/Mar/2026:00:00:18 +0900] "GET / HTTP/1.1" 200 717 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"

00時00分18秒：未だ執拗にアクセスしてくる13_2_3の獣

状況:
開門から約18秒後、IP直打ちと見られるアクセスがハニーポットに到達。

注視点:
User-Agentに含まれる「iPhone OS 13_2_3」は過去にも観測されているパターンであり、同一系統の自動化クライアントが継続的に動作している可能性が高い。

当該アクセスはハニーポット上で正常処理（200応答）され、以下のメッセージが返却されている。

Welcome to a quiet place.
Are you lost again ?

これは誘導・観測を目的とした意図的な応答である。

正規サイト（sky.0t0.jp）

research2.hadrian.io - - [19/Mar/2026:00:01:48 +0900] "GET / HTTP/1.1" 301 547 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:122.0) Gecko/20100101 Firefox/122.0"

00時01分48秒：Hadrianの影

状況:
開門から約1分48秒後、正規サイトに対してスキャンアクセスを確認。

深淵迎賓館閉館

Mon, 16 Mar 2026 20:00:00 +0900

ほんの二日前に深淵迎賓館を再開したばかりだが・・・

そもそもの経緯は、正規サイト（このブログを含むサイト）に付きまとうように、しつこくアクセスしていた連中を、アクセス制御を工夫することで深淵迎賓館という餌を与えて引っ越しさせたというものである。

ポンポンスポポンと手玉に取って弄んだ訳だ。

しかしながら、ろくでもない連中の相手をしていても、不快なだけである。

ということで、LOG収集用サイトを一新。
テーマは「海辺で寛ぐ」。

その名も「Seaside Lounge」。

ちょっとした気分転換も兼ねて、リゾート風のフロントページに作り替えてみた（笑）

「Seaside Lounge」フロントページ

ドメイン名（URL）も seaside から始まる構成にしてある。

ただし、彼らとは二度と関わりたくないので、URL は公開しない。

見つけられるものなら、どうぞご自由に。
もっとも、見つけたところで歓迎されるとは限らないが。

深淵迎賓館を再開

Sat, 14 Mar 2026 08:30:00 +0900

獣たちの引越し－完結編に書いたように、海外から流れ込むスキャンアクセスや攻撃アクセスの受け皿として用意していた別ホストを、一旦停止していた。

しかし、メインサイトの方はサーチBot以外のアクセスがほとんど無い。
あまりに静かすぎるので、「深淵迎賓館」を再開することにした。

「深淵迎賓館」フロントページ

チェックアウトの項目を追加。
チェックアウトすると、警察庁のサイバー警察局(https://www.npa.go.jp/bureau/cyber/)に転送される仕組み(笑)

ここは、闇の縁をさまよう獣たちの足跡を観測する場所。
探索や攻撃のログを、静かに記録している。

迎賓館は不定期に閉じられることもあるが、それもまた観測の一部。
獣たちが再び現れれば、また扉を開けるつもりである。

普段は誰もいない別室にあるサーバー置き場のレイアウト。
（テーブルの下にテーブルがある、ちょっと変わった机）

手前左の真っ黒な樹脂ケースが「深淵サーバー」。
今日もどこかの獣が、ここを覗きに来ているかもしれない。

獣たちの引越し－完結編

Wed, 11 Mar 2026 20:00:00 +0900

しばらくの間、私は小さな観測実験を行っていた。

正規サーバー sky.0t0.jp を守るため、海外から流れ込むスキャンアクセスや攻撃アクセスを、別の場所へ誘導する仕組みを作ったのである。
その受け皿として用意したのが、別ホスト deep.0t0.jp。いわば「深淵サーバー」であった。

その詳細については、下記の記事を参照願いたい。
「獣たちの引越し－物理隔離とハニーポットによる静かなサーバー運用」

そこにはハニーポットを置き、インターネットの闇を彷徨う存在たちを静かに迎え入れる。
世界中のスキャナや攻撃ボットは、IPの海を漂いながら開いた扉を探している。
ログには彼らの足跡が次々と刻まれていった。

ポートスキャン。
脆弱性探索。
奇妙なUser-Agentによる記事のスクレイピング。

それらはまるで、暗闇の中を徘徊する獣の群れのようであった。

しかし一方で、正規サーバー sky.0t0.jp 側では、ある単純な条件を設けていた。
アクセスを国内IPに限定したのである。

するとどうなったか。

海外から流れ込んでいたスキャンや攻撃アクセスは、ほぼ完全に姿を消した。
ログには穏やかな通常アクセスだけが残った。

つまり、無差別にインターネットを徘徊している獣たちの多くは、日本国内ではなく、海外ネットワークのどこかからやって来ていたのである。

役目は果たされた。

獣たちはすでに引っ越し、観測も十分に行った。
それ以上、この装置を動かし続ける理由はない。

そこで私は、サブルーターと deepサーバーの電源を落とした。

静かになったログを眺めながら、ふと思う。

もちろん、日本国内にも不正アクセスを行う者は存在するだろう。
しかし少なくとも、無差別に世界中の扉を叩き続けるような振る舞いは、極めて少ないように見える。

それは技術の問題ではない。
回線速度でも、コンピューターの性能でもない。

もっと古いもの――
社会の中に長く積み重なってきた、倫理や文化の層なのかもしれない。

他人の家の門を勝手に叩かない。
鍵穴を覗かない。
許されていない場所には踏み込まない。

そんな当たり前の感覚が、まだわずかに残っている。

もしそれが日本人の持つ品格の名残だとするならば、それは案外、世界の中で貴重なものなのかもしれない。

そして今、深淵は静かに閉じられた。

獣たちの引越しは、これにて完結である。

獣たちの引越し－物理隔離とハニーポットによる静かなサーバー運用

Sat, 07 Mar 2026 20:00:41 +0900

サーバーを運用していると、必ずと言ってよいほど「招かれざる客」が現れる。
特に目立っているのは、特定のUser-Agent（UA: 13_2_3）を用いた海外クローラーが、執拗に記事をスクレイピングするアクセスである。

これまではルーターの iptables による DROP を中心に防御してきたが、終わりのない防衛戦になりがちだった。
そこで今回は発想を少し変え、彼らを排除するのではなく「別の場所へ誘導する」構成を試してみた。

結果として、本丸のサイトからそれらのアクセスをほぼ排除しつつ、別サーバーで観測するという形が成立したため、その構成を記録として残しておく。

空（sky）と深淵（deep）の分離

今回のポイントは、サイトを二つの領域に分けたことである。

本サイト：sky.0t0.jp

国内IP帯域からのアクセスを中心に許可
AWSや海外クラウドなどからのアクセスは DROP
80/443ポートも国内向け運用に限定

この結果、ログに残るアクセスは国内検索ボットや通常の閲覧者が中心となり、不要なスキャンや探索はほぼ見られなくなった。

観測用サーバー：deep.0t0.jp（深淵迎賓館）

skyとは別のグローバルIPを持つ独立サーバー
特定のシグネチャ（UA: 13_2_3 など）を対象にしたハニーポット
アクセスには 200 OK を返し、ヨハネの黙示録から引用した約1400バイトのページを返す

