迷惑アクセス

【追記】

数日に1回の割合でこのサイトのログを解析する。解析は大袈裟な表現。さっと見て目立っておかしいことがないかを調べる程度。3日前にログを確認したところ、更に数日遡る英国時間2022年11月4日深夜から、継続的に410ステータス・コードが記録されていた。以前使っていた mod_pagespeed が最適化した画像ファイルを大量に作成したためで、410ステータス・コード自体は悪いことでも珍しいことでもないが、最近は検索エンジンのクローラーも来なくなっていたので、なぜ急に増えたのか気になって調べたところ、何かおかしかった。ほぼ等間隔に多くの違うIPアドレスから、削除されたそして現存する画像ファイルに結構なアクセスがあった。24時間で計5500〜6000件。膨大ではないが、気になる数。

リファラーはこのサイトのURI、ユーザー・エージェントも一般に利用されているブラウザーで、IPアドレスも様々だったので、410ステータス・コードが多くなければすぐには気づけず、見逃していたかもしれない。IPアドレスを辿ると米国にある Microsoft と中国にある阿里云 (Aliyun) のデータ・センターだった。分散型 (distributed) ではあるが、この規模ではサイトへの単体のDDoS攻撃にはあたらず、画像ファイルのみアクセスしているので、画像のスクレイパーだろうか。いずれにせよ金銭的な負担よりも精神的に気持ちの良いものではなく、対処することにした。専門家ではなく趣味の域なので、セキュリティー関係にあまり強くなく、このような場合は一人で全て運営しているのは不利で不安なもの。

セキュリティー対策として利用しているのは Cloud Armoredge security で、ロード・バランサーの前という表現が正しいか分からないが、キャッシュが参照そしてリクエストされる前の時点でIPアドレスに基づくアクセス拒否ができる。ロード・バランサーの後ろにある backend security だと、バック・エンドを大量アクセスから守ることができても、CDNでキャッシュされた画像ファイルが幾千幾万とアクセスされたら、転送量が増えて料金が嵩む。ログとにらめっこして、見つけるたびにIPアドレス範囲をブロックしていると、一昨日の晩の時点で米国のデータ・センターは15ヶ所、中国のデータ・センターは20ヶ所になっていた。ASNを backend security ならブロックできるのだが edge security ではできないので、IPアドレス範囲を拒否リストに逐次追加していった。いたちごっこの様相を呈してきて、中国のデータ・センターの数が更に増える可能性もあって対応に困ってきたので、昨晩非常手段として中国からのアクセスを遮断した。牛刀割鶏の感は否めないが、中国から画像検索の流入はあるものの、全般的には少ないので、全拒否にしてもそれほどの悪影響はない。

英国時間の今日(2022年11月11日)13時15分あたりから、これらの迷惑アクセスがかなり少なくなった。また再開するかもしれないので、現在あるセキュリティー・ポリシーを維持して、今晩ログを再び確認するつもり。それにしても一体何が目的だったのだろうか。

【追記】2022年11月11日深夜、就寝前に確認したところ、再び多くのアクセスがあり、米国の特定データ・センターのIPアドレス範囲と中国からのアクセス拒否を維持することにした。