|
倉金家ホームページ迷惑なアクセス(その2) amazonaws.comの正体 |
| 2012年6月27日 | 2018年6月17日 追記 |
| ある日突然amazonaws.comからのアクセスが急増しました。どれも同じ記事へのアクセスで不思議に思って調べてみましたら、(今回は)どうやらTwitterに投稿されたページを検索しまくっているらしいことが判明しました。 さらに最近はスパム行為などの温床にもなっているようで、結局amazonaus.comのアクセスは拒否するに限るという結論に達しました。 |
ある日びっくり
先日このサイトのアクセスログを見てびっくり。なんと真っ赤だ。
実はあやしいアクセス、迷惑アクセス、拒否したアクセスなどは赤で色分けされるようにしてあるのだが、そのひとつcompute-1.amazonaws.comからのアクセスが激増、一日の半分を占めており、しかもすべて同じ記事にアクセスしている。ふだんさほど読まれる記事ではない。
amazonaws.comからは普段からへんなアクセスが多いが、時折集中的にものすごいアクセスが来ることがあり、なんでだろうと思ってはいた。
例によってアクセスしてくるIPやAgentはばらばら。
参考にこのサイトのアクセスログはこんな感じ。(但し現時点の。amazonaws.comのアクセスは大部分拒否しているのでほとんどありません。さらにそのあと分類や表示の仕方も変わっていますので単なる参考までに。)
→ アクセスログ
実はあやしいアクセス、迷惑アクセス、拒否したアクセスなどは赤で色分けされるようにしてあるのだが、そのひとつcompute-1.amazonaws.comからのアクセスが激増、一日の半分を占めており、しかもすべて同じ記事にアクセスしている。ふだんさほど読まれる記事ではない。
amazonaws.comからは普段からへんなアクセスが多いが、時折集中的にものすごいアクセスが来ることがあり、なんでだろうと思ってはいた。
例によってアクセスしてくるIPやAgentはばらばら。
参考にこのサイトのアクセスログはこんな感じ。(但し現時点の。amazonaws.comのアクセスは大部分拒否しているのでほとんどありません。さらにそのあと分類や表示の仕方も変わっていますので単なる参考までに。)
→ アクセスログ
で、調べてみたら、
なんなんだと思いつつアクセスログをずーっと追っていくと、これだっ!
その少し前に通常のPCからその記事へのアクセスが2件ほどあり、リファラー(リンク元)はhttp://t.co/....となっている。ご存じの方も多いと思うが、これはTwitterのサイトリンク。だれかがTwitterで記事の紹介をしてくれたということらしい。
これであやしいアクセスのひとつ、amazonaws.comの正体の一部がわかった。
今回はTwitterで言及されたページを検索しまくっているということのようだ。
たしかに各種の最新情報を得るにはこれはよい方法なのかもしれない。ただし相手に迷惑と思われてはいかんな。
いずれこのようなサービス回線からのアクセスはロボットによるもので人間のアクセスではないのはほぼ明白。
もちろん以前に迷惑なアクセスでとった対策によりamazonaws.comの迷惑なアクセスは実質拒否されており、目的の記事は読めてはいない。
amazonaws.com 以外からは今回特にそのようなアクセスはなかったので、各々縄張りでもあるのだろうか、それともamazonaws.comが専らこのような機能を提供しているということなのだろうか。
それにしてもこんなにたくさんアクセスしなくたって一回でいいじゃないか。ロボットによってジャンルが決まっていていろんなジャンルを担当するロボットがいちおうみんな来るということなのだろうか。
...などなどいろいろと疑問は尽きない。
その少し前に通常のPCからその記事へのアクセスが2件ほどあり、リファラー(リンク元)はhttp://t.co/....となっている。ご存じの方も多いと思うが、これはTwitterのサイトリンク。だれかがTwitterで記事の紹介をしてくれたということらしい。
これであやしいアクセスのひとつ、amazonaws.comの正体の一部がわかった。
今回はTwitterで言及されたページを検索しまくっているということのようだ。
たしかに各種の最新情報を得るにはこれはよい方法なのかもしれない。ただし相手に迷惑と思われてはいかんな。
いずれこのようなサービス回線からのアクセスはロボットによるもので人間のアクセスではないのはほぼ明白。
もちろん以前に迷惑なアクセスでとった対策によりamazonaws.comの迷惑なアクセスは実質拒否されており、目的の記事は読めてはいない。
amazonaws.com 以外からは今回特にそのようなアクセスはなかったので、各々縄張りでもあるのだろうか、それともamazonaws.comが専らこのような機能を提供しているということなのだろうか。
それにしてもこんなにたくさんアクセスしなくたって一回でいいじゃないか。ロボットによってジャンルが決まっていていろんなジャンルを担当するロボットがいちおうみんな来るということなのだろうか。
