ブログの解析でApple Inc.からのおかしなアクセスを発見?!
ウェブサイトやブログの運営をされている方であれば少なからず不正アクセスや様々な攻撃を受けた経験があるに違いない。最近でも米国ソニーピクチャーズがハッキングを受けてデータやコンテンツが流出したというニュースにも接した。ソニーがどれほど強固なネット環境を構築していたのか、あるいはしていなかったかについては不明だが、世界有数の企業に対してハッキングが起こる時代に一個人のサイトやブログが安泰であるはずもない...。
Macテクノロジー研究所のウェブサイトが2013年6月にハッキングされ閉鎖に追い込まれた経緯は「サイト攻撃を受け情報発信をブログに変更する顛末記」を参照願いたいが、この種の無益な戦いは怒りの矛先を向ける相手が見えないだけに実に空虚な気持ちにさせられる。
ともあれ大晦日に締めくくりの意味を含めあまり愉快な話ではないものの、最近当該ブログのアクセス解析で分かった妖しい訪問者のお話しをさせていただこう...。
ブログの運営にとってアクセス解析は重要な情報である。それがどれほど正しく現状に即しているデータ結果なのかは検証のしようもないが、ある種の傾向を示している点は間違いないだろうと考え運営の参考にしている…。とはいえ日々そのアクセス解析に目を光らせているわけではないが、これまでにも特にアクセス数が多いときにトラブルが起こる確率が高いので注視している。
先日も気がついたら午前中のアクセス数が丸一日のアクセス数に匹敵する値を示していた。これは何かあるかも...とブログの解析機能にあるホストの追跡を確認してみた。これは文字通りブログにアクセスした訪問者のニックネーム/ホスト名とアクセス数などを示してくれるもので、例えば大学名や一般企業名あるいはgoogleクローラーとかネット接続業者等々がリストアップされるわけだ。無論すべての訪問者が明確に表示されるわけではなく "不明" となっているものも多い。
※ホストの追跡を確認すると上位5番目までが同類のIPアドレスによるかなり多いアクセスがあった。具体的なアクセス数は隠してあるがパーセンテージを見ていただければこの時点でかなり多くのアクセスだったことはご承知いただけるだろう
その日の訪問者リストを確認してみて瞬時に妖しいと感じた。なぜなら類似のIPアドレス5種によるアクセス数がその時間帯でトップに列んでいたからだ。普段ならトップはGoogleクローラーあたりなのだが、これは変だ...。
よりそのアクセス頻度を確認してみると午前3時、8時、10時といった時間帯に3秒おきにこれまた2,3秒間隔という大変短い時間アクセスを数百回連続で繰り返していることがわかった。
※訪問者はご覧の通り3秒おきに2秒あるいは3秒という短いアクセスを連続に行っている(リストは極一部)
どこの誰がアクセスしているのか…確認の手順としてそのIPアドレスの当事者を確認することが先決だ。お詳しい方には今更ではあるがIPアドレスから逆引きしてホスト名を確認することができるし、要するにWhoisの情報を見ればアクセス先の名前や接続業者、サーバーの所在場所などがわかる仕組みになっている。
いくつかのツールで当該IPアドレス5種を確認してみたが驚いたことに Apple Inc. USと表示されたのだ(笑)。一瞬何事かと思ったが、もしAppleが何らかの目的を持って我がブログを訪れたとするなら前記したアクセスは不自然だ。
Appleに限らず、ブログやサイトの確認のために2,3秒間隔数百回もまるでネットワークの負荷を増やすだけのようなアクセスは迷惑だ。これは明らかに内容を確認するといった目的にはそぐわず、まるでブログのセキュリティホールを探しつつ総当たり攻撃手法によるパスワードを解析し盗もうとしているように思える...。それとも別途何か意味があるのだろうか?