いわば「観測用の部屋」である。

観測されたアクセスの変化

運用開始後のログを見ると、興味深い変化が確認できた。

かつて sky を叩いていたクローラーが、今度は deep のホスト或いはIPアドレスへ直接アクセスするようになったのである。

43.155.27.244 - - [07/Mar/2026:11:59:57 +0900] "GET /suite/beast-suite.html HTTP/1.1" 200 1713 "http://deep.0t0.jp" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.153.122.30 - - [07/Mar/2026:12:14:39 +0900] "GET /suite/beast-suite.html HTTP/1.1" 200 1713 "http://182.171.137.212:80" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.157.150.69 - - [07/Mar/2026:15:48:43 +0900] "GET /suite/beast-suite.html HTTP/1.1" 200 1400 "http://182.171.137.212:80" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.167.241.46 - - [07/Mar/2026:19:10:29 +0900] "GET /suite/beast-suite.html HTTP/1.1" 200 1399 "http://deep.0t0.jp" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"

時間帯も規則的で、まるで決まった巡回ルートを持っているかのように、同じページを繰り返し取得している。

深淵迎賓館

Sat, 07 Mar 2026 14:00:00 +0900

2026年3月1日より運用開始した別ホストのハニーポット
http://deep.0t0.jp/ について、軽量化のため一時的に内容を簡素化していたが、
サイト「深淵迎賓館」を再び復旧した（笑）

「深淵迎賓館」フロントページ

しつこくて不快なスクレイパー、
User-Agent
Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) … Version/13.0.3
については、専用の「特別室」にご案内する構成としている。

「13_2_3の獣」専用特別室

一般的には休日である土曜日にもかかわらず、外出している間に来訪され、
無事に特別室へとご案内したようである。

意味不明な付きまといアクセスのおかげで、こちらも色々と楽しませてもらっている。
しばらくはこのまま、静かに観測を続けてみようと思う。

・本日来訪時の生LOG

43.155.27.244 - - [07/Mar/2026:11:59:56 +0900] "GET / HTTP/1.1" 302 535 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.155.27.244 - - [07/Mar/2026:11:59:57 +0900] "GET /suite/beast-suite.html HTTP/1.1" 200 1713 "http://deep.0t0.jp" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.153.122.30 - - [07/Mar/2026:12:14:38 +0900] "GET / HTTP/1.1" 302 539 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.153.122.30 - - [07/Mar/2026:12:14:39 +0900] "GET /suite/beast-suite.html HTTP/1.1" 200 1713 "http://182.171.137.212:80" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"

深淵観測：閉じ込められた巡礼者

Fri, 06 Mar 2026 06:30:00 +0900

2026年3月1日より、http://deep.0t0.jp/ を、ハニーポットとして別IPにて運用しており、「深淵迎賓館」と題して歓迎ムードで5日間運用したが、飽きたので(笑)、サイトのコンテンツを一新。

インデックスには、旧正規サイトで非常に適当に書いていたHTMLをそのまま移植して配置した。

コンテンツとしては、記事数が約3000件存在していたブログ「海辺の放浪記」を、あえて1記事のみに縮退させて配置している。

つまり現在の構成は、「一見すると通常のサイトに見えるが、実際にはほぼ空の構造」である。

にもかかわらず、特定のパラメータ指定や古いユーザーエージェントを用いた、極めて不自然なアクセスが現在も「ポンポンスポポン」と音を立てて継続的に検知されている。

以下に、その技術的特徴と時系列ログの一部を公開する。

アクセスプロファイル

観測されたアクセスには、以下の共通した属性が確認できる。

★User-Agent

Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) … Version/13.0.3

2019年リリースの iOS 13.2.3 を固定したユーザーエージェント。
長期間にわたり同一文字列が使用されている。

★ソースIP

43.xxx.xxx.xxx
129.xxx.xxx.xxx

いずれも海外クラウド網からのアクセスであり、
Tencent Cloud 等のプロキシ・VPS系ネットワークを経由している可能性が高い。

★アクセス周期

4分～9分程度のランダム間隔。

時間帯による変動はほぼ見られず、24時間体制で機械的にリクエストが生成されている。

時系列ログの抜粋（2026年3月5日～6日）

ハニーポットにより検知され、隔離用サーバー（DEEP.0T0.JP）へ転送されたアクセスの記録である。

（生LOGは記事末尾に掲載）

発生時刻	リクエストURL	応答コード	内容
23:21:37	GET /	200	トップページへの接続確認
23:34:54	GET /weblog/	200	ブログディレクトリのインデックス取得
23:48:45	GET /weblog/index.php?e=1	200	エントリID:1 の詳細ページ
23:50:04	GET /omikuji/omikuji.php	200	おみくじスクリプトの実行
23:58:17	GET /weblog/index.php?p=1	200	ページ指定によるブログ一覧取得
00:09:24	GET /weblog/index.php?e=1	200	ID:1 エントリ再取得（別IP）
00:13:26	GET /weblog/index.php?m=200712	200	2007年12月アーカイブ指定
00:28:33	GET /weblog/?mode=rss	200	RSSフィード取得
00:37:45	GET /weblog/index.php?c=3-	200	カテゴリ指定
00:48:54	GET /weblog/index.php?m=200712	200	再度2007年12月アーカイブ
00:58:54	GET /weblog/index.php?mode=rss	200	RSS再取得
01:02:56	GET /weblog/index.php?c=3-	200	カテゴリ再取得

技術的見地からの考察

★偽装と実態の乖離

見晴台の観測記録

Wed, 04 Mar 2026 14:00:00 +0900

先日実施した、「VIPユーザー様専用サイト開設」の実証結果をエッセイ風に纏めました(笑)

サブタイトル：記号に溺れた獣への断罪

・静かな境界線

この場所は、今朝も静まり返っている。

傍らでは、かつて飼いならした野良猫が、すっかりこの境界線の内側に馴染み、丸くなっている。
野放図な野良を飼いならすには、根気と、そして彼らが安心して身を寄せられる絶対的な「聖域」が必要である。