...などなどいろいろと疑問は尽きない。
amazonaws.comそのものはサーバーや通信回線などのインフラを提供しているアマゾンウェブサービスと称するいわゆるクラウドサーバーサービスで、張本人はその利用者なのかもしれないが、迷惑を受ける側からすれば同じこと。このような迷惑行為を野放しにしておくようなサービスではそのうちサーバー攻撃にだって使われかねないと心配してしまう。(使われ始めていますけど。)
その後しばし様子見、やっぱり拒否(2013.6.19 追記, 2018.6.28 一部修正)
その後拒否ログを見ていたらamazonaws.comからのアクセスがだいぶ静かになったようなので、ためしに拒否を解除してみました。
そうしたら今度はrefererにいろんなサイトのURLをもってアクセスしてきます。(アクセス数はさほど多くはないが。)
念のためrefererのいくつかのサイトにアクセス、こちらのサイトがリンクされているのかと調べてみましたがその形跡はありませんし、またそのサイトもあやしい商品やサービス、あるいは単に見てくれ〜といわんばかりのわけのわからないサイトばかりで、どうやらリファラースパムということのようです。また明らかに不正ログインをねらったアタックもけっこうあります。
さらに最近は寄付を募るような投稿がamazonaws.comから各所の掲示板に書き込まれ、調べてみるとどうやら詐欺っぽいなどという話さえ聞こえてきます。
そうしたら今度はrefererにいろんなサイトのURLをもってアクセスしてきます。(アクセス数はさほど多くはないが。)
念のためrefererのいくつかのサイトにアクセス、こちらのサイトがリンクされているのかと調べてみましたがその形跡はありませんし、またそのサイトもあやしい商品やサービス、あるいは単に見てくれ〜といわんばかりのわけのわからないサイトばかりで、どうやらリファラースパムということのようです。また明らかに不正ログインをねらったアタックもけっこうあります。
さらに最近は寄付を募るような投稿がamazonaws.comから各所の掲示板に書き込まれ、調べてみるとどうやら詐欺っぽいなどという話さえ聞こえてきます。
結局amazonaws.comのサーバーサービスを使って身元を知られないで闇雲にいろんな情報を収集したりあるいはスパム情報を発信したり、時にはアタックを仕掛けてみたりとそんな感じのアクセスばかりで、amazonaws.comはそんな迷惑行為を一切禁止していないか、むしろ手を貸すようなサービスの仕方でもうけているのではないかとさえ疑いたくなります。多くの人に迷惑をかけるなどという考慮は二の次で、ただひたすら儲けようという企業姿勢がなんだか垣間見えるような気もします。
さらにこのAWSサービスが(2018年現在)アマゾンの利益の大半をたたきだしているなどという話を聞くと今後ますますエスカレートしていきそうな気もします。
そして、そのような迷惑な、あるいはあやしい活動の温床になっているamazonaws.comからのWebアクセスは拒否するに限るという結論に達しました。...でしばらくの間一部の行儀のよいbotを除いて拒否することにしました。
ただしamazonaws.comのサーバーはかなりの大手企業でもWeb配信に使っていたりする場合があり、こちらへのWebアクセスを拒否するのにとどめておいてファイアウォールなどでばっさり拒否するのはやめておいた方がよさそうです。
もしまじめな目的でamazonaws.comのサービスを使っている方がいたらまきぞえを喰うかもしれませんが、こんな迷惑行為の温床になっているようなサービスは使わないほうがいいですよー としか言いようがありません。
さらにこのAWSサービスが(2018年現在)アマゾンの利益の大半をたたきだしているなどという話を聞くと今後ますますエスカレートしていきそうな気もします。
そして、そのような迷惑な、あるいはあやしい活動の温床になっているamazonaws.comからのWebアクセスは拒否するに限るという結論に達しました。...でしばらくの間一部の行儀のよいbotを除いて拒否することにしました。
ただしamazonaws.comのサーバーはかなりの大手企業でもWeb配信に使っていたりする場合があり、こちらへのWebアクセスを拒否するのにとどめておいてファイアウォールなどでばっさり拒否するのはやめておいた方がよさそうです。
もしまじめな目的でamazonaws.comのサービスを使っている方がいたらまきぞえを喰うかもしれませんが、こんな迷惑行為の温床になっているようなサービスは使わないほうがいいですよー としか言いようがありません。
トレンドマイクロも拒否(2013.4.10~ 追記)
迷惑なアクセスと言えば、トレンドマイクロからウィルスソフトのページ安全性の確認ということらしき迷惑なアクセスが多数あり、これも拒否しちゃいました。
ぜひ併せてお読みください。
→トレンドマイクロなどの迷惑アクセスを蹴る!
