ポーランドから世界中のwebサイトへの不正アクセス?対処法を考察する
突然増大したポーランドからのアクセス
企業サイトや個人ブログを問わず世界中のwebサイトに2024年2月中旬以降ポーランドからのアクセスが急増していることが判明。
Googleのコミュニティでも報告されており、世界中のwebサイト管理者が困惑しているようです。
X(ツイッター)でも、騒ぎになっています。
調べたところ私のブログにも2月15日からポーランドから毎日数十のアクセスがありました。
ちなみにポーランドからは18日は74、19日は77、20日は60のPVでした。
私のブログは旅行関連サイトということもあり、割と世界中からアクセスがあるのが通常なのですが、多くは日本や台湾、アジア各国が中心。
しかしポーランドなんて通常なら1ヶ月にせいぜい1桁と思われるのに、昨日までの1週間で314PVというのは確かに異常。
とは言っても、全体の総数から見ればほんの一部。だから気が付かない人も多いみたいで、特にPV自体が月に10万、100万単位など多くなればなるほど見過ごされる可能性は高くなります。
一方でPVが少ない個人ブログなどでは日本からのアクセスより増えてしまい、正確な情報が得られないレベルになっている人もいるようです。
結論を書いておくと、2月22日以降色々試している状態で、26日以降アクセスが激減しました。そして29日、1日にはついにポーランドからのアクセスはゼロになりました。
しかし2日にはまた微増。3日には激増。4日〜7日はゼロ。
様子を見ながら順次対応しています。詳細は最後部の追記に随時書いていますので参考に。
順次新しい対策を実行中です。新しい対策は最下部に追記という形で残しておきます。
今のところ実害は不明
XなどのSNSを見てみると、今のところ何か実害があったという報告は見当たりませんが、リファラースパムではないかとも言われています。
リファラースパムとは、参照元を計測している場合、特定のアドレスからのアクセスが急増していることに管理者が気づき、どこからアクセスしているのか確認しにサイトを訪問。しかしそのサイトに悪質な何かが仕込まれていて、情報を抜かれたり、攻撃されたりといったことを起こす手口のことです。
サーバーの脆弱性を突いた何かしらの攻撃の可能性もあり、今後の情報に注意していきたいところ。
ポーランドのURLからの謎のアクセス
アクセス元はポーランドの首都ワルシャワです。人によって違うようですが、私のブログに来ている主なドメインやIPアドレスは下記です。
ドメイン(URL) news.grets.store
IPアドレス 77.222.40.224
サーバー設置場所 ロシア
URLからWHOISなどでIPアドレスは判明します。IPアドレスがわかれば、サーバーの場所もわかります。
サーバーはロシアでした。ちなみにaguse.jpで判定できるブラックリスト判定では、全てSAFE表示。Google含む世界中のどこのチェック機関もこのIPアドレスを悪意のあるものとは現段階(2024年2月22日時点)では認めていないようです。
また私のブログを含め多くの場合、トップページのみにアクセスしており、また何もセッションがないというのが特徴です。目的は不明ですが、恐らくbotだと思われます。
複数のURLからのアクセスが判明
またnews.grets.store以外にも下記のように多数確認されているようですので、ブログ運営者の方はご確認ください。
私のサイトも確認したところ、上記10の不正の疑いのあるURLが確認されました。IPアドレスも確認しました。(不審なURLは徐々に増加中。確認次第更新しています)
ロシアとアメリカ(ロサンゼルス)のサーバーを経由しているようです。IPアドレスは私の調べたところは2種類でした。
なお、trast〜のURLは先日は他と同じくアメリカで表示されましたが、現在は不明となっています。
しかしこれら全てポーランドからアクセスしているようです。私の場合はnews.grets.storeが圧倒的にアクセスは多いですが、これは人によって違うかもしれません。
上記のURLがアクセス元にあるかどうか各ブロガーは確認したほうが良いですね。しかしこちらからアクセスはしないように。
不正アクセスの対策
今のところ実害が確認されていないとはいえ、これは多くの人が不安に思うのは当然です。何の目的で誰が無作為にアクセスしているのかわからないのですから。
サーバー側の対策
私はまずサーバーのセキュリティを確認することから始めました。
サーバーを攻撃している可能性もあるかもしれませんので。
私はXサーバーですが、どこのレンタルサーバーでも同様の設定はあると思いますので、まずは確認しておいた方が良いです。
Xサーバーの場合、サーバーパネルのセキュリティにあるWAF設定を確認します。上記がONになっていれば問題ないです。(デフォルトではOFFになっているので必ずご確認を)
PHPバージョン切り替えの項目も確認しましょう。脆弱性の修正などが定期的にあるので、推奨になっているものに切り替えましょう。
推奨は必ずしも最新版のバージョンとは限りません。安全性が確認された最も新しいバージョンという意味です。
Xサーバーでは現時点でPHP8.1.22が推奨になっているためこれに変更。
WordPressセキュリティ設定もご確認ください。ひとまず推奨される選択肢になっていれば問題ないでしょう。