※IP逆引きでWhois情報を閲覧してみたら...何とApple Inc.と出た!しかし一部はApple Computer Inc.と古い社名もあるしWhoisを偽装しているように思えるが? なお一応訪問者のIPアドレスなどは消してある
問題はWhoisの情報だって偽装可能なことだ。そう考えて本物のApple Inc.のWhoisを確認してみると内容は先のものとはまったく違う。Appleも多くのデビジョンがあるのだろうが IPアドレスも IPロケーションも、そして Whoisの表記のありかたも違う。
反面、当該IPはインターネット創生期に保有したApple所有のClassA IPアドレスだという情報もあって何が本当なのか疑心暗鬼になってしまう。そもそも私に判断する技量が不足しているのでなにが本当なのか分からない...。
少なくとも当ブログにとって歓迎すべきアクセスではないと考えた。もしAppleでなければ最悪ログインパスワードを盗むためにアクセスを繰り返しているに違いないと考えたが、当事者としてできることは限られている。
まず念のためだがパスワードを変更した。情報処理推進機構のウェブページの情報によれば英数ならびに英文字大小を組み合わせたパスワードを一般的な総当たり攻撃手法で解読しようとすると6桁で約5日、8桁で約50年、10桁だと約20万年という計算になるという…。2桁増やすだけでガードは桁違いに強固になることがわかる。
無論これは最大解読時間であって現実にはもっと早く解読出来てしまう可能性もあるし、アルゴリズムの進化はもとより昨今のコンピュータは益々処理スピードを増しているので解析に必要な時間も短縮されるはずだから単純に安心は出来ない。しかしパスワードをどのようにすべきかの指針にはなるだろう。
この場でパスワードの詳しい話しをするつもりはないが、安全を期すなら8桁では不足。10桁以上の英数および大文字小文字を混ぜて使い、システムが可能なら記号も混ぜるべきだ。そしてポピュラーな名詞や誕生日、電話番号などは避け、例えば "KOHSHIN" とする場合に "K0hSH1N" のように "O" を "0" に "I" を "1"に置き換えると尚よいはずだ。
だとすればこの手法と共に定期的にパスワードを変えていけば、別途IDとの照合もあるしよほどの事がない限りパスワードを解読されることはないと思うが、安心は禁物だからしてログインの履歴など普段からの注意も必要になる。
話しを戻すが、Apple Inc.であるかどうかは断定できないまま、その5個のIPアドレスを拒否IPとして設定しブロックした。ただFC2ブログではワイルドカードが使えないのですべてのIPを完全にブロックすることはできないが...。
もし本当にAppleからのアクセスだったら「Apple Inc.からのアクセスをブロックした」珍しいApple関連ブログになるかもしれない(笑)。まあ正月休みに可能な限り詳しく調べて見たいと思っている。
今のところFC2側から脆弱状態になったとか2段階ログインへの移行案内などはないので今回の問題がそのまま大きなトラブルになることはないだろうと考えているが、数度のサイト攻撃を受けて閉鎖や大幅改変を余儀なくされた経験者としては正直心安らかではない...。
最後にこの種のことは決して私のブログだけに起きていることではないはずだ。サイトやブログを運営している方々には釈迦に説法だと思うが、完全に安全な方策はないとしてもできる限り対策は怠らないようにしたいものだ。そして年末年始をよい機会にして、今一度自身のパスワードについて再考してみたらいかがだろうか。
ともあれよい新年をお迎えいただき、来年も当該ブログをよろしくお引き立ていただければ幸いである。
