聖域の3分間を狙うハイエナたち

導入：午前0時の「呼吸」

SSL証明書の更新（ACME）のため、深夜0時、わずか3分間だけ正規サイト（sky.0t0.jp）のPort 80が開放される。
それは、サーバーが深呼吸をするような、一瞬の隙である。

通常は閉ざされた門。
この3分間のみ、外界との接続が許可される「例外領域」となる。

観測ログ：正規サイトとハニーポット

ハニーポット（pacific.sky.0t0.jp）

43.166.247.82 - - [19/Mar/2026:00:00:18 +0900] "GET / HTTP/1.1" 200 717 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1"

00時00分18秒：未だ執拗にアクセスしてくる13_2_3の獣

状況:
開門から約18秒後、IP直打ちと見られるアクセスがハニーポットに到達。

注視点:
User-Agentに含まれる「iPhone OS 13_2_3」は過去にも観測されているパターンであり、同一系統の自動化クライアントが継続的に動作している可能性が高い。

当該アクセスはハニーポット上で正常処理（200応答）され、以下のメッセージが返却されている。

Welcome to a quiet place.
Are you lost again ?

これは誘導・観測を目的とした意図的な応答である。

正規サイト（sky.0t0.jp）

research2.hadrian.io - - [19/Mar/2026:00:01:48 +0900] "GET / HTTP/1.1" 301 547 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:122.0) Gecko/20100101 Firefox/122.0"

00時01分48秒：Hadrianの影

状況:
開門から約1分48秒後、正規サイトに対してスキャンアクセスを確認。

注視点:

「ポート開放という“変化”に反応し、スキャナが到達する。
この速度は個体の能力ではなく、分散監視網の密度によって生じる。

しかし、HTTPSへの301転送は開放中であっても維持される。
接触は成立しても、HTTPSは国内限定に制限しているため、内部への到達は成立しない」

考察：分離された二つの挙動

同時刻帯において、アクセスの性質は明確に分離されている。

• 正規サイト：開放タイミングに同期したスキャン（Hadrian）
• ハニーポット：既知パターンによる継続的アクセス（13_2_3系）

注視点:

「IP直打ちや既知ドメインへのアクセスは、時間に関係なく流入し続ける。
一方で、正規サイトへのアクセスは特定のホスト名を前提として到達する。

Port 80の開放条件は両者で完全に同一である。
にもかかわらず挙動が分離しているのは、アクセスがIP直打ち若しくはどのホスト名を前提としているかの違いによるものだ」

対策：時間軸のシフト

開放タイミングを「0時3分」に変更。

効果:
0時に同期したスキャン群は対象を失い、すべて空振りとなる。
実際の開放は、その波が通過した後に行われる。

結び

深夜0時、閉じたままのPort 80に対して同一パターンのアクセスが繰り返される。

それは攻撃ではない。
侵入でもない。

ただ、開いていると仮定された門に対し、機械が条件通りに叩き続けているだけである。