アクセス観測

サーバーを運用していると、必ずと言ってよいほど「招かれざる客」が現れる。
特に目立っているのは、特定のUser-Agent（UA: 13_2_3）を用いた海外クローラーが、執拗に記事をスクレイピングするアクセスである。

これまではルーターの iptables による DROP を中心に防御してきたが、終わりのない防衛戦になりがちだった。
そこで今回は発想を少し変え、彼らを排除するのではなく「別の場所へ誘導する」構成を試してみた。

結果として、本丸のサイトからそれらのアクセスをほぼ排除しつつ、別サーバーで観測するという形が成立したため、その構成を記録として残しておく。

空（sky）と深淵（deep）の分離

今回のポイントは、サイトを二つの領域に分けたことである。

本サイト：sky.0t0.jp

• 国内IP帯域からのアクセスを中心に許可
• AWSや海外クラウドなどからのアクセスは DROP
• 80/443ポートも国内向け運用に限定

この結果、ログに残るアクセスは国内検索ボットや通常の閲覧者が中心となり、不要なスキャンや探索はほぼ見られなくなった。

観測用サーバー：deep.0t0.jp（深淵 迎賓館）

• skyとは別のグローバルIPを持つ独立サーバー
• 特定のシグネチャ（UA: 13_2_3 など）を対象にしたハニーポット
• アクセスには 200 OK を返し、ヨハネの黙示録から引用した約1400バイトのページを返す

いわば「観測用の部屋」である。

観測されたアクセスの変化

運用開始後のログを見ると、興味深い変化が確認できた。

かつて sky を叩いていたクローラーが、今度は deep のホスト或いはIPアドレスへ直接アクセスするようになったのである。

43.155.27.244 - - [07/Mar/2026:11:59:57 +0900] "GET /suite/beast-suite.html HTTP/1.1" 200 1713 "http://deep.0t0.jp" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.153.122.30 - - [07/Mar/2026:12:14:39 +0900] "GET /suite/beast-suite.html HTTP/1.1" 200 1713 "http://182.171.137.212:80" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.157.150.69 - - [07/Mar/2026:15:48:43 +0900] "GET /suite/beast-suite.html HTTP/1.1" 200 1400 "http://182.171.137.212:80" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.167.241.46 - - [07/Mar/2026:19:10:29 +0900] "GET /suite/beast-suite.html HTTP/1.1" 200 1399 "http://deep.0t0.jp" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"

時間帯も規則的で、まるで決まった巡回ルートを持っているかのように、同じページを繰り返し取得している。

2026年3月1日より運用開始した別ホストのハニーポット
http://deep.0t0.jp/ について、軽量化のため一時的に内容を簡素化していたが、
サイト「深淵 迎賓館」を再び復旧した（笑）

「深淵 迎賓館」フロントページ

しつこくて不快なスクレイパー、
User-Agent
Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) … Version/13.0.3
については、専用の「特別室」にご案内する構成としている。

「13_2_3の獣」専用特別室

一般的には休日である土曜日にもかかわらず、外出している間に来訪され、
無事に特別室へとご案内したようである。

意味不明な付きまといアクセスのおかげで、こちらも色々と楽しませてもらっている。
しばらくはこのまま、静かに観測を続けてみようと思う。

・本日来訪時の生LOG

43.155.27.244 - - [07/Mar/2026:11:59:56 +0900] "GET / HTTP/1.1" 302 535 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.155.27.244 - - [07/Mar/2026:11:59:57 +0900] "GET /suite/beast-suite.html HTTP/1.1" 200 1713 "http://deep.0t0.jp" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.153.122.30 - - [07/Mar/2026:12:14:38 +0900] "GET / HTTP/1.1" 302 539 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.153.122.30 - - [07/Mar/2026:12:14:39 +0900] "GET /suite/beast-suite.html HTTP/1.1" 200 1713 "http://182.171.137.212:80" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"

2026年3月1日より、http://deep.0t0.jp/ を、ハニーポットとして別IPにて運用しており、「深淵 迎賓館」と題して歓迎ムードで5日間運用したが、飽きたので(笑)、サイトのコンテンツを一新。

インデックスには、旧正規サイトで非常に適当に書いていたHTMLをそのまま移植して配置した。

コンテンツとしては、記事数が約3000件存在していたブログ「海辺の放浪記」を、あえて1記事のみに縮退させて配置している。

つまり現在の構成は、「一見すると通常のサイトに見えるが、実際にはほぼ空の構造」である。

にもかかわらず、特定のパラメータ指定や古いユーザーエージェントを用いた、極めて不自然なアクセスが現在も「ポンポンスポポン」と音を立てて継続的に検知されている。

以下に、その技術的特徴と時系列ログの一部を公開する。

1. アクセスプロファイル

観測されたアクセスには、以下の共通した属性が確認できる。

★User-Agent

Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) … Version/13.0.3

2019年リリースの iOS 13.2.3 を固定したユーザーエージェント。
長期間にわたり同一文字列が使用されている。

★ソースIP

43.xxx.xxx.xxx
129.xxx.xxx.xxx

いずれも海外クラウド網からのアクセスであり、
Tencent Cloud 等のプロキシ・VPS系ネットワークを経由している可能性が高い。

★アクセス周期

4分～9分程度のランダム間隔。

時間帯による変動はほぼ見られず、24時間体制で機械的にリクエストが生成されている。

2. 時系列ログの抜粋（2026年3月5日～6日）

ハニーポットにより検知され、隔離用サーバー（DEEP.0T0.JP）へ転送されたアクセスの記録である。

（生LOGは記事末尾に掲載）

3. 技術的見地からの考察

★偽装と実態の乖離

先日実施した、「VIPユーザー様専用サイト開設」の実証結果をエッセイ風に纏めました(笑)