【追加情報】
結局、後になって分かったことだが、この 17.0.0.0 ネットワークブロックはAppleのWebクローラー、Applebot のようだ。Applebot は、Siri や Spotlight 検索候補などの製品で使用されているとのこと。こうした情報が公開されたのは2015年3月のことだったから、当時はテスト運用でもしていたのだろうか...。
Macテクノロジー研究所のウェブサイトが2013年6月にハッキングされ閉鎖に追い込まれた経緯は「サイト攻撃を受け情報発信をブログに変更する顛末記」を参照願いたいが、この種の無益な戦いは怒りの矛先を向ける相手が見えないだけに実に空虚な気持ちにさせられる。
ともあれ大晦日に締めくくりの意味を含めあまり愉快な話ではないものの、最近当該ブログのアクセス解析で分かった妖しい訪問者のお話しをさせていただこう...。
ブログの運営にとってアクセス解析は重要な情報である。それがどれほど正しく現状に即しているデータ結果なのかは検証のしようもないが、ある種の傾向を示している点は間違いないだろうと考え運営の参考にしている…。とはいえ日々そのアクセス解析に目を光らせているわけではないが、これまでにも特にアクセス数が多いときにトラブルが起こる確率が高いので注視している。
先日も気がついたら午前中のアクセス数が丸一日のアクセス数に匹敵する値を示していた。これは何かあるかも...とブログの解析機能にあるホストの追跡を確認してみた。これは文字通りブログにアクセスした訪問者のニックネーム/ホスト名とアクセス数などを示してくれるもので、例えば大学名や一般企業名あるいはgoogleクローラーとかネット接続業者等々がリストアップされるわけだ。無論すべての訪問者が明確に表示されるわけではなく "不明" となっているものも多い。
※ホストの追跡を確認すると上位5番目までが同類のIPアドレスによるかなり多いアクセスがあった。具体的なアクセス数は隠してあるがパーセンテージを見ていただければこの時点でかなり多くのアクセスだったことはご承知いただけるだろう
その日の訪問者リストを確認してみて瞬時に妖しいと感じた。なぜなら類似のIPアドレス5種によるアクセス数がその時間帯でトップに列んでいたからだ。普段ならトップはGoogleクローラーあたりなのだが、これは変だ...。
よりそのアクセス頻度を確認してみると午前3時、8時、10時といった時間帯に3秒おきにこれまた2,3秒間隔という大変短い時間アクセスを数百回連続で繰り返していることがわかった。
※訪問者はご覧の通り3秒おきに2秒あるいは3秒という短いアクセスを連続に行っている(リストは極一部)
どこの誰がアクセスしているのか…確認の手順としてそのIPアドレスの当事者を確認することが先決だ。お詳しい方には今更ではあるがIPアドレスから逆引きしてホスト名を確認することができるし、要するにWhoisの情報を見ればアクセス先の名前や接続業者、サーバーの所在場所などがわかる仕組みになっている。
いくつかのツールで当該IPアドレス5種を確認してみたが驚いたことに Apple Inc. USと表示されたのだ(笑)。一瞬何事かと思ったが、もしAppleが何らかの目的を持って我がブログを訪れたとするなら前記したアクセスは不自然だ。
Appleに限らず、ブログやサイトの確認のために2,3秒間隔数百回もまるでネットワークの負荷を増やすだけのようなアクセスは迷惑だ。これは明らかに内容を確認するといった目的にはそぐわず、まるでブログのセキュリティホールを探しつつ総当たり攻撃手法によるパスワードを解析し盗もうとしているように思える...。それとも別途何か意味があるのだろうか?
