不審アクセス遮断

数日前に投稿した「半年間にわたる執拗な不審アクセスへの防衛措置」(https://sky.0t0.jp/retiredlog/posts/2026-02-21-0925/）の経緯報告（笑）

AWS東京リージョンを用いて、毎日 0:32、6:32、12:32 … といった等間隔の時刻に HEAD リクエストを試行し、コンテンツ更新を検知した場合に Tencent Cloud（UA: iPhone OS 13_2_3）からアクセスしてリンクを巡回・取得するという動作パターンが、継続して確認されている。

2026年2月20日から2月24日までの5日間、これらのアクセスを下記URLへ転送する処理を継続していた。

● 公衆に著しく迷惑をかける暴力的不良行為等の防止に関する条例の改正概要
https://www.pref.aichi.jp/police/syokai/houritsu/sekou-kaisei/shijo/h300101meiwakuboushijourei.html

日を追うごとにアクセス回数は増加し、昨日2月24日は24回に達した。

一般的な感覚であれば、このような挙動は通常想定し難く、完全に機械化された嫌がらせと受け取られても不思議ではない。

そこで、本日午前0時をもって、ルーター側で PORT80 も国内IP限定に制限し、当面の間、完全排除を試みることにした。

CertbotのACMEチャレンジによるSSL証明書更新対策として、以下のようにcronを設定し、日曜深夜の3分間のみ PORT80 の国内限定を解除。
その間に certbot renew を実行する運用とした。

●ルータ－側
# PORT80を解放したiptablesをセット
59 0 * * 0 /mnt/data/sh/acme_iptable.sh > /dev/null 2>&1
# PORT80を国内限定としたiptablesをセット
2 1 * * 0 /mnt/data/sh/restore_iptable.sh > /dev/null 2>&1

●サーバー側
# PORT80を解放している間にcertbot renew
0 1 * * 0 sudo certbot renew –quiet » /home/pi/certbot.log 2>&1

最大の問題は、ログがほとんど残らなくなること。
この方針を維持できるかどうかは、それに耐えられるかにかかっている（笑）