深淵観測:閉じ込められた巡礼者
2026年3月1日より、http://deep.0t0.jp/ を、ハニーポットとして別IPにて運用しており、「深淵 迎賓館」と題して歓迎ムードで5日間運用したが、飽きたので(笑)、サイトのコンテンツを一新。
インデックスには、旧正規サイトで非常に適当に書いていたHTMLをそのまま移植して配置した。
コンテンツとしては、記事数が約3000件存在していたブログ「海辺の放浪記」を、あえて1記事のみに縮退させて配置している。
つまり現在の構成は、「一見すると通常のサイトに見えるが、実際にはほぼ空の構造」である。
にもかかわらず、特定のパラメータ指定や古いユーザーエージェントを用いた、極めて不自然なアクセスが現在も「ポンポンスポポン」と音を立てて継続的に検知されている。
以下に、その技術的特徴と時系列ログの一部を公開する。
- アクセスプロファイル
観測されたアクセスには、以下の共通した属性が確認できる。
★User-Agent
Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) … Version/13.0.3
2019年リリースの iOS 13.2.3 を固定したユーザーエージェント。
長期間にわたり同一文字列が使用されている。
★ソースIP
43.xxx.xxx.xxx
129.xxx.xxx.xxx
いずれも海外クラウド網からのアクセスであり、
Tencent Cloud 等のプロキシ・VPS系ネットワークを経由している可能性が高い。
★アクセス周期
4分~9分程度のランダム間隔。
時間帯による変動はほぼ見られず、24時間体制で機械的にリクエストが生成されている。
- 時系列ログの抜粋(2026年3月5日~6日)
ハニーポットにより検知され、隔離用サーバー(DEEP.0T0.JP)へ転送されたアクセスの記録である。
(生LOGは記事末尾に掲載)
| 発生時刻 | リクエストURL | 応答コード | 内容 |
|---|---|---|---|
| 23:21:37 | GET / | 200 | トップページへの接続確認 |
| 23:34:54 | GET /weblog/ | 200 | ブログディレクトリのインデックス取得 |
| 23:48:45 | GET /weblog/index.php?e=1 | 200 | エントリID:1 の詳細ページ |
| 23:50:04 | GET /omikuji/omikuji.php | 200 | おみくじスクリプトの実行 |
| 23:58:17 | GET /weblog/index.php?p=1 | 200 | ページ指定によるブログ一覧取得 |
| 00:09:24 | GET /weblog/index.php?e=1 | 200 | ID:1 エントリ再取得(別IP) |
| 00:13:26 | GET /weblog/index.php?m=200712 | 200 | 2007年12月アーカイブ指定 |
| 00:28:33 | GET /weblog/?mode=rss | 200 | RSSフィード取得 |
| 00:37:45 | GET /weblog/index.php?c=3- | 200 | カテゴリ指定 |
| 00:48:54 | GET /weblog/index.php?m=200712 | 200 | 再度2007年12月アーカイブ |
| 00:58:54 | GET /weblog/index.php?mode=rss | 200 | RSS再取得 |
| 01:02:56 | GET /weblog/index.php?c=3- | 200 | カテゴリ再取得 |
- 技術的見地からの考察
★偽装と実態の乖離
相変わらずではあるが、iPhone (iOS 13.2.3) という旧世代のモバイル端末が、海外クラウドIPから数分おきに24時間アクセスし続けるという挙動は、通常のユーザー行動として説明がつかない。
これは実質的に、特定の目的を持つ自動巡回プログラム(クローラまたは監視スクリプト)によるアクセスと考えるのが妥当である。
★情報への執着性
特徴的なのは、以下の挙動である。
・RSSフィードを定期取得
・特定の過去記事をID指定で取得
・月別アーカイブ(2007年)をピンポイントで指定
これは単なる巡回ではなく、サイトの更新・過去記事・構造を機械的に監視しようとする挙動を示している。
つまり、このアクセス主体は単なる検索エンジンではなく、サイト内容の変化を継続的に追跡する設計になっている可能性がある。
★現在の対応
現在、これらのアクセスはすべてハニーポットサイト(deep.0t0.jp)へ転送されている。
さらに当該ホストでは
・動的コンテンツの実行を停止
・取得可能な情報を 固定1記事のみに制限
する構成にしている。
つまり、どれだけ巡回しても、新しい情報は一切取得できない。
★観測者としての感想
正規サイトに張り付かれるのは、正直なところ非常に不快である。
そのため、今回のように専用サイト(実態はハニーポット)を用意し、アクセスを隔離する構成にした。
結果として、
・正規サイトは静穏
・不審アクセスは隔離環境へ誘導
・ログは安全に観測可能
という状態が成立している。
この意味不明な巡回を「深淵」に閉じ込めて観測するという構図は、なかなか興味深い実験環境になっている。
少なくとも、こちらにとっては非常に良い刺激にはなっている。
・2026年3月5日深夜から6日早朝にかけての生LOG