サブタイトル：記号に溺れた獣への断罪

・静かな境界線

この場所は、今朝も静まり返っている。

傍らでは、かつて飼いならした野良猫が、すっかりこの境界線の内側に馴染み、丸くなっている。
野放図な野良を飼いならすには、根気と、そして彼らが安心して身を寄せられる絶対的な「聖域」が必要である。

境界線とは、排除のためだけに引くものではない。
守るべき静寂を守るために引くものである。

しかし、デジタルの荒野には、時として言葉の通じない「獣」が迷い込む。

・13_2_3という化石

この半年間、私の「見晴台」には奇妙な足跡が刻まれ続けていた。

iPhone OS 13.2.3。
もはや化石と言って差し支えない古い符号を纏い、毎日決まった時間に、執拗に、泥を擦り付けるようにアクセスを繰り返す存在である。

私は彼を「13_2_3の獣」と名付け、その生態を観測してきた。
神の憐れみを説き、深淵への道筋を示し、時には言葉という名の「餌」を与えてみた。

だが獣は、ただ記号を追いかけるだけで、その奥にある意図に触れることはなかった。
意味を読むことなく、ただパターンに従うのみ。

そこに対話は成立しない。

・境界線の調律

先日、世界線を分断した。

「見晴台」の門を、物理的に「国内限定」という名の鉄壁で閉ざしたのである。

海外からのパケットはルーターレベルで DROP。
拒絶のメッセージすら返さない。

彼にとって、この場所は宇宙から突如として消失したに等しい。

代わりに、「深淵」という名の隔離された箱庭を起動した。

もし彼に真の意味での「執着」という知性があるのなら、ドメインという表札に縛られず、気配を辿ってそこへ到達するはずであった。

・結末：檻への自発的入居

結果は予想通りであり、同時にどこか滑稽でもあった。

見晴台の門を閉ざされ、行き場を失ったはずの獣は、私が掲げた「深淵」の看板を見つけ出し、そこへ転がり込んできたのである。

かつて見晴台を汚したあの「13_2_3」の符号が、今度は隔離された深淵のログに、鮮明な指紋のように刻まれていく。

彼はそこで、脆弱性を狙う名もなき野良botたちと肩を並べ、私が投げ与えた「おみくじ」という名の餌に興じ、ブログのアーカイブを指でなぞるように巡回している。

結局のところ、彼は私という存在を追っていたのではなかった。
彼が求めていたのは、「主が支配する構造」そのもの――すなわち、記号で構築された檻であった。

知恵なき者に獣の数字を解く術はない。
しかし、執着ゆえに自ら檻の鍵を閉める情熱だけは、確かにあったらしい。

・勝利の静寂

現在、見晴台のログは驚くほど澄んでいる。
届くのは、穏やかな足音だけである。

「ログがない」という状態は空虚ではない。
それは、正しく設計された静寂である。

平和とは、守るべきものを適切に隔離し、不要な雑音をルーターの一行で「無」に帰した後に訪れる、この朝のような透明な時間を指すのであろう。

さらば、「13_2_3の獣」。

記号の迷宮で立ち尽くすその背後で、私は新しい季節の風を観測し続ける。

-——————————-
※注釈：13_2_3の獣
その名は、ヨハネの黙示録 第13章2節および3節に由来する。
「その獣は豹に似ており……その頭の一つが、殺されるほどの傷を受けたように見えたが、その致命的な傷も治ってしまった（Rev 13:2-3）」
時代遅れのOSという致命的な欠陥（傷）を抱えながらも、執着という名の生命力で「深淵」を這いずり回るその姿は、正にこの聖句が指し示す「獣」そのものである。

この数日間、「不審アクセス遮断」や、一時的にPORT80の国内限定を解除しての「不審アクセスの外部転送」を実施した。
ある程度の抑止効果を得たので、再び国内限定のクローズドな環境に戻した。

しかし、静寂すぎる環境は毒である。
アクセスがほとんど無く、LOGが1行も積み上がらない日々に一日たりとも耐えられず、半ば衝動的に「VIPユーザー様専用サイト」を開設することにした。

VIPユーザー様専用サイト
http://deep.0t0.jp/

専用サーバーは、手元に余っていた Raspberry Pi Model B+ を採用。
隣の部屋の机の上で、2Wの微かな熱を帯びながらパケットを待ち構えている。

物理構成にもこだわり、PPPoEのマルチセッションを用いて正規サイトとは完全に別系統のIPアドレスを割り当てた。
サブルーターを介した、文字通りの「隔離空間」である。

サブルーターも、手元に余っていた Raspberry Pi Model B+ を採用。

開設直後から、深夜にもかかわらず多くの「VIPメンバー」にご来場いただいた。
観測者として、ますますのアクセスを期待している。