中国からのアクセスが急増してた

そんなわけでうちの通販サイトは、Amazonとか楽天みたいなモールじゃなくて、いわゆる「自社サーバー」で動かしてます。インターネットに公開してる以上、世界中から飛んでくる「よろしくないアクセス」に晒されるのは、もはや宿命みたいなもん。

なので去年から、専用の監視システムを組んで日々対処してたんだけど、正直に言うと去年秋くらいからやることが多すぎて、ちょっと監視の目が弱まってたのは事実。反省。

昨日、久々にGoogle Analyticsを開いて驚いた。普段はまずありえない、中国からのアクセスが激増してるじゃないか！

オレが管理してるドメインは結構な数があるんだけど、確認したら全部のドメインに、中国からの好ましくないアクセスが去年の11月半ばから一斉に来ていた。ちなみに、NBCNEWSやこのREDPEPPERSにも同じ時期から同じようなアクセスがある。もしかしたら今、日本中のサーバーが標的になってるのか？ それとも釣り関係のサイトだけが狙われてるのか？

タイミング的に、11月半ばに急増してるから「例の総理大臣の発言」とかがきっかけで中国から攻撃を受けてるのかと思って、Grokとかに聞いてみた。けど、どうやらそれとは直接関係ないっぽい。真相は謎のまま。

---

Lanzhou（蘭州）から鬼のようなBotアクセス

Analyticsで詳細を見てみると、その中国からのアクセスは滞在時間がほとんど「1秒以下」。

これ、どう見ても人間のアクセスじゃない。Botの仕業確定だ。

中国のどこの市町村から来てるか調べたら、「Lanzhou（蘭州）」というところが圧倒的に多かった。蘭州ラーメンは好きだけど、このアクセスはいただけない。

Cloudflareとか導入してれば国単位で蹴ることも可能だけど、このサーバーは使ってない。さてさて、どーしたもんか？

Geminiに従い.htaccessで中国をブロック！したつもりが・・・

とりあえずGeminiに相談してみた。「中国のIPアドレス全部、htaccessに書いてブロックしますか？」って。でも、リスト化すると8000行くらいあって長すぎる。サーバーの負荷も怖い。そしたら、Geminiが「簡易版の中国アクセスブロック用htaccess」を作ってくれた。優秀じゃん。

さっそくそれを投入。Analyticsのリアルタイム画面を見てたら、Lanzhouからのアクセスが徐々に減ってきた。よしよし、いい感じ！

と、ここで一旦この件は置いておいて、別の急ぎの作業に集中した。……これがフラグだった。

しばらくして、支店から連絡が入る。
「店のホームページに入れません」

えっ？（汗）。
どうやらGeminiが作ってくれた「簡易版ブロック」のIPアドレス群が広すぎて、日本の一部まで蹴ってしまったらしい。おそらく支店だけでなく、一般のお客さんも少なからずブロックされてたはず。本当にごめんなさい。

Geminiに報告したら「範囲が広すぎたかもしれません、ごめんなさい」だって。AIあるあるネタ。どんまい。とりあえずhtaccessの該当箇所は光速でコメントアウトした。

---

iptablesで上流からブロック！

結局、原点に立ち返ってサーバーにsshで入る。Webサーバーのログを tail で流してみたら、もう、びっくり。とんでもない量のbotアクセスが滝のように流れてる。

ちなみに、この大量のapacheログをAIに読ませて解析させるのは、めちゃくちゃ便利ですね。人間業じゃないスピードでパターンを見つけてくれるから、本当にありがたい。

結果、特定のIP群が猛烈にアクセスしてきてるのが分かったので、その集団をhtaccessでピンポイントにブロック。これで一旦は一件落着。

……だけど、htaccessでブロックしても、結局サーバー側は「403エラー」を返すっていう仕事をさせられてるわけ。これすら腹立たしい！
ってことで、iptablesにそれらをセットして、もっと上流のOSレベルで根絶。これでようやくログもまともになった。

もともと冒頭で書いた「専用システム」ってのは、SQLインジェクション、スクレイピングとかWordPressの管理画面を狙う異様なアクセスを検知して、酷いのはiptablesで自動ブロックする仕組みだった。でも、長く運用してると色々不都合も出てきて、ちゃんと監視できてなかったのが今回の敗因。反省。

世界中で被害でてるのかな？Lanzhouアタック

最初、似たような事例がないかGoogle検索やGrokで探してもあんまり良い結果が出なかった。でも、後から「Lanzhou」っていうキーワードを入れて探したら、結構な数の個人ブログがヒットした。やっぱり去年末くらいから、Analyticsに急に中国からのアクセスが増えたっていう悲鳴が上がってたみたいだ。Redditでも話題になってたので世界中でやられてるのかも

サーバーの環境によって対処法はいろいろ違うから、ここで「こうすればいいよ！」っていう正解は書かない。でも、今の時代、AIに聞けば解決へのヒントはいくらでも出てくる。本当に素晴らしい時代だね。

……ま、中国をブロックしたつもりが、日本の一部もブロックしちゃうようなこともあるけども。

生成AIのご利用は計画的に！

ちなみに今現在ググったときにでてくるAI要約はこんな感じ

1. 蘭州からのアクセス増加の傾向

• 特徴: 蘭州市を拠点とするIPアドレスから、特定のページ（多くの場合、本来アクセスがないページ）へ一斉にアクセスされる。
• 影響: GA4の「ページとスクリーン」や「ランディングページ」の表示回数（ページビュー）が急増し、正しいアクセス分析が困難になる。
• 状況: シンガポールなど他の都市からのアクセスと同時に発生することがある。 

2. 原因（BOTスパム）

• ランダム・スパム: サイトのデータを汚染し、不正なサイトへの誘導や、アナリティクス上に自社サイトのURLを表示させるための広告的な手法。
• データ・ボット: 特定のWebサイトを監視するボットが、データ収集の過程で大量のトラフィックを引き起こしている可能性。 

3. セキュリティと対策

このような大量アクセスに対し、以下のような情報セキュリティ対策が推奨されています。

• GA4のフィルター設定: 蘭州（Lanzhou）や異常な地域からのトラフィックを、レポートのビューから除外するフィルターを設定する。
• アクセスログの監視: 不正なIPアドレスからのアクセスをファイアウォールやWAF（Web Application Firewall）でブロックする。
• Webセキュリティ強化: 組織的な攻撃の可能性も考慮し、情報漏えいやマルウェア感染がないか確認する。 

現時点では、特定のWebサービスを狙った犯罪目的（DDoSなど）よりも、GA4のデータを汚染する「リファラースパム」や「BOTによる収集」の可能性が高いと考えられています。 

ってことで自社サーバー運用はこんなくだらない事とも日々戦っているわけです