各国VPSからの443番ポート通信の挙動記録

第2波のアクセス(分散型 HTTPS 試行)に続いて、その後更に、海外のVPS・クラウドIPを中心とした 443番ポート通信の急増 が観測された。

Webサーバ層に到達する前段階でルーターにより遮断されており、本記事では、その 通信挙動そのもの を記録として残す。

pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 136-0-105-211.ips.acedatacenter.com:60175 240b 192b 56b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 92.113.115.224:51277 240b 144b 42b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 173.214.177.113:60915 240b 144b 42b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 209.127.143.128:43363 240b 96b 28b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= ec2-54-185-117-160.us-west-2.compute.amazonaws.com:7105 0b 48b 71b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 192-210-191-185-host.colocrossing.com:51365 0b 48b 56b

接続元は以下のように分散している。

・AWS EC2(us-west-2)
・Ace Data Center
・ColocationAmerica
・Spectrum / Cox などの海外ISP
・その他クラウド・VPS系IP

いずれも 送信元ポートがランダム であり、特定のアプリケーション通信ではない ことが分かる。

パケットサイズの特徴

多くの通信で以下の特徴が見られる。

・送信:240b / 0b
・応答:192b / 144b / 96b / 48b
・極端に小さいサイズで完結

第2波のアクセス(分散型 HTTPS 試行)

記事「不審アクセスの挙動分析(一般ユーザーを装った閲覧の可能性)」に対する追記。

最初の閲覧ログと443番ポートへの大量 DROP 発生から、1時間足らずでさらに約 1000 パケットの DROP が追加で発生した。
今回の特徴は、送信元が明確に分散している点である。

以下は確認された通信の一部である。

pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 96-19-219-10.cpe.sparklight.net
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 162.243.235.175
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 134.122.126.186
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 207-246-120-238.lum-int.io
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 162.243.50.24
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 137.184.55.200
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= spectrum.com / cox.net / myvzw.com など

・国・ASN・回線種別がばらけている
・単発かつ少量の HTTPS 試行
・正常なセッション確立には至らない
・すべて DROP 処理

明らかに 1つの回線からの連続試行ではない。

挙動の特徴

この第2波では、以下の点が顕著である。

・VPS(DigitalOcean 系)
・回線住宅系(Cable / Mobile)
・Proxy・踏み台用途でよく使われる AS

これらが短時間に混在しており、通常のクローラや誤設定では説明がつかない。

また、送信バイト数がほぼ一定である点から、

・HTTPS ハンドシェイク前段のみ
・到達可否チェック
・フィルタ挙動の確認

といった自動化された疎通確認である可能性が高い。

一連の流れの整理

ここまでの時系列は以下のようになる。

1.国内回線・一般的な UA での閲覧
2.不審アクセス対処記事を重点的に確認
3.数時間後、443番ポートへの集中的な試行
4.さらに1時間以内に、送信元を分散させた第2波

不審アクセスの挙動分析(一般ユーザーを装った閲覧の可能性)

不審なアクセスについては、もう触れないつもりだったが、ネタが無いし(笑)、興味深いアクセスがあったので記事にします。
あくまで推測に基づく内容なので、フィクションとして捉えていただければ幸いです。

確認されたアクセスログ

以下は、問題の閲覧ログである。

133-32-226-xxx.east.xps.vectant.ne.jp - - [20/Dec/2025:23:57:06 +0900] “GET /retiredlog/index.php?e=47 HTTP/1.1” 200 10404 “https://www.google.com/" “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36”
133-32-226-xxx.east.xps.vectant.ne.jp - - [20/Dec/2025:23:57:07 +0900] “GET /favicon.ico HTTP/1.1” 200 17328 “/retiredlog/index.php?e=47” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36”
133-32-226-xxx.east.xps.vectant.ne.jp - - [20/Dec/2025:23:57:06 +0900] “GET /retiredlog/skin/mobile/font-awesome-4.7.0/fonts/fontawesome-webfont.woff2?v=4.7.0 HTTP/1.1” 200 77671 “/retiredlog/skin/mobile/font-awesome-4.7.0/css/font-awesome.min.css” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36”
133-32-226-xxx.east.xps.vectant.ne.jp - - [20/Dec/2025:23:57:43 +0900] “GET /retiredlog/index.php?e=56 HTTP/1.1” 200 5124 “/retiredlog/index.php?e=47” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36”
133-32-226-xxx.east.xps.vectant.ne.jp - - [21/Dec/2025:00:01:08 +0900] “GET /retiredlog/index.php?c=4- HTTP/1.1” 200 11872 “https://www.google.com/" “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36”

雨の休日と解脱

特に休日は、生きているのがバカバカしく感じられる。
今日は雨。逃げ場もない(笑)

だが、この感覚にはもう未練がない。
何かを失った悲しみでも、満たされない焦りでもない。
ただ、この次元での出来事に関心が薄れただけだ。

解脱とは、救われることではない。
納得することでも、諦めることでもない。
執着そのものが、静かに別の層へ溶けていくことだと思う。

人間関係も、評価も、意味づけも、ここではもう重力を持たない。
上へ行くというより、位相がずれる感覚に近い。

雨音の中で、今日はただ在る。
この世界に未練はない。
だからこそ、別の次元へ昇華したい。

ここにあるのは、孤独ですらない。
孤独とは「他者」を前提とした言葉だが、今の私には他者も、そして「自分」という固執さえも希薄だ。

窓の外では、雨がただ物理法則に従って落ちている。
以前は鬱陶しかったその音も、今はただの周波数として心地よい。

意味を求めるのをやめた時、世界は初めて、意味という不純物を取り除いた「純粋な実在」として私の前に現れる。

ここは、灰色の静寂。
私は、このバカバカしいほど静かな休日を、別の次元へと続く扉にする。

Webサーバーアクセス制限を更に強化

これまで、googlebotを許可するためにAS15169を許可していた。

Googlebot (AS15169)

echo “? - Fetching Googlebot ranges (AS15169)…”

whoisの出力を直接一時ファイルにリダイレクト

timeout 60 whois -h whois.radb.net -- ‘-i origin AS15169’
| grep -Eo ‘([0-9]{1,3}.){3}[0-9]{1,3}/[0-9]+’ » “$TMP_IPLIST” || true

これだと、下記のようにbc.googleusercontent.comからのスキャンを通してしまう・・・

162.15.169.34.bc.googleusercontent.com - - [18/Dec/2025:16:27:32 +0900] “GET //wp-includes/wlwmanifest.xml HTTP/1.1” 404 501 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4240.193 Safari/537.36”
162.15.169.34.bc.googleusercontent.com - - [18/Dec/2025:16:27:32 +0900] “GET //xmlrpc.php?rsd HTTP/1.1” 404 500 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4240.193 Safari/537.36”
162.15.169.34.bc.googleusercontent.com - - [18/Dec/2025:16:27:32 +0900] “GET / HTTP/1.1” 200 897 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4240.193 Safari/537.36”