※IP逆引きでWhois情報を閲覧してみたら...何とApple Inc.と出た!しかし一部はApple Computer Inc.と古い社名もあるしWhoisを偽装しているように思えるが? なお一応訪問者のIPアドレスなどは消してある
問題はWhoisの情報だって偽装可能なことだ。そう考えて本物のApple Inc.のWhoisを確認してみると内容は先のものとはまったく違う。Appleも多くのデビジョンがあるのだろうが IPアドレスも IPロケーションも、そして Whoisの表記のありかたも違う。
反面、当該IPはインターネット創生期に保有したApple所有のClassA IPアドレスだという情報もあって何が本当なのか疑心暗鬼になってしまう。そもそも私に判断する技量が不足しているのでなにが本当なのか分からない...。
少なくとも当ブログにとって歓迎すべきアクセスではないと考えた。もしAppleでなければ最悪ログインパスワードを盗むためにアクセスを繰り返しているに違いないと考えたが、当事者としてできることは限られている。
まず念のためだがパスワードを変更した。情報処理推進機構のウェブページの情報によれば英数ならびに英文字大小を組み合わせたパスワードを一般的な総当たり攻撃手法で解読しようとすると6桁で約5日、8桁で約50年、10桁だと約20万年という計算になるという…。2桁増やすだけでガードは桁違いに強固になることがわかる。
無論これは最大解読時間であって現実にはもっと早く解読出来てしまう可能性もあるし、アルゴリズムの進化はもとより昨今のコンピュータは益々処理スピードを増しているので解析に必要な時間も短縮されるはずだから単純に安心は出来ない。しかしパスワードをどのようにすべきかの指針にはなるだろう。
この場でパスワードの詳しい話しをするつもりはないが、安全を期すなら8桁では不足。10桁以上の英数および大文字小文字を混ぜて使い、システムが可能なら記号も混ぜるべきだ。そしてポピュラーな名詞や誕生日、電話番号などは避け、例えば "KOHSHIN" とする場合に "K0hSH1N" のように "O" を "0" に "I" を "1"に置き換えると尚よいはずだ。
だとすればこの手法と共に定期的にパスワードを変えていけば、別途IDとの照合もあるしよほどの事がない限りパスワードを解読されることはないと思うが、安心は禁物だからしてログインの履歴など普段からの注意も必要になる。
話しを戻すが、Apple Inc.であるかどうかは断定できないまま、その5個のIPアドレスを拒否IPとして設定しブロックした。ただFC2ブログではワイルドカードが使えないのですべてのIPを完全にブロックすることはできないが...。
もし本当にAppleからのアクセスだったら「Apple Inc.からのアクセスをブロックした」珍しいApple関連ブログになるかもしれない(笑)。まあ正月休みに可能な限り詳しく調べて見たいと思っている。
今のところFC2側から脆弱状態になったとか2段階ログインへの移行案内などはないので今回の問題がそのまま大きなトラブルになることはないだろうと考えているが、数度のサイト攻撃を受けて閉鎖や大幅改変を余儀なくされた経験者としては正直心安らかではない...。
最後にこの種のことは決して私のブログだけに起きていることではないはずだ。サイトやブログを運営している方々には釈迦に説法だと思うが、完全に安全な方策はないとしてもできる限り対策は怠らないようにしたいものだ。そして年末年始をよい機会にして、今一度自身のパスワードについて再考してみたらいかがだろうか。
ともあれよい新年をお迎えいただき、来年も当該ブログをよろしくお引き立ていただければ幸いである。
【追加情報】
結局、後になって分かったことだが、この 17.0.0.0 ネットワークブロックはAppleのWebクローラー、Applebot のようだ。Applebot は、Siri や Spotlight 検索候補などの製品で使用されているとのこと。こうした情報が公開されたのは2015年3月のことだったから、当時はテスト運用でもしていたのだろうか...。
- 関連記事
-
- ジョセフ・ワイゼンバウム著「コンピューターパワー 人工知能と人間の理性」に注目 (2015/01/23)
- Apple製品から "i" が除かれる日はいつか? (2015/01/14)
- スティーブ・ジョブズが日本文化に興味を持ったきっかけは!? (2015/01/07)
- 未来のApple〜個人用コンピュータ40年に思う初夢 (2015/01/05)
- 新年明けましておめでとうございます (2015/01/01)
- ブログの解析でApple Inc.からのおかしなアクセスを発見?! (2014/12/31)
- ドメイン話しとブックマーク再確認のお願い (2014/12/19)
- 2014年Macテクノロジー研究所的10大ニュース (2014/12/15)
- スティーブ・ウォズニアックの発言が変だ!? (2014/12/10)
- Altair8800によるテストプログラミング例の紹介 (2014/12/08)
- Altair8800 Cloneに思いを寄せて〜 Altair8800 って、どんなコンピュータなのか? (2014/11/21)