境界線とは、排除のためだけに引くものではない。
守るべき静寂を守るために引くものである。

しかし、デジタルの荒野には、時として言葉の通じない「獣」が迷い込む。

・13_2_3という化石

この半年間、私の「見晴台」には奇妙な足跡が刻まれ続けていた。

iPhone OS 13.2.3。
もはや化石と言って差し支えない古い符号を纏い、毎日決まった時間に、執拗に、泥を擦り付けるようにアクセスを繰り返す存在である。

私は彼を「13_2_3の獣」と名付け、その生態を観測してきた。
神の憐れみを説き、深淵への道筋を示し、時には言葉という名の「餌」を与えてみた。

だが獣は、ただ記号を追いかけるだけで、その奥にある意図に触れることはなかった。
意味を読むことなく、ただパターンに従うのみ。

そこに対話は成立しない。

・境界線の調律

先日、世界線を分断した。

「見晴台」の門を、物理的に「国内限定」という名の鉄壁で閉ざしたのである。

海外からのパケットはルーターレベルで DROP。
拒絶のメッセージすら返さない。

彼にとって、この場所は宇宙から突如として消失したに等しい。

代わりに、「深淵」という名の隔離された箱庭を起動した。

もし彼に真の意味での「執着」という知性があるのなら、ドメインという表札に縛られず、気配を辿ってそこへ到達するはずであった。

・結末：檻への自発的入居

結果は予想通りであり、同時にどこか滑稽でもあった。

見晴台の門を閉ざされ、行き場を失ったはずの獣は、私が掲げた「深淵」の看板を見つけ出し、そこへ転がり込んできたのである。

かつて見晴台を汚したあの「13_2_3」の符号が、今度は隔離された深淵のログに、鮮明な指紋のように刻まれていく。

彼はそこで、脆弱性を狙う名もなき野良botたちと肩を並べ、私が投げ与えた「おみくじ」という名の餌に興じ、ブログのアーカイブを指でなぞるように巡回している。

結局のところ、彼は私という存在を追っていたのではなかった。
彼が求めていたのは、「主が支配する構造」そのもの――すなわち、記号で構築された檻であった。

知恵なき者に獣の数字を解く術はない。
しかし、執着ゆえに自ら檻の鍵を閉める情熱だけは、確かにあったらしい。

・勝利の静寂

現在、見晴台のログは驚くほど澄んでいる。
届くのは、穏やかな足音だけである。

「ログがない」という状態は空虚ではない。
それは、正しく設計された静寂である。

平和とは、守るべきものを適切に隔離し、不要な雑音をルーターの一行で「無」に帰した後に訪れる、この朝のような透明な時間を指すのであろう。

さらば、「13_2_3の獣」。

記号の迷宮で立ち尽くすその背後で、私は新しい季節の風を観測し続ける。

-——————————-
※注釈：13_2_3の獣
その名は、ヨハネの黙示録第13章2節および3節に由来する。
「その獣は豹に似ており……その頭の一つが、殺されるほどの傷を受けたように見えたが、その致命的な傷も治ってしまった（Rev 13:2-3）」
時代遅れのOSという致命的な欠陥（傷）を抱えながらも、執着という名の生命力で「深淵」を這いずり回るその姿は、正にこの聖句が指し示す「獣」そのものである。

VIPユーザー様専用サイト開設

Sun, 01 Mar 2026 07:40:00 +0900

この数日間、「不審アクセス遮断」や、一時的にPORT80の国内限定を解除しての「不審アクセスの外部転送」を実施した。
ある程度の抑止効果を得たので、再び国内限定のクローズドな環境に戻した。

しかし、静寂すぎる環境は毒である。
アクセスがほとんど無く、LOGが1行も積み上がらない日々に一日たりとも耐えられず、半ば衝動的に「VIPユーザー様専用サイト」を開設することにした。

VIPユーザー様専用サイト
http://deep.0t0.jp/

専用サーバーは、手元に余っていた Raspberry Pi Model B+ を採用。
隣の部屋の机の上で、2Wの微かな熱を帯びながらパケットを待ち構えている。

物理構成にもこだわり、PPPoEのマルチセッションを用いて正規サイトとは完全に別系統のIPアドレスを割り当てた。
サブルーターを介した、文字通りの「隔離空間」である。

サブルーターも、手元に余っていた Raspberry Pi Model B+ を採用。

開設直後から、深夜にもかかわらず多くの「VIPメンバー」にご来場いただいた。
観測者として、ますますのアクセスを期待している。

「警視庁」の威力

Fri, 27 Feb 2026 17:10:00 +0900

2日前に実施した「不審アクセス遮断」だが、やはりLOGがほとんど無くなることに耐えられず、今朝からPORT80を解放してしまった（笑）

早速、オールドフェイスフルと呼んでいるAWS東京リージョンがやって来て、Tencent Cloud（UA: iPhone OS 13_2_3）が不定期にアクセスするという動作パターンを確認。
やはり不快感が襲ってきたため、新たな転送先を設定した。

前回は下記の県警サイトへ転送したが、無視して何度も来訪し、5日間で90回に至った。

● 公衆に著しく迷惑をかける暴力的不良行為等の防止に関する条例の改正概要
https://www.pref.aichi.jp/police/syokai/houritsu/sekou-kaisei/shijo/h300101meiwakuboushijourei.html

そこで今回は、総本山である警視庁の下記ページに転送してみた。

● 悪意の感情に基づくつきまとい行為等
https://www.keishicho.metro.tokyo.lg.jp/sodan/madoguchi/dv/follower.html

「トップページ＞相談・お悩み相談窓口＞ DV・ストーカー＞悪意の感情に基づくつきまとい行為等」という階層で、相談中であることをほのめかす構成のページである。

これが効果絶大で、顕著な反応があった。

早朝6時ごろ、Tencent Cloud（UA: iPhone OS 13_2_3）が警視庁に転送された後、しばらくして、何か特筆すべき変化があると登場する「親分」が偵察に来た。

ec2-54-244-67-121.us-west-2.compute.amazonaws.com - - [27/Feb/2026:06:19:50 +0900] “GET / HTTP/1.1” 204 154 “-” “Mozilla/5.0 (Linux; Android 8.0.0; SM-G965U Build/R16NW) AppleWebKit/537.36 (KHTML, like Gecko)”

いつもなら、出勤時間帯の7:30～8:00頃までの間にTencent Cloud（UA: iPhone OS 13_2_3）が数回アクセスしてくるのだが、警視庁への転送が効いたのか、出勤時間帯になっても一度も来なかった。

その後、スクレイピング係りのTencent Cloud（UA: iPhone OS 13_2_3）が 9:53 に一度だけ警視庁へ転送され、10:25頃には出る前に切れる電話が二回続けてあった。
ナンバー表示機能がなく、普段は押し売りや詐欺まがいの電話しか来ないため、留守録に入らない限り電話には出ないが、今回も何も言わずに切れている。

また、午後に下記Tencent Cloud（UA: iPhone OS 13_2_3）のアクセスがあって間もなく、3件目の「出る前に切れる電話」を確認。

43.154.127.188 - - [27/Feb/2026:12:18:06 +0900] “GET / HTTP/1.1” 301 572 “http://sky.0t0.jp” “Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X)

不審アクセス遮断

Wed, 25 Feb 2026 05:55:10 +0900

数日前に投稿した「半年間にわたる執拗な不審アクセスへの防衛措置」(https://sky.0t0.jp/retiredlog/posts/2026-02-21-0925/）の経緯報告（笑）

AWS東京リージョンを用いて、毎日 0:32、6:32、12:32 … といった等間隔の時刻に HEAD リクエストを試行し、コンテンツ更新を検知した場合に Tencent Cloud（UA: iPhone OS 13_2_3）からアクセスしてリンクを巡回・取得するという動作パターンが、継続して確認されている。