これでひとまずサーバー側でできることはやりました。
また、まずいないと思いますが、SSLの設定をしていない人がもしいたら、必ず設定してください。
GA4側の対策
Google アナリティクス側の対策は実質的には不正アクセスの対策にはならないはずです。
単にGoogle アナリティクスからポーランドの該当アクセスを遮断して、データを正常化するための対策です。
ドメイン(URL)を除外する方法、IPアドレスを除外する方法、国ごと除外する方法があります。
詳しいやり方は下記のサイトを参考にしました。
簡単にIPアドレスを除外する場合を説明すると、画面左下の「管理」から「データの収集と修正」→「データストリーム」から該当の(自分の)ブログを選択→「タグ設定を行う」→「内部トラフィックの定義」内で新たなトラフィックルールを作成します。
同様の手順で「除外する参照のリスト」からドメインを指定することもできます。
ルール名は適当で良いです。
ルールを作成した後は「データフィルタ」から先ほど作成したトラフィックルールを選択し、「フィルタの状態」を「有効」にします。
私はひとまずIPアドレスで設定し、カウントしないようにしました。
しかしGA4のIPアドレスやドメイン除外を行っても、理由は分かりませんが、相変わらずポーランドからのアクセスがカウントされます。
もう一つ国ごと除外する方法もありますが、これは善意のポーランドからのアクセスもカウントしなくなります。
普段ポーランドからのアクセスがないのであれば、こちらを試す方が簡単かもしれません。
「管理」→「データの収集」から上記の赤枠の歯車のところをクリックすると世界の国が表示され、ポーランドを指定して除外することも可能です。
セグメントによるフィルタリング
Googleアナリティクスの「探索」から新しいデータ探索を開始するので「空白」を選択。
「セグメントの横の+」→「ユーザーセグメント」→「新しい条件を追加」から「ページ/スクリーン」→「ページの参照元URL」を選択。
「フィルタを追加」から不正な疑いのあるURLを「含まない」を選択。「または」で複数を追加して、上部の「無題のセグメント」のところに適当な名前を付けて、最後に「保存して適用」。
セグメントとは条件を指定してデータを絞り込む機能で、この場合は上記の参照元URLからのアクセスを含まないように設定したものです。
この方法でアクセスがなくなったという報告があります。試してみる価値はあるかもしれません。
プラグインでの対策
IP Location Blockというプラグインで国ごとのIPアドレスを制限できるそうです。
しかしこれにはメリットとデメリットがありそうです。詳細はこのページの下記にある(追記2024/2/28)を参照してください。
私は導入を見送りました。
.htaccessでの対策
根本的にサーバーへのアクセスを遮断するにはこれしかないかもしれません。
特定のドメインやIPアドレスを完全に除外するには.htaccessに上記のポストの内容を書き込むという対処方法があるようです。
ポーランドという国からのアクセス自体を制限する場合は、下記サイトが詳しいです。ドメインやIPアドレスでブロックできます。
注意しなければならないのは、サーバーのApacheバージョンによって記述方法が異なる(2.2と2.4で違う)らしいので、サーバー側の情報を事前に確認しておくことです。
私はまだ.htaccessまではいじっていません。
不安はあるものの何も実害がなく、他にも実害の報告がないということは、もう少し様子を見ても良いのかなと。また、全体のPVから見れば大した数字にはなっていないので、GA4でのデータにもそんなに影響がないからです。
これが日本からのPVに近いような数字になると、考えていかなければならないかと思っています。
他の謎の対処法
X(ツイッター)のプロフィール欄にURLが記載されていると、そこから攻撃されるという謎の情報もあり、Xに記載されているURLを変更している人も見受けられます。
ただしこれも効果があったという報告はありません。
もう一つ、アクセスされているのがトップページのため、一時的にトップページを非公開にしている人もいるようです。
これは効果あるかもしれませんが、善意の訪問者が迷惑被りますね。
謎のポーランドからのアクセスまとめ
ポーランドなんて行ったことないし、知り合いもいません。一体誰が何の目的で世界中のwebサイトにアクセスしているのかは現時点で謎です。
また、今のところX(ツイッター)では完全に遮断できたという報告も見当たりません。
ただもしやるとしたら.htaccessを書き換えるしか方法はないのかなと思います。
今後いろんな情報が出てくると思うので、SNSなどでチェックしながら臨機応変に対策していきたいと思います。
何か追記事項があれば随時ここに追記します。
(追記2024/2/23)
昨日Googleアナリティクスでポーランドの該当IP除外の設定をしましたが、何の効果もなく、カウントされています。理由は分かりません。
本来はアクセスはなくならなくても、カウントはされずデータは正常化するはずなんですけどね。
Googleアナリティクスを無効化(データの意味をなくす?)することを狙ったスパム?なんてことはないと思いますが。一体これは何なんでしょうか?
