見出し画像

Web制作現場の怪談~古いドメインのアクセスログを見てゾッとしたはなし~

aminax@素人Webインフラ担当

サイトをリニューアルしてドメインが変わったり、提供を停止したサービスのサイトを閉じることってありますよね。そのときに、古いドメインは消さずにリダイレクトのために置いておくことがあると思います。
けれど、古いドメインをリダイレクトのためだけに残しておくのは、サーバーに無駄な負荷をかけたり攻撃の脅威にさらすことになるんでます。私は「不要なドメインは削除すること」を推奨しているのですが、今日はその理由についてお話をしたいと思います。

アクセスログを見たことない方は(そんな方いないかもしれませんが)下記「実際にやったこと」の①だけでもご覧ください。

削除しようと思った発端

さて 以下は何の数字でしょうか?
・cybozu.co.jp:300
・kintone.cybozu.co.jp:220
・office.cybozu.co.jp:50
・garoon.cybozu.co.jp:400
・mailwise.cybozu.co.jp:240


答えはリダイレクトの設定数です。つまり、一番上の「cybozu.co.jp」のサイトだと、300個以上のリンクが裏にあって、同ドメイン配下の別ページや別ドメインのページに飛ぶように設定されているのです。ディレクトリ単位でごっそり別ドメインに飛ばしたり、htmlファイル1つずつ個別のページを指定して飛ばしたりしたものまで、全部ひっくるめてざっくりこのぐらいの数があります。

サーバー引っ越しの際にはこのリダイレクトの設定をまるごと新たなサーバーにコピーしたのですが、その設定ファイルを見た新サーバーの担当者さんにも「リダイレクト多いですねー(苦笑」と言われました。それくらい多いみたいです。(素人Webサーバー管理者なのでその感覚すらなかった)

リダイレクトを繰り返してデッドリンクになっていたり、新たに追加する際に既存の設定と調整をしないとリンクが効かないなんてこともありました。

リダイレクト設定は記載された順に読み込んでいくため、先に上位ディレクトリに対するリダイレクトを設定していた場合、その下の行に書き足しても効きません。なので、既存の設定内容を確認して書き足す場所を変更したり、場合によっては既存のリダイレクト設定の書き方を変更しなければいけません。

リダイレクトを残しておくことは安心かもしれませんが、増えていくほどに上記のような工数がどんどんかかるようになるため大掃除を決意しました。

実際にやったこと

例えば。。。以前はサイボウズカンファレンス(cybozuconf.com)という名称で実施していた弊社イベント、現在はCybozu Days(days.cybozu.co.jp)に変更しています。

こんな時、旧ドメインにコンテンツは残っていませんが、リダイレクトを飛ばすためにドメイン設定だけサーバーに残しておくケースがあります。そんなドメインが10個ほど残っていたので、まずはここからお掃除することにしました。これらは今後新しいリダイレクトが追記されることはないのですが、アクセスログの中身を見てみて、脆弱性を狙われてるんだ!とぞっとしたので早急に削除することにしました。

①アクセスログをチェック

サーバーリダイレクトさせているため、Googleアナリティクスなどではアクセス状況を見られません。なのでアクセスログから、直近3か月のアクセス数とリファラーを抽出してもらい、シンプルに目でチェック。

★ここで発見したこと★
リファラーに存在しえないURLが大量にある?

cybozuconf.comのリファラーたち(一部抜粋)

ちなみにこのサイトはWordPressは使っておらずシンプルな静的サイトでした。なので、画像にあるようなwpとか.phpなどのURLは現役時代も存在していなかったのに、何かしら入り込める穴はないかと総当たりをされていることを知りゾッとしました。

さらに、一部のドメインではいまだに数か月で数百万超えという大量のアクセスが来ていることもわかりました。それらもリダイレクト処理がされているのでその分サーバーリソースを消費していました。

②自社サイト内から古いURLに飛ばしているリンクの書き換え。

①で見つけて気づいたのですが、リダイレクト依頼しているのでてっきり被リンク書き換えも完了しているだろうと思っていたら、大量の旧URLへのリンクがありました。特にランディングページ(LP)など、製品サイトから独立した存在のページで残りがちかもしれません。これがめちゃくちゃ手間でした。Adobe Dreamweaverを使って抽出したものを一行ずつチェックしてドメインごとにまとめて変更依頼を出したり、目はしょぼしょぼ、肩はパンパンになりました。

③サイトオーナーにドメイン削除(リダイレクトの停止)を告知

すでにサイトを閉じてから2-3年経過していはいましたが、このままリダイレクト設定を切ってしまってもいいか、オーナに念のため確認を取りました。

④ドメインの停止

ドメイン管理は社内の別チームが担っていますので、停止を依頼しました。

過去の資料を見返したら昨年のゴールデンウイーク明けにキックオフしてからちくちくと約半年かかりました。ふぅ。

皆様の環境でも古いドメインを放置せず期限を決めてお掃除されることをお勧めします。
というか、ちゃんとやんなきゃという自戒を込めて。

※写真はガネーシュ N @大阪天満宮店

この記事が気に入ったらサポートをしてみませんか?