第2波のアクセス（分散型 HTTPS 試行）

記事「不審アクセスの挙動分析（一般ユーザーを装った閲覧の可能性）」に対する追記。

最初の閲覧ログと443番ポートへの大量 DROP 発生から、1時間足らずでさらに約 1000 パケットの DROP が追加で発生した。
今回の特徴は、送信元が明確に分散している点である。

以下は確認された通信の一部である。

pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 96-19-219-10.cpe.sparklight.net
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 162.243.235.175
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 134.122.126.186
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 207-246-120-238.lum-int.io
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 162.243.50.24
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 137.184.55.200
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= spectrum.com / cox.net / myvzw.com など

・国・ASN・回線種別がばらけている
・単発かつ少量の HTTPS 試行
・正常なセッション確立には至らない
・すべて DROP 処理

明らかに 1つの回線からの連続試行ではない。

挙動の特徴

この第2波では、以下の点が顕著である。

・VPS（DigitalOcean 系）
・回線住宅系（Cable / Mobile）
・Proxy・踏み台用途でよく使われる AS

これらが短時間に混在しており、通常のクローラや誤設定では説明がつかない。

また、送信バイト数がほぼ一定である点から、

・HTTPS ハンドシェイク前段のみ
・到達可否チェック
・フィルタ挙動の確認

といった自動化された疎通確認である可能性が高い。

一連の流れの整理

ここまでの時系列は以下のようになる。

１．国内回線・一般的な UA での閲覧
２．不審アクセス対処記事を重点的に確認
３．数時間後、443番ポートへの集中的な試行
４．さらに1時間以内に、送信元を分散させた第2波

偶発的なアクセスがこの流れを取ることは考えにくい。

考察

この挙動は、

・「見えている入口」での確認
・「見えない経路」からの再確認
・制限条件の洗い出し

を段階的に行っているように見える。

少なくとも、単なる巡回や誤アクセスではなく、明確な意図を持った試行と判断して差し支えない。

現在の対応

当サイトでは、引き続き以下の方針を維持している。

・443番ポートは条件外アクセスをすべて DROP
・相手に挙動を示唆する変更は行わない
・追加の反応は一切しない
・ログのみを記録

この種のアクセスは、反応しない限り自然消滅することが多い。

おわりに

今回の第2波は、初期確認後に行われた分散的な HTTPS 試行として、
解析対象として興味深い事例である。

今後も同様の挙動があれば、感情を交えず、事実のみを淡々と記録していく。