|
迷惑なアクセス(その2) amazonaws.comの正体 |
2012年6月27日 | 2018年6月17日 追記 |
ある日突然amazonaws.comからのアクセスが急増しました。どれも同じ記事へのアクセスで不思議に思って調べてみましたら、(今回は)どうやらTwitterに投稿されたページを検索しまくっているらしいことが判明しました。 さらに最近はスパム行為などの温床にもなっているようで、結局amazonaus.comのアクセスは拒否するに限るという結論に達しました。 |
ある日びっくり
実はあやしいアクセス、迷惑アクセス、拒否したアクセスなどは赤で色分けされるようにしてあるのだが、そのひとつcompute-1.amazonaws.comからのアクセスが激増、一日の半分を占めており、しかもすべて同じ記事にアクセスしている。ふだんさほど読まれる記事ではない。
amazonaws.comからは普段からへんなアクセスが多いが、時折集中的にものすごいアクセスが来ることがあり、なんでだろうと思ってはいた。
例によってアクセスしてくるIPやAgentはばらばら。
参考にこのサイトのアクセスログはこんな感じ。(但し現時点の。amazonaws.comのアクセスは大部分拒否しているのでほとんどありません。さらにそのあと分類や表示の仕方も変わっていますので単なる参考までに。)
→ アクセスログ
で、調べてみたら、
その少し前に通常のPCからその記事へのアクセスが2件ほどあり、リファラー(リンク元)はhttp://t.co/....となっている。ご存じの方も多いと思うが、これはTwitterのサイトリンク。だれかがTwitterで記事の紹介をしてくれたということらしい。
これであやしいアクセスのひとつ、amazonaws.comの正体の一部がわかった。
今回はTwitterで言及されたページを検索しまくっているということのようだ。
たしかに各種の最新情報を得るにはこれはよい方法なのかもしれない。ただし相手に迷惑と思われてはいかんな。
いずれこのようなサービス回線からのアクセスはロボットによるもので人間のアクセスではないのはほぼ明白。
もちろん以前に迷惑なアクセスでとった対策によりamazonaws.comの迷惑なアクセスは実質拒否されており、目的の記事は読めてはいない。
amazonaws.com 以外からは今回特にそのようなアクセスはなかったので、各々縄張りでもあるのだろうか、それともamazonaws.comが専らこのような機能を提供しているということなのだろうか。
それにしてもこんなにたくさんアクセスしなくたって一回でいいじゃないか。ロボットによってジャンルが決まっていていろんなジャンルを担当するロボットがいちおうみんな来るということなのだろうか。
...などなどいろいろと疑問は尽きない。
その後しばし様子見、やっぱり拒否(2013.6.19 追記, 2018.6.28 一部修正)
そうしたら今度はrefererにいろんなサイトのURLをもってアクセスしてきます。(アクセス数はさほど多くはないが。)
念のためrefererのいくつかのサイトにアクセス、こちらのサイトがリンクされているのかと調べてみましたがその形跡はありませんし、またそのサイトもあやしい商品やサービス、あるいは単に見てくれ〜といわんばかりのわけのわからないサイトばかりで、どうやらリファラースパムということのようです。また明らかに不正ログインをねらったアタックもけっこうあります。
さらに最近は寄付を募るような投稿がamazonaws.comから各所の掲示板に書き込まれ、調べてみるとどうやら詐欺っぽいなどという話さえ聞こえてきます。
さらにこのAWSサービスが(2018年現在)アマゾンの利益の大半をたたきだしているなどという話を聞くと今後ますますエスカレートしていきそうな気もします。
そして、そのような迷惑な、あるいはあやしい活動の温床になっているamazonaws.comからのWebアクセスは拒否するに限るという結論に達しました。...でしばらくの間一部の行儀のよいbotを除いて拒否することにしました。
ただしamazonaws.comのサーバーはかなりの大手企業でもWeb配信に使っていたりする場合があり、こちらへのWebアクセスを拒否するのにとどめておいてファイアウォールなどでばっさり拒否するのはやめておいた方がよさそうです。
もしまじめな目的でamazonaws.comのサービスを使っている方がいたらまきぞえを喰うかもしれませんが、こんな迷惑行為の温床になっているようなサービスは使わないほうがいいですよー としか言いようがありません。
トレンドマイクロも拒否(2013.4.10~ 追記)
ぜひ併せてお読みください。
→トレンドマイクロなどの迷惑アクセスを蹴る!