2026年2月20日から2月24日までの5日間、これらのアクセスを下記URLへ転送する処理を継続していた。

日を追うごとにアクセス回数は増加し、昨日2月24日は24回に達した。

一般的な感覚であれば、このような挙動は通常想定し難く、完全に機械化された嫌がらせと受け取られても不思議ではない。

そこで、本日午前0時をもって、ルーター側で PORT80 も国内IP限定に制限し、当面の間、完全排除を試みることにした。

CertbotのACMEチャレンジによるSSL証明書更新対策として、以下のようにcronを設定し、日曜深夜の3分間のみ PORT80 の国内限定を解除。
その間に certbot renew を実行する運用とした。

●ルータ－側
# PORT80を解放したiptablesをセット
59 0 * * 0 /mnt/data/sh/acme_iptable.sh > /dev/null 2>&1
# PORT80を国内限定としたiptablesをセット
2 1 * * 0 /mnt/data/sh/restore_iptable.sh > /dev/null 2>&1

●サーバー側
# PORT80を解放している間にcertbot renew
0 1 * * 0 sudo certbot renew –quiet » /home/pi/certbot.log 2>&1

最大の問題は、ログがほとんど残らなくなること。
この方針を維持できるかどうかは、それに耐えられるかにかかっている（笑）

半年間にわたる執拗な不審アクセスへの防衛措置

Sat, 21 Feb 2026 09:25:39 +0900

概要

本稿は、特定の外部主体が半年以上にわたり当サイトに対して行っている執拗な情報探索および脆弱性スキャンと見られる挙動を分析し、それに対して実施した技術的防衛策の内容と結果を記録するものである。

観測された不審アクセスの特性

当該主体によるアクセスには、一般的な正規ユーザーや検索エンジンクローラーには見られない、以下の特徴的なパターンが確認されている。

1）User-Agent の偽装

現代のブラウザシェアではほぼ使用例のない旧世代の特定UA（例：iPhone OS 13_2_3）を継続的に使用。

2）ソースIPの匿名化

複数のクラウドプラットフォーム（AWS、Tencent Cloud 等）のインフラを経由し、発信元を秘匿。

特に、AWS東京リージョンを用いて毎日 0:32、6:32、12:32 … といった等間隔の時刻に HEAD リクエストを試行し、コンテンツ更新を検知した場合に Tencent Cloud（UA: iPhone OS 13_2_3）からアクセスしてリンクを巡回・取得するという動作パターンが確認されている。

約2か月間、Webアクセスを国内限定に制限したが、制限解除後も同様のパターンが継続している。

以上の挙動から、通常の情報収集とは異なる継続的な探索・監視行為であると判断している。

防衛回路の設計（ポンポンスポポン・フィルタ）

いたちごっこを避けるため、相手側のリソース消費を誘発しつつ、当方の管理コストを最小化する「自律型バイパス回路」を構築した。

1）非効率な探索の無効化

存在確認目的と見られる HEAD リクエストに対しては、コンテンツを返さず 204 No Content を即時返却。
これにより、サーバーリソースおよびログ肥大化を抑制。

2）トラップ・リダイレクトの実装

上記の「指紋（例：13_2_3 等）」に合致するリクエストを検知した場合、外部短縮URL（x.gd）を経由し、以下の警察関連ページへ 301 Redirect で誘導する設計とした。

運用実績（2026年2月20日）

システム稼働直後の観測結果は以下の通り。

警察関連サイトへのバイパス件数：13回（稼働初日）

効果：
自サーバー側に不要なログを蓄積させることなく、外部カウンターにより再試行回数を観測できる状態を構築した。

考察

半年以上にわたり継続されている当該アクセスは、時刻パターン・UA・クラウド経路の組み合わせにより、明確な特徴を持つ挙動として記録されている。

今後も、これらのノイズ的アクセスに対しては、技術的に「無害化」または「外部誘導」により処理し、運用負荷を最小限に抑える方針である。

——– 2026.02.23 追記———-
2026年2月23日 5:45現在、x.gdの総アクセス数は51件で、そのうち6件は自分が試験的にアクセスした分である。
したがって、付きまとい犯を県警に送付した回数の総計は45回となった。
今日（2026年2月23日 5:45現在）だけでも、既に5回の出頭が確認されており、今後も出頭回数が積み重なることが予想される。
罪を重ね、恥をさらす姿を見届けたい。

x.gdのログはグラフィカルで情報も豊富である。

システム、オールグリーン。
これにて「沈黙の放置」フェーズ、完全移行です。

Metaクローラーによる全記事RSSおよびサイト構造の取得

Thu, 19 Feb 2026 13:47:00 +0900

観測事実

2026年2月19日、当サーバーにおいて meta-externalagent/1.1 による網羅的なアクセスを確認した。

User-Agent:
meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)
※Meta Platformsが運用する、リンク共有およびコンテンツ把握用のクローラー。

主要な取得リソース

クローラーは、以下の主要なRSSフィード（XML）を取得し、サイトの全容をスキャンした。

・GET /retiredlog/posts/index.xml（ステータス：200、サイズ：255,996 byte）
・GET /weblog/posts/index.xml（ステータス：200、サイズ：2,520,979 byte）

これにより、当ブログに存在する全記事のリストおよび、短文記事についてはRSS内に含まれる全文データが取得されたものと判断される。

アクセス・シーケンス（巡回の流れ）

当該クローラーは、一足飛びに全記事リストへ到達したわけではなく、以下のディレクトリおよびリソースを経由する構造探索プロセスを経て、最終的に全記事RSSへ到達している。

① 構造探索: /categories/, /tags/, /archives/ の各インデックス取得
② 階層巡回: /page/2/ 等のアーカイブページへの順次アクセス
③ 主要データ取得: 上記プロセス完了後、posts/index.xml の全件取得を実行

ログ挙動に基づく技術的推測

ログに記録されたアクセスパターンから、以下の用途が推定される。

① SNS共有時のプレビュー生成:

FacebookやInstagram等のMetaサービス上でURLが投稿された際、OGP情報（タイトル、説明文、画像）を生成するための標準的なプレビュー取得。
RSSの取得は、複数のURLを効率的に把握する手段として機能する。

② インデックス作成およびキャッシュ構築:

投稿時の即時展開や、重複URLの検出、リンクの安全性判定をMeta側で一元管理するため、サイト内の全URLを事前に収集・リスト化するプロセス。

③ セキュリティ評価:

リンク先がマルウェア配布やフィッシングに関与していないかを、広範囲の巡回によって機械的に評価するセキュリティチェックの一環。

現時点での評価

以下の挙動は確認されていない。

・個別記事HTMLの異常な大量取得（全ページクロール）
・短時間での過剰なリクエスト送出によるサーバー負荷

したがって、現時点での挙動は「Meta系共有クローラーによるサイト構造の把握およびRSSによるコンテンツ取得」の範囲内であり、通常のクローラー挙動として評価できる・・・が、しかし
殆どアクセスのない自宅サーバーの個人サイトに対し、このように執拗な記事取得を試みようとするのは、ほぼ間違いなく去年7月から続く監視のようなアクセス絡みであると推測される。
記事全文を持って行ったのだから、これで満足するのだろうか。