43.133.91.48 - - [05/Mar/2026:23:21:37 +0900] "GET / HTTP/1.1" 200 871 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.153.135.208 - - [05/Mar/2026:23:34:54 +0900] "GET /weblog/ HTTP/1.1" 200 4509 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.167.241.46 - - [05/Mar/2026:23:34:59 +0900] "GET / HTTP/1.1" 200 871 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.164.197.224 - - [05/Mar/2026:23:48:45 +0900] "GET /weblog/index.php?e=1 HTTP/1.1" 200 4619 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.130.67.6 - - [05/Mar/2026:23:50:04 +0900] "GET /omikuji/omikuji.php HTTP/1.1" 200 881 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
129.226.93.214 - - [05/Mar/2026:23:58:17 +0900] "GET /weblog/index.php?p=1 HTTP/1.1" 200 4327 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.166.226.186 - - [05/Mar/2026:23:58:42 +0900] "GET /weblog/ HTTP/1.1" 200 4509 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.159.152.4 - - [06/Mar/2026:00:09:24 +0900] "GET /weblog/index.php?e=1 HTTP/1.1" 200 4619 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.130.37.243 - - [06/Mar/2026:00:13:26 +0900] "GET /weblog/index.php?m=200712 HTTP/1.1" 200 4521 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.157.142.101 - - [06/Mar/2026:00:17:58 +0900] "GET /weblog/index.php?e=1 HTTP/1.1" 200 4619 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.157.22.57 - - [06/Mar/2026:00:22:38 +0900] "GET /weblog/index.php?e=1 HTTP/1.1" 200 4619 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.157.180.116 - - [06/Mar/2026:00:28:33 +0900] "GET /weblog/?mode=rss HTTP/1.1" 200 1597 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.130.139.136 - - [06/Mar/2026:00:33:03 +0900] "GET /weblog/index.php?e=1 HTTP/1.1" 200 4619 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.157.158.178 - - [06/Mar/2026:00:37:45 +0900] "GET /weblog/index.php?c=3- HTTP/1.1" 200 4508 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.131.243.61 - - [06/Mar/2026:00:42:42 +0900] "GET /weblog/index.php?e=1 HTTP/1.1" 200 4619 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.130.53.252 - - [06/Mar/2026:00:48:54 +0900] "GET /weblog/index.php?m=200712 HTTP/1.1" 200 4521 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.165.67.57 - - [06/Mar/2026:00:53:41 +0900] "GET /weblog/index.php?p=1 HTTP/1.1" 200 4327 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.130.40.120 - - [06/Mar/2026:00:58:54 +0900] "GET /weblog/index.php?mode=rss HTTP/1.1" 200 1597 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.130.40.120 - - [06/Mar/2026:01:02:56 +0900] "GET /weblog/index.php?c=3- HTTP/1.1" 200 4508 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.156.228.27 - - [06/Mar/2026:05:40:52 +0900] "GET / HTTP/1.1" 200 871 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"
43.166.129.247 - - [06/Mar/2026:05:58:12 +0900] "GET / HTTP/1.1" 200 871 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"