以前にも書いた不正アクセスというか、掲示板への歓迎できない広告書き込みはその後もたまにあって、その度にその書き込みを消して、当該IPアドレスの上位16ビットが一致するアクセスはサイト全体について以後お引取り願うという対策を取ってきた。この、東欧にゆかりのあると思わしき招かざるお客様は手持ちのIPアドレスがそれほど多くないらしく、ここしばらくはアクセスがあっても以前と同じIPアドレスのため入口で弾かれてしまっていた。流石にこう何度も繰り返しアクセス拒否のエラーコードを返されるとあまり頭のよくないロボットでも自分のやっていることの無意味さを悟るのか、アクセス頻度自体がかなり落ちている。
ところが、最近になってまた別の招かざるお客様が頻繁に来るようになったのだ。こちらのお客様は膨大なIPアドレスを使えるらしく、同じメソッド、同じUserAgentで違うIPアドレスから短時間に凄い数のアクセスをしてくれる。IPアドレスからドメイン名を引いて見ると、海外のものもあるけど結構な割合で国内大手プロバイダーのものが含まれている。何れも、ADSLやFTTHで常時接続のサービスを提供しているプロバイダーだ。これが噂のボットネットとかいうものだろうか。つまり、これらのIPアドレスの正規の持ち主は常時接続サービスを契約している善意の(悪意がないという意味)ユーザーで、十分なセキュリティ対策をしないまま常時ネットに接続しているため何かのきっかけで悪意のプログラムを仕込まれ、知らないうちに悪意の第三者に制御されてしまっている可能性が高い。古典的なDDoS攻撃の手口だけど、目的がサービスを落とすことかどうかは分からない。
同じIPアドレスから何度もアクセスする場合もあるけど、数分間続く一連の連続アクセスは見事に全て違うIPアドレスで、ほぼ等間隔で規則正しくアクセスがある。同じ所でコントロールされていることはほぼ間違いないだろう。使えるIPアドレスはいくらでもあるようで、一つ一つ拒否設定していては到底間に合わない。今の時点で既に100以上あるけど、毎日新たなIPが加わっている。しかも、大手プロバイダーのアドレスが多く含まれ、アドレス範囲で一括拒否というのもやり難い。なじみの読者の方も使っているプロバイダーなのだ。この手口だとIPアドレスによるアクセス制御はほぼ不可能であり、Webサーバー側でできる対策はほとんどない。手口は単純だけど、これはすごい。自由にコントロールできる端末をそれだけの数揃えられるということも含め、その部分だけは素直に感心する。いや、感心ではないけど、「ほー、すごいじゃん」てなもんである。
こんなに呑気に構えていられるのは、つまりこのお客さんの優れているところがアクセス手段の確保だけであり、実害が全くないからである。執拗にアクセスしてくる割には、その内容はとあるCGIプログラムに対するPOSTメソッドの一点張りである。これも掲示板のCGIなのだが、以前試験的に立ち上げてそのまま放置してあったもので、1年近くこのお客さん以外誰一人見たこともないという代物なのだ。しかも、書式が間違っているのかPOSTメソッドは成功しているのに掲示板は何も更新されていない。えらく手の込んだやり方でアクセスしてくる割には、実際に送りつけてくるメソッドがどうにも間抜けなのだ。しかも、最初のアクセスの2日後に気付いて、使っていないプログラムだったので迷うことなく削除したのでいまや存在しないファイルに対して相も変わらず延々とPOSTメソッドを送りつづけている。なんというか、まあご苦労なことである。ログを見ていると、404(Not Found)エラーばかり返されるのでたまにパスを変えてみたり、プロトコルを変えてみたりする芸を見せてくれることもあって面白い。その努力をどこか他の以下略。