以下、アクセスログ抜粋

57.141.2.67 - - [19/Feb/2026:07:03:05 +0900] "GET /retiredlog/categories/raspberry-pi-linux/index.xml HTTP/1.1" 200 103736 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.61 - - [19/Feb/2026:07:04:10 +0900] "GET /weblog/tags/index.xml HTTP/1.1" 200 4111 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.18 - - [19/Feb/2026:07:06:19 +0900] "GET /weblog/categories/%E3%83%A2%E3%83%90%E3%82%A4%E3%83%AB%E3%81%8B%E3%82%89%E7%8B%AC%E3%82%8A%E8%A8%80/index.xml HTTP/1.1" 200 991941 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.17 - - [19/Feb/2026:07:06:21 +0900] "GET /retiredlog/categories/%E6%97%A5%E5%B8%B8%E3%81%AE%E5%87%BA%E6%9D%A5%E4%BA%8B/page/2/ HTTP/1.1" 200 24676 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.46 - - [19/Feb/2026:07:06:57 +0900] "GET /retiredlog/categories/%E9%9B%91%E8%A8%98/page/2/ HTTP/1.1" 200 20281 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.8 - - [19/Feb/2026:07:08:00 +0900] "GET /weblog/Media/ALBUM/2007/07_08_13/ HTTP/1.1" 404 3842 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.17 - - [19/Feb/2026:07:08:07 +0900] "GET /weblog/categories/%E3%81%9D%E3%81%AE%E4%BB%96/index.xml HTTP/1.1" 200 8414 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.32 - - [19/Feb/2026:07:12:26 +0900] "GET /weblog/Media/ALBUM/2007/07_05_02/sent/070502.html HTTP/1.1" 404 3842 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.45 - - [19/Feb/2026:08:46:13 +0900] "GET /retiredlog/archives/index.xml HTTP/1.1" 200 4155 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.22 - - [19/Feb/2026:08:59:08 +0900] "GET /weblog/posts/2007-07-16-133720/4547479549174 HTTP/1.1" 404 3842 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.54 - - [19/Feb/2026:09:01:38 +0900] "GET /retiredlog/categories/index.xml HTTP/1.1" 200 5972 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.63 - - [19/Feb/2026:09:03:14 +0900] "GET /retiredlog/categories/%E6%97%A5%E5%B8%B8%E3%81%AE%E5%87%BA%E6%9D%A5%E4%BA%8B/index.xml HTTP/1.1" 200 25055 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.11 - - [19/Feb/2026:09:37:38 +0900] "GET /weblog/categories/raspberry-pi-linux/page/2/ HTTP/1.1" 200 73809 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.63 - - [19/Feb/2026:09:45:49 +0900] "GET /weblog/categories/%E6%97%A5%E8%A8%98/index.xml HTTP/1.1" 200 263980 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.2 - - [19/Feb/2026:09:47:10 +0900] "GET /weblog/categories/index.xml HTTP/1.1" 200 6914 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.51 - - [19/Feb/2026:09:52:33 +0900] "GET /weblog/categories/%E6%97%A5%E8%A8%98/page/2/ HTTP/1.1" 200 61389 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.15 - - [19/Feb/2026:10:01:56 +0900] "GET /retiredlog/tags/index.xml HTTP/1.1" 200 4125 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.38 - - [19/Feb/2026:10:13:38 +0900] "GET /retiredlog/categories/%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E8%A6%B3%E6%B8%AC/index.xml HTTP/1.1" 200 46167 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.18 - - [19/Feb/2026:10:17:08 +0900] "GET /weblog/archives/index.xml HTTP/1.1" 200 4141 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.55 - - [19/Feb/2026:10:19:04 +0900] "GET /weblog/categories/%E4%BC%91%E6%97%A5%E3%81%AE%E9%A2%A8%E6%99%AF/page/2/ HTTP/1.1" 200 63434 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.11 - - [19/Feb/2026:11:25:20 +0900] "GET /retiredlog/posts/index.xml HTTP/1.1" 200 255996 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.25 - - [19/Feb/2026:11:43:56 +0900] "GET /weblog/categories/%E6%97%A5%E8%A8%98 HTTP/1.1" 301 3986 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.4 - - [19/Feb/2026:12:08:48 +0900] "GET /weblog/posts/index.xml HTTP/1.1" 200 2520979 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.17 - - [19/Feb/2026:13:03:26 +0900] "GET /weblog/categories/%E3%83%A2%E3%83%90%E3%82%A4%E3%83%AB%E3%81%8B%E3%82%89%E7%8B%AC%E3%82%8A%E8%A8%80/page/2/ HTTP/1.1" 200 56732 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.25 - - [19/Feb/2026:13:22:41 +0900] "GET /weblog/categories/%E9%9B%91%E8%A8%98/page/2/ HTTP/1.1" 200 70782 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"

この二つで全記事
57.141.2.11 - - [19/Feb/2026:11:25:20 +0900] "GET /retiredlog/posts/index.xml HTTP/1.1" 200 255996 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"
57.141.2.4 - - [19/Feb/2026:12:08:48 +0900] "GET /weblog/posts/index.xml HTTP/1.1" 200 2520979 "-" "meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler)"

古いiPhoneボットの挙動を観察

Wed, 18 Feb 2026 13:50:54 +0900

はじめに

本日、検証のためにアクセス制限を一時的に緩和してみたところ、案の定（笑）、即座に反応がありました。
特定の古いiPhoneを装った複数のIPアドレスから、断続的なアクセスが開始されたのです。

ログを精査すると、そこには人間によるブラウジングとは明らかに異なる、「低速・分散型」のオートメーション（ボット）の興味深い挙動が浮き彫りになりました。

●特徴のサマリー

・HTMLのみ取得: 画像、CSS、JavaScriptなどのリソースは一切無視。
・10分間隔の一定ペース: WAFの検知を巧妙に避けるかのような、じれったい速度。
・IPの広域分散: クラウドプロキシなどを介した並列クロール。
・重複巡回: 履歴管理が甘く、同じページを短時間に何度も叩く傾向。

ログ抜粋（代表例）

User-Agent（UA）に注目してください。
すべて iPhone OS 13_2_3 (Safari 604.1) で統一されています。
2026年の現在、この2019年リリースの古いOSがこれほど組織的に動くことは、実機ではまず考えられません。