なおトレンドマイクロもその後amazonaws.comを使うようになったと思われ、このアクセスもかなりの比率をしめている可能性があります。上記の別記事の他にこのページの下のほうに最近の状況も記しておきます。
ぜひ併せてお読みください。
→トレンドマイクロなどの迷惑アクセスを蹴る!
なおトレンドマイクロもその後amazonaws.comを使うようになったと思われ、このアクセスもかなりの比率をしめている可能性があります。上記の別記事の他にこのページの下のほうに最近の状況も記しておきます。
apple-touch-iconもamazonaws.comなみによくない(2017.10.8 追記)
(わざわざページをつくるほどでもないのでこの場を借りて。)
あとamazonaws.comなみに迷惑と言えば迷惑なアクセスで最近多いのがapple-touch-iconのたぐい。
昔はfavicon.icoだの、Microsoft Officeがありもしないファイルに勝手にアクセスを試みてくるものが多かったが最近これらはほとんどなくなった。改善されたかシェアが落ちたことによるのかは知らないが...。
最近ありもしないファイル、特に一部のアプリケーションのログインファイルや設定ファイルを狙ってくるアタックアクセスがとても増えてきたが、この apple-touch-icon のようなのがあるために、
これはインターネットのセキュリティーを全世界で大幅に低下させている大きな原因になっていると言わざるを得ない。
その昔、独占的地位を占めているのをいいことにMicrosoftがやっていたこんな身勝手な所行を今度はappleが平然とやっているということがappleのファンとしては残念でならないし、ましてやインターネットのセキュリティー確保を真っ先に考えなくてはならないところがやるというのもまったく理解できない。appleには考え直してもらいたいものだ。さもなくばappleのトップももうじき終わるだろう。
あるいはブラウザやアプリケーションの規格や指針に勝手なアクセスはしないよう盛り込んでもらいたいと思っているのは私だけだろうか。
あとamazonaws.comなみに迷惑と言えば迷惑なアクセスで最近多いのがapple-touch-iconのたぐい。
昔はfavicon.icoだの、Microsoft Officeがありもしないファイルに勝手にアクセスを試みてくるものが多かったが最近これらはほとんどなくなった。改善されたかシェアが落ちたことによるのかは知らないが...。
最近ありもしないファイル、特に一部のアプリケーションのログインファイルや設定ファイルを狙ってくるアタックアクセスがとても増えてきたが、この apple-touch-icon のようなのがあるために、
「ありもしないファイルにアクセスしてくるのはアタックアクセス」というごく基本的でかつ非常に強力な判定とアクションができなくなってしまっている。
やろうと思えばこれはいいのこれはだめだのという条件を導入せざるを得ず、さらに新しくこのたぐいのアクセスが突然出てこないとも限らず安易にはできない。apple-touch-iconがあるよと宣言された場合のみアクセスするようにすればいいものをあってもなくてもアクセスしてくる。これはインターネットのセキュリティーを全世界で大幅に低下させている大きな原因になっていると言わざるを得ない。
その昔、独占的地位を占めているのをいいことにMicrosoftがやっていたこんな身勝手な所行を今度はappleが平然とやっているということがappleのファンとしては残念でならないし、ましてやインターネットのセキュリティー確保を真っ先に考えなくてはならないところがやるというのもまったく理解できない。appleには考え直してもらいたいものだ。さもなくばappleのトップももうじき終わるだろう。
あるいはブラウザやアプリケーションの規格や指針に勝手なアクセスはしないよう盛り込んでもらいたいと思っているのは私だけだろうか。
かの超有名なセキュリティー会社もamazonaws.comを使っている?? (2018年5月11日 追記)
パソコンにインストールされたウィルスソフトのデータをもってページに迷惑なアクセスを頻繁にしかけてくることで超有名なセキュリティーソフト会社があります。(どことは言わないけどわかる人にはすぐわかる! それに...前の方にちょこっと書いたけど。)
同じサーバーの別のサイトのログを見ていて偶然気がついたのですが、最近そこからアクセスされていたのと全く同じようなアクセスがamazonaws.comからもあることに気がつきました。
従来からあるtxxxxmxxxx.comからとamazonaws.comからの両方のアクセスを受けている場合がかなり多くあります。(amazonaws.comからのアクセスは閲覧拒否してますがそれにもめげずしつこく仕掛けてくる。)