なおトレンドマイクロもその後amazonaws.comを使うようになったと思われ、このアクセスもかなりの比率をしめている可能性があります。上記の別記事の他にこのページの下のほうに最近の状況も記しておきます。
apple-touch-iconもamazonaws.comなみによくない(2017.10.8 追記)
あとamazonaws.comなみに迷惑と言えば迷惑なアクセスで最近多いのがapple-touch-iconのたぐい。
昔はfavicon.icoだの、Microsoft Officeがありもしないファイルに勝手にアクセスを試みてくるものが多かったが最近これらはほとんどなくなった。改善されたかシェアが落ちたことによるのかは知らないが...。
最近ありもしないファイル、特に一部のアプリケーションのログインファイルや設定ファイルを狙ってくるアタックアクセスがとても増えてきたが、この apple-touch-icon のようなのがあるために、
これはインターネットのセキュリティーを全世界で大幅に低下させている大きな原因になっていると言わざるを得ない。
その昔、独占的地位を占めているのをいいことにMicrosoftがやっていたこんな身勝手な所行を今度はappleが平然とやっているということがappleのファンとしては残念でならないし、ましてやインターネットのセキュリティー確保を真っ先に考えなくてはならないところがやるというのもまったく理解できない。appleには考え直してもらいたいものだ。さもなくばappleのトップももうじき終わるだろう。
あるいはブラウザやアプリケーションの規格や指針に勝手なアクセスはしないよう盛り込んでもらいたいと思っているのは私だけだろうか。
かの超有名なセキュリティー会社もamazonaws.comを使っている?? (2018年5月11日 追記)
同じサーバーの別のサイトのログを見ていて偶然気がついたのですが、最近そこからアクセスされていたのと全く同じようなアクセスがamazonaws.comからもあることに気がつきました。
従来からあるtxxxxmxxxx.comからとamazonaws.comからの両方のアクセスを受けている場合がかなり多くあります。(amazonaws.comからのアクセスは閲覧拒否してますがそれにもめげずしつこく仕掛けてくる。)
で、念のためページidやアクセスカウンターなどの情報をつき合わせてみると見事に一致しています。
USER AGENTまで全く同じです。
ただ古いログがもうないのでいつ頃からなのかはわかりません。
そのセキュリティーソフト会社がamazonaws.comも使ってアクセスしている!?? ...としか私には考えらないのですが、偶然別のソフトに同じようにデータを抜かれて別のところに送られ、amazonaws.comからもアクセスを受けた可能性も全くないとは言いきれません。しかしそれなら同じUSER AGENTが設定される可能性は低いように思われ、アクセス・解析ソフトをそのままamazonaws.comでも使ったと考えるのが妥当な気がします。
偶然でないとすれば、amazonaws.comの迷惑アクセスにまぎれこませて目立たなくしようというのか、単に設備増強の費用削減のためなのか、はたまた迷惑アクセスの仲間同士で強力しあおうという話にでもなったのか...?、 あるいは全くの偶然なのか...?、理由はよくわかりませんが、片方だけでも迷惑なのに困ったもんだ。
ちなみにそのUSER AGENTは、
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)
ですでした。
...いまどき本当にMSIE 8など使っている人はいないと思うけど、出どこが同じならトレンドマーク、じゃなかった、トレードマークみたいなもんだな。きっと。(...今はもう変わっています。)
(2018年6月17日以降 追記)
そうこうするうち6月に入ってからは上記USER AGENTのアクセスはamazonaus.comからだけとなり、どうやら移行完了ということのようです。従来と同じように本アクセスの少しあとにamazonaws.comから同じページへのアクセスがある場合、例のセキュリティーソフトを介したアクセスの可能性が高いと考えてよさそうです。またその後ブラウザ名についてはMSIEはなくなってきましたので、普通のアクセスに同化すべく変更されてきているようです。