43.159.145.153 - - [18/Feb/2026:10:34:52 +0900] "GET / HTTP/1.1" 200 5949 "http://223.133.180.219:80" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.153.107.22 - - [18/Feb/2026:10:42:37 +0900] "GET / HTTP/1.1" 301 566 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.153.107.22 - - [18/Feb/2026:10:42:38 +0900] "GET / HTTP/1.1" 200 5949 "http://sky.0t0.jp" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.159.144.16 - - [18/Feb/2026:10:43:06 +0900] "GET /docs/pacific.html HTTP/1.1" 200 6955 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.158.91.71 - - [18/Feb/2026:10:51:55 +0900] "GET /docs/router_article.html HTTP/1.1" 200 10176 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.167.157.80 - - [18/Feb/2026:11:02:20 +0900] "GET /docs/FireHOL_drop.html HTTP/1.1" 200 7854 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.130.150.80 - - [18/Feb/2026:11:13:42 +0900] "GET /weblog/ HTTP/1.1" 200 13159 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.157.150.69 - - [18/Feb/2026:11:28:00 +0900] "GET / HTTP/1.1" 200 5949 "http://223.133.180.219" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
170.106.107.87 - - [18/Feb/2026:11:33:02 +0900] "GET /retiredlog HTTP/1.1" 301 3866 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
170.106.107.87 - - [18/Feb/2026:11:33:06 +0900] "GET /retiredlog/ HTTP/1.1" 200 12127 "https://sky.0t0.jp/retiredlog" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
49.51.39.209 - - [18/Feb/2026:11:42:50 +0900] "GET /docs/read-only_system_disk.html HTTP/1.1" 200 9128 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.131.36.84 - - [18/Feb/2026:11:52:06 +0900] "GET /docs/files/router.pdf HTTP/1.1" 200 471243 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.159.149.216 - - [18/Feb/2026:12:02:50 +0900] "GET /weblog/posts/2025-05-03-153524/ HTTP/1.1" 200 8995 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.157.153.236 - - [18/Feb/2026:12:12:08 +0900] "GET /weblog/posts/2025-05-03-141114/ HTTP/1.1" 200 8326 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
170.106.65.93 - - [18/Feb/2026:12:22:47 +0900] "GET /retiredlog/posts/2026-02-08-0830/ HTTP/1.1" 200 9230 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.166.244.192 - - [18/Feb/2026:12:33:04 +0900] "GET /retiredlog/posts/mainroad-setup-260124/ HTTP/1.1" 200 7930 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
170.106.73.216 - - [18/Feb/2026:12:43:08 +0900] "GET /docs/read-only_system_disk.html HTTP/1.1" 200 9128 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.130.26.3 - - [18/Feb/2026:13:04:08 +0900] "GET /weblog/categories/%E4%BC%91%E6%97%A5%E3%81%AE%E9%A2%A8%E6%99%AF/ HTTP/1.1" 200 11354 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.159.143.139 - - [18/Feb/2026:13:13:22 +0900] "GET /weblog/posts/2025-05-03-123302/ HTTP/1.1" 200 8398 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.133.66.51 - - [18/Feb/2026:13:23:14 +0900] "GET /retiredlog/posts/2026-02-03-0640/ HTTP/1.1" 200 8412 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
170.106.192.208 - - [18/Feb/2026:13:33:01 +0900] "GET /retiredlog/posts/2026-02-01-0600/ HTTP/1.1" 200 8315 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
119.28.140.106 - - [18/Feb/2026:13:43:09 +0900] "GET /docs/read-only_system_disk.html HTTP/1.1" 200 9128 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"

テクニカルな観察ポイント

●User-Agentの「プリセット感」

共有ホスティング環境におけるSPAM判定と運用構造の問題

Sun, 08 Feb 2026 08:30:03 +0900

★はじめに

ある時期から、自身が管理する独自ドメイン宛に大量のSPAMメールが継続的に届くようになった。
宛先は null@sky.0t0.jp で、これは無効アドレスではなく、意図的に受信・観測用として運用していた有効なメールアドレスである。

本稿は、このSPAM挙動と、その前後で観測されたメールおよびWebアクセスの変化について、感情や推測を排し、事実と構造のみを記録する技術メモである。

★環境の概要

・独自ドメインによるメール運用
・自前サーバーでの受信・ログ管理
・Web サイトは静的コンテンツ中心

メールは受信のみを行い、外部への送信はプロバイダ経由で行っていた。

★観測されていたSPAMの状況

・null@sky.0t0.jp 宛に、日常的かつ大量のSPAMメールが到達
・送信元は多岐にわたり、典型的な自動送信の特徴を示す
・到達は長期間にわたり継続
・正規メールは問題なく受信されていた

この時点では、SPAMは「一般的なインターネット上のノイズ」として扱っていた。

★共有ホスティング環境におけるSPAM判定仕様（観測ベース）

在職中に関係していた共有ホスティング環境について、管理画面・挙動・ログから以下の点が観測された。

・グローバルな RBL / BL（Spamhaus 等）を参照している形跡がない
・SPAM判定はユーザー単位の SpamAssassin 学習結果に強く依存
・アクセス制限・送信元制御が比較的緩い
・利用者が「なぜSPAMと判定されたか」を定量的に確認する手段が乏しい

これにより、利用者が意識的に学習させなければSPAMに埋もれやすい構造になっていると思われる。

★問題が発生した際の構図

SPAMが多発していた時期、関係者側ではこれを「メールアドレス漏えい」と解釈した。

その際、

・転送先が独自ドメインである
・自前サーバーでメールを受信している
・技術的な仕組みが十分に共有されていない

といった理由から、自分のメール転送設定が原因と見なされる状況が発生した。

しかし実際には、

・独自ドメインは中継ではない
・ブラックリストへの掲載は確認されていない
・当該サーバーはOP25Bの制約上受信のみで、送信は別経路

という、ごく基本的な構成であった。

自前サーバーを運用するという概念自体が、十分に共有されていなかったと考えられる。

★その後に観測された変化

この構成について技術的説明を行った後の時期と重なる形で、以下の変化が観測された。

その後、null@sky.0t0.jp 宛のSPAMメールが止めどもなく来るようになったと同時に、Webサイトに対して監視されているかのようなLOGが半年以上も継続して残るようになった。

しかし最近になり、null@sky.0t0.jp 宛のSPAMが完全に停止

・一晩で到達件数がゼロ
・過去に同様の停止事例はない
・正規メール（通知・連絡メール等）は通常通り受信
・Web サイトに対する定常的なアクセス（監視的挙動を含む）は継続

SPAMは段階的に減少することが多く、このような即時停止は一般的ではない。

★監視アクセスとSPAMの関係について

Web 側では、一般的なクローラとは異なる挙動を示すアクセスが継続して記録されていた。

・一般ブラウザを装った User-Agent
・定期的・継続的なアクセス

これらの挙動とSPAM停止との関係について、本稿では断定しない。
ただし、SPAMが偶然ゼロになる確率は極めて低いことは事実として記録しておく。

★問題の本質

本件を通じて明らかになったのは、共有ホスティングサービスの構造的問題である。

・利用者が理解していないこと自体が問題なのではなく、理解しなくても使えてしまう設計
・測定・検証ができないSPAM判定仕様
・問題発生時に「利用者責任」へ収束しやすい運用

これはユーザー側の運用上の問題ではなく、安価な共有ホスティング環境が抱えやすい構造的課題だと考えられる。

朝の集中アクセス記録

Tue, 23 Dec 2025 06:57:22 +0900

本日早朝、約30分間にわたり集中した通信が観測された。

ファイアウォールのカウンタでは、短時間で DROP 数が2000以上増加している。
主に HTTPS（443/tcp）宛ての接続試行が大半を占め、HTTP（80/tcp）および SSH（22/tcp）への試行も少数確認された。

