不審アクセスの挙動分析（一般ユーザーを装った閲覧の可能性）

2025-12-21

アクセス観測

不審なアクセスについては、もう触れないつもりだったが、ネタが無いし(笑)、興味深いアクセスがあったので記事にします。
あくまで推測に基づく内容なので、フィクションとして捉えていただければ幸いです。

確認されたアクセスログ

以下は、問題の閲覧ログである。

133-32-226-xxx.east.xps.vectant.ne.jp - - [20/Dec/2025:23:57:06 +0900] “GET /retiredlog/index.php?e=47 HTTP/1.1” 200 10404 “https://www.google.com/" “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36”
133-32-226-xxx.east.xps.vectant.ne.jp - - [20/Dec/2025:23:57:07 +0900] “GET /favicon.ico HTTP/1.1” 200 17328 “/retiredlog/index.php?e=47” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36”
133-32-226-xxx.east.xps.vectant.ne.jp - - [20/Dec/2025:23:57:06 +0900] “GET /retiredlog/skin/mobile/font-awesome-4.7.0/fonts/fontawesome-webfont.woff2?v=4.7.0 HTTP/1.1” 200 77671 “/retiredlog/skin/mobile/font-awesome-4.7.0/css/font-awesome.min.css” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36”
133-32-226-xxx.east.xps.vectant.ne.jp - - [20/Dec/2025:23:57:43 +0900] “GET /retiredlog/index.php?e=56 HTTP/1.1” 200 5124 “/retiredlog/index.php?e=47” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36”
133-32-226-xxx.east.xps.vectant.ne.jp - - [21/Dec/2025:00:01:08 +0900] “GET /retiredlog/index.php?c=4- HTTP/1.1” 200 11872 “https://www.google.com/" “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36”

・国内回線（vectant / XPS）
・User-Agent は Windows + Chrome の一般的な構成
・Referer は Google 検索経由
・favicon や woff2 の取得もあり、挙動自体は通常のブラウザ閲覧と区別がつかない

閲覧されたページは以下の通り。

・不審アクセスの解析・対処に関する記事
・関連記事間の遷移
・カテゴリ一覧ページ

単発で見れば、ごく普通の閲覧ログである。

不自然さを感じた点

問題は、閲覧された記事の内容とその後の挙動である。

一般的な読者であれば、技術的な対策記事を体系的に追うことは稀である。
しかし、このアクセスでは不審アクセス対策に関する記事を連続して閲覧しており、
「対処方法を把握する目的」で読んでいるように見える。

さらに、この閲覧から約5時間後、以下の事象が発生した。

・443番ポートに対する 1500パケット以上の DROP
・短時間に集中した通信
・正規アクセスとして成立しない試行のみ

偶然と見るには、タイミングが良すぎる。

考えられる意図

この一連の流れから推測できるのは、次のような行動である。

１．通常のブラウザ・国内回線からアクセスし、到達可能かを確認
２．公開されている対処記事を読み、制限内容を把握
３．その後、別経路から HTTPS ポートへの試行を実施

少なくとも、「自分がアクセス対象になっている可能性を意識した行動」である可能性は否定できない。

現在の対処方針

当サイトでは以下の方針を取っている。

・追加の反応は行わない
・設定変更で相手に示唆を与えない
・すべて DROP で処理
・ログのみを淡々と記録

過剰な対応は状況を長引かせるだけであり、無反応かつ確実な遮断が最も効果的である。

おわりに

今回の事例は、「一般ユーザーを装った確認アクセス」と「その後の自動的な試行」が連続して発生した点で、記録として残す価値があると判断した。

今後も同様の挙動があれば、事実のみを淡々と記録していく。