で、念のためページidやアクセスカウンターなどの情報をつき合わせてみると見事に一致しています。
USER AGENTまで全く同じです。
ただ古いログがもうないのでいつ頃からなのかはわかりません。
そのセキュリティーソフト会社がamazonaws.comも使ってアクセスしている!?? ...としか私には考えらないのですが、偶然別のソフトに同じようにデータを抜かれて別のところに送られ、amazonaws.comからもアクセスを受けた可能性も全くないとは言いきれません。しかしそれなら同じUSER AGENTが設定される可能性は低いように思われ、アクセス・解析ソフトをそのままamazonaws.comでも使ったと考えるのが妥当な気がします。
偶然でないとすれば、amazonaws.comの迷惑アクセスにまぎれこませて目立たなくしようというのか、単に設備増強の費用削減のためなのか、はたまた迷惑アクセスの仲間同士で強力しあおうという話にでもなったのか...?、 あるいは全くの偶然なのか...?、理由はよくわかりませんが、片方だけでも迷惑なのに困ったもんだ。
ちなみにそのUSER AGENTは、
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)
ですでした。
...いまどき本当にMSIE 8など使っている人はいないと思うけど、出どこが同じならトレンドマーク、じゃなかった、トレードマークみたいなもんだな。きっと。(...今はもう変わっています。)
(2018年6月17日以降 追記)
そうこうするうち6月に入ってからは上記USER AGENTのアクセスはamazonaus.comからだけとなり、どうやら移行完了ということのようです。従来と同じように本アクセスの少しあとにamazonaws.comから同じページへのアクセスがある場合、例のセキュリティーソフトを介したアクセスの可能性が高いと考えてよさそうです。またその後ブラウザ名についてはMSIEはなくなってきましたので、普通のアクセスに同化すべく変更されてきているようです。
同じサーバーの別のサイトのログを見ていて偶然気がついたのですが、最近そこからアクセスされていたのと全く同じようなアクセスがamazonaws.comからもあることに気がつきました。
従来からあるtxxxxmxxxx.comからとamazonaws.comからの両方のアクセスを受けている場合がかなり多くあります。(amazonaws.comからのアクセスは閲覧拒否してますがそれにもめげずしつこく仕掛けてくる。)
で、念のためページidやアクセスカウンターなどの情報をつき合わせてみると見事に一致しています。
USER AGENTまで全く同じです。
ただ古いログがもうないのでいつ頃からなのかはわかりません。
そのセキュリティーソフト会社がamazonaws.comも使ってアクセスしている!?? ...としか私には考えらないのですが、偶然別のソフトに同じようにデータを抜かれて別のところに送られ、amazonaws.comからもアクセスを受けた可能性も全くないとは言いきれません。しかしそれなら同じUSER AGENTが設定される可能性は低いように思われ、アクセス・解析ソフトをそのままamazonaws.comでも使ったと考えるのが妥当な気がします。
偶然でないとすれば、amazonaws.comの迷惑アクセスにまぎれこませて目立たなくしようというのか、単に設備増強の費用削減のためなのか、はたまた迷惑アクセスの仲間同士で強力しあおうという話にでもなったのか...?、 あるいは全くの偶然なのか...?、理由はよくわかりませんが、片方だけでも迷惑なのに困ったもんだ。
ちなみにそのUSER AGENTは、
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)
ですでした。
...いまどき本当にMSIE 8など使っている人はいないと思うけど、出どこが同じならトレンドマーク、じゃなかった、トレードマークみたいなもんだな。きっと。(...今はもう変わっています。)
(2018年6月17日以降 追記)
そうこうするうち6月に入ってからは上記USER AGENTのアクセスはamazonaus.comからだけとなり、どうやら移行完了ということのようです。従来と同じように本アクセスの少しあとにamazonaws.comから同じページへのアクセスがある場合、例のセキュリティーソフトを介したアクセスの可能性が高いと考えてよさそうです。またその後ブラウザ名についてはMSIEはなくなってきましたので、普通のアクセスに同化すべく変更されてきているようです。