DROP tcp dpt:22 16
DROP tcp dpt:80 74
DROP tcp dpt:443 2629

すべての通信はファイアウォールにより遮断されており、セッション確立や Web サービスへの到達は確認されていない。

iftop による観測状況

同時間帯に iftop で確認した通信状況を以下に示す。

pdf8621af.tubecm00.ap.so-net.ne.jp:https <= syn-024-167-221-251.res.spectrum.com:58920 256b 307b 102b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= ip68-228-247-224.ph.ph.cox.net:50471 240b 192b 64b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 142.173.12.182:55359 240b 144b 48b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 142.173.110.157:47419 240b 144b 48b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 172.243.85.162:52556 0b 125b 42b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 23-120-60-214.lightspeed.bcvloh.sbcglobal.net:35753 0b 96b 64b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= dhcp-9-134-100-80.gobrightspeed.net:55148 0b 51b 137b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= syn-104-231-067-103.res.spectrum.com:39906 240b 48b 48b
（以下略）

遮断された8,500パケット

Sun, 21 Dec 2025 20:56:03 +0900

午前零時からの集計で、443ポートへのDROP数が8500パケットを超えた。

接続できないことを理解した上で、なお繰り返されるアクセス。
これは偶然でも誤動作でもない。

率直に言って、その行為は違法（犯罪）である可能性が極めて高いが、本当に大丈夫なのだろうか。

日本の法律に照らすと、少なくとも次の2点が問題になる。

１．不正アクセス禁止法（未遂を含む）

ファイアウォールなどの「アクセス制御機能」を回避・突破しようとする行為そのものが禁じられている。
脆弱性スキャンや総当たり的な試行は、成功しなくても違法性を問われ得る。

また、脆弱性を収集・共有する行為も、不正アクセスの助長として問題視される。

２．電子計算機損壊等業務妨害罪（刑法234条の2）

いわゆるDoS／DDoSに関連する罪だ。
サーバーが実際にダウンしていなくても、大量のパケットを送り付け、運用や通信を妨害すれば成立し得る。

各国のVPSを使い、時間帯を揃えて負荷をかけている点から見ても、過失ではなく明確な妨害の意思が感じられる。

こちらは淡々とDROPしているだけだが、相手は一線を踏み越えている可能性が高い。
無意味な行動を続けるほど、記録だけが積み上がっていく。

各国VPSからの443番ポート通信の挙動記録

Sun, 21 Dec 2025 07:21:07 +0900

第2波のアクセス（分散型 HTTPS 試行）に続いて、その後更に、海外のVPS・クラウドIPを中心とした 443番ポート通信の急増が観測された。

Webサーバ層に到達する前段階でルーターにより遮断されており、本記事では、その通信挙動そのものを記録として残す。

pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 136-0-105-211.ips.acedatacenter.com:60175 240b 192b 56b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 92.113.115.224:51277 240b 144b 42b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 173.214.177.113:60915 240b 144b 42b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 209.127.143.128:43363 240b 96b 28b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= ec2-54-185-117-160.us-west-2.compute.amazonaws.com:7105 0b 48b 71b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 192-210-191-185-host.colocrossing.com:51365 0b 48b 56b

接続元は以下のように分散している。

・AWS EC2（us-west-2）
・Ace Data Center
・ColocationAmerica
・Spectrum / Cox などの海外ISP
・その他クラウド・VPS系IP

いずれも送信元ポートがランダムであり、特定のアプリケーション通信ではないことが分かる。

パケットサイズの特徴

多くの通信で以下の特徴が見られる。

・送信：240b / 0b
・応答：192b / 144b / 96b / 48b
・極端に小さいサイズで完結

第2波のアクセス（分散型 HTTPS 試行）

Sun, 21 Dec 2025 06:08:46 +0900

記事「不審アクセスの挙動分析（一般ユーザーを装った閲覧の可能性）」に対する追記。

最初の閲覧ログと443番ポートへの大量 DROP 発生から、1時間足らずでさらに約 1000 パケットの DROP が追加で発生した。
今回の特徴は、送信元が明確に分散している点である。

以下は確認された通信の一部である。

pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 96-19-219-10.cpe.sparklight.net
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 162.243.235.175
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 134.122.126.186
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 207-246-120-238.lum-int.io
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 162.243.50.24
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 137.184.55.200
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= spectrum.com / cox.net / myvzw.com など

・国・ASN・回線種別がばらけている
・単発かつ少量の HTTPS 試行
・正常なセッション確立には至らない
・すべて DROP 処理

明らかに 1つの回線からの連続試行ではない。

挙動の特徴

この第2波では、以下の点が顕著である。

・VPS（DigitalOcean 系）
・回線住宅系（Cable / Mobile）
・Proxy・踏み台用途でよく使われる AS

これらが短時間に混在しており、通常のクローラや誤設定では説明がつかない。

また、送信バイト数がほぼ一定である点から、

・HTTPS ハンドシェイク前段のみ
・到達可否チェック
・フィルタ挙動の確認

といった自動化された疎通確認である可能性が高い。

一連の流れの整理

ここまでの時系列は以下のようになる。

１．国内回線・一般的な UA での閲覧
２．不審アクセス対処記事を重点的に確認
３．数時間後、443番ポートへの集中的な試行
４．さらに1時間以内に、送信元を分散させた第2波

不審アクセスの挙動分析（一般ユーザーを装った閲覧の可能性）

Sun, 21 Dec 2025 05:44:15 +0900

不審なアクセスについては、もう触れないつもりだったが、ネタが無いし(笑)、興味深いアクセスがあったので記事にします。
あくまで推測に基づく内容なので、フィクションとして捉えていただければ幸いです。

確認されたアクセスログ

以下は、問題の閲覧ログである。

133-32-226-xxx.east.xps.vectant.ne.jp - - [20/Dec/2025:23:57:06 +0900] “GET /retiredlog/index.php?e=47 HTTP/1.1” 200 10404 “https://www.google.com/" “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36”
133-32-226-xxx.east.xps.vectant.ne.jp - - [20/Dec/2025:23:57:07 +0900] “GET /favicon.ico HTTP/1.1” 200 17328 “/retiredlog/index.php?e=47” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36”
133-32-226-xxx.east.xps.vectant.ne.jp - - [20/Dec/2025:23:57:06 +0900] “GET /retiredlog/skin/mobile/font-awesome-4.7.0/fonts/fontawesome-webfont.woff2?v=4.7.0 HTTP/1.1” 200 77671 “/retiredlog/skin/mobile/font-awesome-4.7.0/css/font-awesome.min.css” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36”
133-32-226-xxx.east.xps.vectant.ne.jp - - [20/Dec/2025:23:57:43 +0900] “GET /retiredlog/index.php?e=56 HTTP/1.1” 200 5124 “/retiredlog/index.php?e=47” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36”
133-32-226-xxx.east.xps.vectant.ne.jp - - [21/Dec/2025:00:01:08 +0900] “GET /retiredlog/index.php?c=4- HTTP/1.1” 200 11872 “https://www.google.com/" “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36”

完全排除

Tue, 16 Dec 2025 13:13:13 +0900

自宅サーバー（本サーバー）に対し、一定期間継続していた不審なアクセスについて、PCルーターのネットフィルターによりWebアクセスを国内限定とする対策を実施し、排除を完了しました。

