悪質通信にご用心!アクセス数が急に3倍以上になったので通信元(kazooisyee)を追ってみた

こんにちは!管理人のうみねこ(@penta59631)です。

このブログはGoogleアナリティクスでアクセス解析をしています。
先日いつものようにアクセス数を見ようとGoogleアナリティクスを開いた所ユーザー数がいつもの3倍以上 ( ゚д゚)…
(いつも15ユーザー程度なのが50ユーザーになっていたという程度の弱小ぶりですがw)

ついにこのブログも認知され始めたのか…!感慨深い…

という思いより先に攻撃されているんじゃないかという心配がよぎりました。
職業柄、急激にアクセスが増えて良かった試しがないのでw

まず結論を言うとスパムの可能性が高いです。
今回はアクセス数が増えてから確認した点などを実際の流れに沿って紹介していきます。

スポンサーリンク

Googleアナリティクスの確認

本日のユーザー数

まずはじめに以下の画像が1日のユーザー数です。
少なっ!という言葉は飲み込んでもらってと緑色の文字が昨日からの増加率です。
ユーザーが321.4%になっていることから3倍以上のユーザーがアクセスしていることが分かります。

参照元の確認

まずは「集客」-「すべてのトラフィック」-「参照元/メディア」で参照元を確認しました。
セカンダリディメンションの項目で「完全なリファラー」に設定すると参照元のURL等が細かく表示されます。
今回は(direct)/(none)が一番多くなっています。
これは参照元がないもしくはわからない(アナリティクスで判別できない)ということを意味しています。

CHECK

No4を見てもらうとわかるように参照元がある場合「参照元/メディア」列にURL等が表示されます。
見知らぬURLが表示されていた場合はむやみやたらにアクセスしないようにしてください。
ものによってはウイルスをばらまくようなサイトにアクセスしてしまう場合があります。
これは「リファラースパム」と言う攻撃として認知されています。
※リンクの調査は自己責任でお願いします。もし万が一不審なリンクにアクセスしてウィルス等に感染してしまった場合もこのブログは一切責任を負いません。

今回は参照元がわからなかったので、次に「オーディエンス」-「地域」からアクセス元の国を確認しました。するとカナダからのアクセスが多いことが分かりました。

日本に住む人向けに書いているブログなので、この時点でわずかに持っていた「このブログが認知され始めた!」という希望がほぼなくなりました。笑

続いてアクセス元のプロバイダを調べました。そうすると日本のプロバイダに並んで「kazooisyee」という見慣れないプロバイダが。
これを調べればなにか情報が出てくるんじゃないかということで検索してみることにしました。

スポンサーリンク

「kazooisyee」を調べる

「kazooisyee」で検索すると、リファラースパム関連の記事が結構出てきました。
検索候補には「kazooisyee スパム」というのも出てきました。
スパムの可能性が高まりましたが、まだ確認できる余地はありそうです。
続いて、サーバーのアクセスログからこのアクセス元のIPアドレスを調べてみます。

スポンサーリンク

サーバーのアクセスログを確認する

IPアドレスって?

そもそもIPアドレスって?という人もいるかと思いますが、IPアドレスとはネットワーク上で個々の機器や組織、団体を識別するための値(IPv4というIPアドレスのバージョンだと123.456.789.111等の「.」で4つに区切った数字の組み合わせ)です。
IPアドレスは自分の家の中等で使うためのプライベートIPアドレスと外(インターネット上)とやり取りするためのグローバルIPアドレスがあります
普段あまり意識することはないと思いますが、実は皆さんが使っているパソコンやスマホにもWifiに繋いだりするとプライベートIPアドレスが割り振られます。

さて、今回調べるIPアドレスはもう一つのグローバルIPアドレスです。
こちらは外とやり取りするためにプロバイダから割り振られるIPアドレスです。
普段はやり取りでIPアドレスを意識することはほとんどないと思いますが、このIPアドレスを調べることで通信元の情報を知ることができます。

アクセスログ解析

このブログはレンタルサーバーの「ロリポップ!」を利用しています。
ロリポップにはアクセスWebサイト上でアクセスログを解析してくれる機能がついているのでそちらを利用しました。
詳しい使い方についてはこちらをご覧ください。

アクセスが多くなった日のログを確認した所、「192.0.102.40」と「192.99.225.97」の2つのIPアドレスから大量にリクエストが送信(アクセスが多い)されていることが分かりました。

IPアドレス確認

サーバのアクセスログからわかった2つのIPアドレスがどこで使われているかこちらのサイトで確認しました。
そうするとそれぞれアメリカ、カナダで利用されているIPアドレスであることが分かりました。「192.99.225.97」については「kazooisyee」が所有者!

ブラックリスト登録確認

続いて、上で調べたIPアドレスについて確認しました。
このサイトは通信元のIPアドレスがブラックリスト(悪質な通信元)に登録されていないか複数のサイトを確認することができます。

ブラックリストサービスを提供しているサイトはたくさんあります。
中には問題のないIPアドレスなのに誤ってブラックリストに登録してしまっているケースもあります。そのため、一つのサイトで検出されたからと言ってそのIPアドレス元が必ずしも悪質であるとは言えません。多くのサイトで同じように登録されていた場合は、問題ありと判断できます。

「192.99.225.97」で検索した所、3つのサイトで登録されていることを確認しました。

3つだけなので確実に問題があるとは言い切れませんが、少なくとも何らかの問題通信が過去にあり、登録されていることが分かりました。

対応策

この後の対応としては、IPアドレス制限を行い、このIPからサーバへのアクセスを拒否する。Googleアナリティクスで集計されないよう設定するなどがあります。
今回はアクセス数がそこまで多くないため、問題ないですが一度に大量のアクセスが来た場合、サーバがパンクする可能性もあります。
そのような場合を考えると、サーバへのアクセうから制限してしまったほうがよいでしょう。

最後に

今回は不審な通信を発見してからの対応について紹介しました。
むやみやたらに通信元に接続しにいくのは危ないですが、このようにして調査を進めることで相手を知ることができます。そのためにもログって結構重要なんですよね。もし急激なアクセス増加などがあった場合はみなさんもログを追ってみてはいかがでしょうか。