こんにちは!管理人のうみねこ(@penta59631)です。
以前に、以下の記事で予算10万円で自作したPCの構成紹介を行いました。
あれから、数年が経ち、今の構成も結構変わっているので改めて紹介します!
こんな方におすすめ!
- PC自作を考えているので、他の人がどういう構成にしているか知りたい。
このブログはGoogleアナリティクスでアクセス解析をしています。
先日いつものようにアクセス数を見ようとGoogleアナリティクスを開いた所ユーザー数がいつもの3倍以上 ( ゚д゚)…
(いつも15ユーザー程度なのが50ユーザーになっていたという程度の弱小ぶりですがw)
ついにこのブログも認知され始めたのか…!感慨深い…
という思いより先に攻撃されているんじゃないかという心配がよぎりました。
職業柄、急激にアクセスが増えて良かった試しがないのでw
まず結論を言うとスパムの可能性が高いです。
今回はアクセス数が増えてから確認した点などを実際の流れに沿って紹介していきます。
Googleアナリティクスの確認
本日のユーザー数
まずはじめに以下の画像が1日のユーザー数です。
少なっ!という言葉は飲み込んでもらってと緑色の文字が昨日からの増加率です。
ユーザーが321.4%になっていることから3倍以上のユーザーがアクセスしていることが分かります。
参照元の確認
まずは「集客」-「すべてのトラフィック」-「参照元/メディア」で参照元を確認しました。
セカンダリディメンションの項目で「完全なリファラー」に設定すると参照元のURL等が細かく表示されます。
今回は(direct)/(none)が一番多くなっています。
これは参照元がないもしくはわからない(アナリティクスで判別できない)ということを意味しています。
今回は参照元がわからなかったので、次に「オーディエンス」-「地域」からアクセス元の国を確認しました。するとカナダからのアクセスが多いことが分かりました。
日本に住む人向けに書いているブログなので、この時点でわずかに持っていた「このブログが認知され始めた!」という希望がほぼなくなりました。笑
続いてアクセス元のプロバイダを調べました。そうすると日本のプロバイダに並んで「kazooisyee」という見慣れないプロバイダが。
これを調べればなにか情報が出てくるんじゃないかということで検索してみることにしました。
「kazooisyee」を調べる
「kazooisyee」で検索すると、リファラースパム関連の記事が結構出てきました。
検索候補には「kazooisyee スパム」というのも出てきました。
スパムの可能性が高まりましたが、まだ確認できる余地はありそうです。
続いて、サーバーのアクセスログからこのアクセス元のIPアドレスを調べてみます。
サーバーのアクセスログを確認する
IPアドレスって?
そもそもIPアドレスって?という人もいるかと思いますが、IPアドレスとはネットワーク上で個々の機器や組織、団体を識別するための値(IPv4というIPアドレスのバージョンだと123.456.789.111等の「.」で4つに区切った数字の組み合わせ)です。
IPアドレスは自分の家の中等で使うためのプライベートIPアドレスと外(インターネット上)とやり取りするためのグローバルIPアドレスがあります
普段あまり意識することはないと思いますが、実は皆さんが使っているパソコンやスマホにもWifiに繋いだりするとプライベートIPアドレスが割り振られます。
さて、今回調べるIPアドレスはもう一つのグローバルIPアドレスです。
こちらは外とやり取りするためにプロバイダから割り振られるIPアドレスです。
普段はやり取りでIPアドレスを意識することはほとんどないと思いますが、このIPアドレスを調べることで通信元の情報を知ることができます。
アクセスログ解析
このブログはレンタルサーバーの「ロリポップ!」を利用しています。
ロリポップにはアクセスWebサイト上でアクセスログを解析してくれる機能がついているのでそちらを利用しました。
詳しい使い方についてはこちらをご覧ください。
アクセスが多くなった日のログを確認した所、「192.0.102.40」と「192.99.225.97」の2つのIPアドレスから大量にリクエストが送信(アクセスが多い)されていることが分かりました。
IPアドレス確認
サーバのアクセスログからわかった2つのIPアドレスがどこで使われているかこちらのサイトで確認しました。
そうするとそれぞれアメリカ、カナダで利用されているIPアドレスであることが分かりました。「192.99.225.97」については「kazooisyee」が所有者!
ブラックリスト登録確認
続いて、上で調べたIPアドレスについて確認しました。
このサイトは通信元のIPアドレスがブラックリスト(悪質な通信元)に登録されていないか複数のサイトを確認することができます。
ブラックリストサービスを提供しているサイトはたくさんあります。
中には問題のないIPアドレスなのに誤ってブラックリストに登録してしまっているケースもあります。そのため、一つのサイトで検出されたからと言ってそのIPアドレス元が必ずしも悪質であるとは言えません。多くのサイトで同じように登録されていた場合は、問題ありと判断できます。
「192.99.225.97」で検索した所、3つのサイトで登録されていることを確認しました。
3つだけなので確実に問題があるとは言い切れませんが、少なくとも何らかの問題通信が過去にあり、登録されていることが分かりました。
対応策
この後の対応としては、IPアドレス制限を行い、このIPからサーバへのアクセスを拒否する。Googleアナリティクスで集計されないよう設定するなどがあります。
今回はアクセス数がそこまで多くないため、問題ないですが一度に大量のアクセスが来た場合、サーバがパンクする可能性もあります。
そのような場合を考えると、サーバへのアクセうから制限してしまったほうがよいでしょう。
最後に
今回は不審な通信を発見してからの対応について紹介しました。
むやみやたらに通信元に接続しにいくのは危ないですが、このようにして調査を進めることで相手を知ることができます。そのためにもログって結構重要なんですよね。もし急激なアクセス増加などがあった場合はみなさんもログを追ってみてはいかがでしょうか。