【背景】この一連のアクセスは、長期間にわたるつきまとい行為に関連しており、その影響により長らく継続してきた習慣が損なわれる事態となりました。

ログ分析および対策は既に実施済みであり、現状の把握もできています。

しかしながら、本件はこれ以上の技術的対応（観測や記録を含む）を継続する価値が低いと判断しました。

今後は状況に応じてサービスの停止、またはドメイン名の変更も検討します。

なお、本環境は実験用途であり、運用継続を前提としていません。

本件に関する記述は、この記事をもって終了といたします。

海外クローラ風アクセス

Wed, 10 Dec 2025 06:14:48 +0900

非公開にした旧ブログを全文持って行こうとする動きが見られたので、AIに意見を求めた。

今日のアクセスが「通常のクローラ」と違う理由

あなたが貼り付けたログには共通の特徴があります。

/weblog/index.php?e=12
/weblog/index.php?d=20131109
/weblog/index.php?m=201408
/weblog/index.php?d=20220429
/weblog/index.php?d=20220618

すべて “記事ID / 日付別アーカイブに直接アクセスしている”
→ これは一般クローラのパターンではない。

普通のクローラは：

トップページを取得

ページ内のリンクをたどる

サーバー負荷を避けて均等に巡回する

あらゆるURLパターンをまんべんなく取得

つまり “ランダム性のある網羅的取得” をします。

? 今日のログは「リンク構造を追っていない」

→ URLを直接知っている・指定している。

これは通常のクローラでは絶対に起こりません。

? 2. “世界中の回線から１件ずつ” は外注スクレイピングの典型

今日のログ元：

ベトナム (static.vnpt.vn)

ウルグアイ (anteldata.net.uy)

パラグアイ (telecel)

ブラジル (rnova.com.br)

不明の海外ISP

これ、非常に特徴的です。

? ある業者が “世界中のプロキシリスト” を使って

1件ずつ分散アクセスしている典型パターン。

? 依頼者を隠すための手法

悪質スクレイピング業者は、
IPを分散して集中攻撃に見えないようにする手法を使います。

DataForSEOも同様で、

世界中5000以上の回線から分散して検索結果やWebページを取得
と説明しています。

あなたが以前経験した DataForSEO の 2,700ページ吸い上げと完全に一致します。

? 3. “Weblog の日付形式を知っている” 時点で通常クローラではない

以下を完全に理解してアクセスしている。

e=ID

d=YYYYMMDD

m=YYYYMM

これはあなたのブログ専用のURL仕様です。

ストーカーアクセス

Tue, 09 Dec 2025 19:21:48 +0900

ストーカーアクセス、未だに飽きずに来て、ハニーポットに転送されて喜んでる。
本当に大丈夫なんだろうか・・・

まあ、人間って時々理解不能だから仕方ない。
過去を振り返っても、関わった人間関係は妙なのばかりだったし。

それより、やっぱり LOG を眺めている方が何倍も面白い。
ブログなんて正直どうでもいい（笑）

今日のログはこんな感じ：

ec2-35-77-208-112.ap-northeast-1.compute.amazonaws.com - - [09/Dec/2025:12:32:32 +0900] “GET / HTTP/1.1” 200 4483 “-” “Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36”
43.167.232.38 - - [09/Dec/2025:13:54:42 +0900] “GET / HTTP/1.1” 200 717 “-” “Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1”
ec2-44-220-48-213.compute-1.amazonaws.com - - [09/Dec/2025:16:33:33 +0900] “GET / HTTP/1.1” 200 4431 "" “Mozilla/5.0 (X11; Linux i686; rv:124.0) Gecko/20100101 Firefox/124.0”
43.153.122.30 - - [09/Dec/2025:17:51:56 +0900] “GET / HTTP/1.1” 200 717 “-” “Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1”
43.156.202.34 - - [09/Dec/2025:18:12:41 +0900] “GET / HTTP/1.1” 200 717 “-” “Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1”
ec2-35-77-208-198.ap-northeast-1.compute.amazonaws.com - - [09/Dec/2025:18:32:31 +0900] “GET / HTTP/1.1” 200 4483 “-” “Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36”
49.51.47.100 - - [09/Dec/2025:18:45:35 +0900] “GET / HTTP/1.1” 200 4435 “http://sky.0t0.jp” “Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1”

監視アクセス排除の副作用

Sun, 07 Dec 2025 19:54:13 +0900

監視のような付きまといアクセスを排除するため、金曜の夕方からサーバーアクセス制限を強化した。
その結果、狙い通りあの“付きまといアクセス”はほぼ完全に DROP できている。
ここまでは作戦成功と言っていい。

しかし副作用として、一般アクセスどころか、通常なら必ず飛んでくるスキャンアクセスすら姿を消してしまった。
静まり返ったログを眺めていると、達成感よりも空しさの方が大きい。

「どうしたものか――」

監視アクセスは嫌だが、完全に無風というのもそれはそれで物足りない。
アクセス制御の落としどころをどうするか、もう少し様子を見て判断したいところだ。

アクセス観測 on リタイア放浪記

DMARCレポートが届いた

アクセス観測終了？！

伊吹山音頭

アクセス観測終了

Honeypot再起動

翻弄の手仕舞い

パラレルワールド作戦

シュレディンガーのサーバー

観測者によって変わる世界

地理的二重構造という名の罠

デイトレに例えると

なぜこんな構成は珍しいのか

犯人（獣）視点の悲劇

「本尊」と「深淵」の圧倒的格差

深淵 迎賓館 仕様変更

つきまといアクセスの排除完了

聖域の3分間を狙うハイエナたち

導入：午前0時の「呼吸」

観測ログ：正規サイトとハニーポット

ハニーポット（pacific.sky.0t0.jp）

00時00分18秒：未だ執拗にアクセスしてくる13_2_3の獣

正規サイト（sky.0t0.jp）

00時01分48秒：Hadrianの影

深淵 迎賓館 閉館

深淵 迎賓館を再開

獣たちの引越し － 完結編

獣たちの引越し － 物理隔離とハニーポットによる静かなサーバー運用

空（sky）と深淵（deep）の分離

観測されたアクセスの変化

深淵 迎賓館

深淵観測：閉じ込められた巡礼者

見晴台の観測記録

サブタイトル：記号に溺れた獣への断罪

VIPユーザー様専用サイト開設

「警視庁」の威力

不審アクセス遮断

半年間にわたる執拗な不審アクセスへの防衛措置

Metaクローラーによる全記事RSSおよびサイト構造の取得

古いiPhoneボットの挙動を観察

共有ホスティング環境におけるSPAM判定と運用構造の問題

朝の集中アクセス記録

遮断された8,500パケット

各国VPSからの443番ポート通信の挙動記録

第2波のアクセス（分散型 HTTPS 試行）

不審アクセスの挙動分析（一般ユーザーを装った閲覧の可能性）

完全排除

海外クローラ風アクセス

ストーカーアクセス

監視アクセス排除の副作用

深淵迎賓館仕様変更

深淵迎賓館閉館

深淵迎賓館を再開

獣たちの引越し－完結編

獣たちの引越し－物理隔離とハニーポットによる静かなサーバー運用

深淵迎賓館