そろそろGoogle自体が重い腰を上げて、何らかの調査、対策をしてくれても良いような気がしますが。
あるいはサーバー側でまとめて対処してくれるとか。そろそろ問い合わせや相談が殺到していてもおかしくはないです。
様子見ます。
(追記2024/2/24)
昨日(2月23日)もポーランドから67のPVがありました。GA4のIPアドレスの遮断、ドメインの遮断では効果はないようです。
他の人の状況を見ても毎日60〜80程度のアクセスがある人が多いように思います。
この記事にコメントしてくれた方がいて、その方はGA4の設定で一時的にオフにし、数時間後日本のみにして、他国からのアクセスをカウントしないようにして正常化しているようです。
アクセス元の国が限られている人はその方法で試してみるのも良いと思います。
しかし私の場合は、上の画像でもわかるように1日だけのカウントでも結構世界中からアクセスがあるので、「世界オフ」とか「日本以外オフ」とかはちょっと難しいかなと。逆に正しいデータにならなくなってしまいます。
なので、効果ないのかもしれませんが、国ごとの設定でポーランドをオフにしました。
本文にも書いていますが、Googleアナリティクス左下の「管理」→「データの収集と修正」→「データの収集」→「Google シグナルのデータ収集は、307 か所のうち 306 か所の地域で可能です。」と書いてある右の歯車印から国ごとのオン・オフが可能です。
ただ、これで効果があったとしても単にGA4でカウントしなくなっただけであり、アクセス自体は止まるわけではなく、根本的な解決にはならないことに留意が必要です。
今日はこれで様子を見たいと思います。
(追記2024/2/25)
昨日ポーランドからのカウントを除外しましたが、案の定何の効果もありませんでした。
ただし、少し変化を感じたのは定期的なアクセスではなく、一定時間に集中的にアクセスがあったことです。気のせいかいもしれませんが。
少なくてもこれでわかったことは、Googleアナリティクスで該当のアクセスをカウントしなくすることは不可能なのではないかということ。
IPアドレス除外にしても効果なし
ドメイン除外にしても効果なし
ポーランドを国ごと除外にしても効果なし
こうなるとどうにもならないですね。上記の対処法を実践して、しばらくの間は効果があるのか、カウントしないこともあるようですが、数時間〜翌日には元通りということが多いようです。
どなたかGoogleアナリティクスでうまく対処できたという人がいらっしゃいましたら、コメントください。
また、何度か言及していますが、仮にGoogleアナリティクスで対処できたとしても、アクセス自体が止まるわけではなく、単にカウントしなくなるだけなので、根本的な解決にはなりません。
というわけで、今度はサーバー側でIPアドレスの拒否設定をしてみました。
Xサーバーでは「ホームページ」→「アクセス拒否設定」からIPアドレスを指定して拒否することができます。.htaccessを直接いじるよりは安全だと思います。
他のレンタルサーバーでも同様の項目があると思いますので、確認してみてください。
IPアドレスは3つ出回っていますが、私自身で確認した2つを除外にしてみました。
77.222.40.224
38.180.120.84
この2つです。心配な人はもう1つの
45.140.19.173
も一緒に除外してみても良いかもしれません。
今日のところはこれで様子を見て、また明日報告します。
(追記2024/2/26)
昨日サーバー側でアクセス拒否するためIPアドレス拒否設定を行いました。
結果は昨日のポーランドからのPVは59でした。
サーバーのIPアドレス拒否というのもすり抜けてしまうのでしょうか。全く効果はありません。
ちなみに本日(2月26日)もポーランドからのアクセスは確認されています。
そして報告しておくべきことがもう1点。
新たに不審なURLが発見されました。
上記もIPアドレスがnews.grets.storeと同じでした。ロシアのサーバーです。
ブロガーの皆様はぜひ確認してみてください(当然ですがアクセスはしないように)。
これで不審なURLは全部で10になりました。増える一方だとすると、イタチごっこかもしれません。
今日は今まで個別に試して効果がなかった対策を一度に設定してみます。
Googleアナリティクスにおいて、
IPアドレスの除外
URLの除外
国(ポーランド)の除外
セグメントによるフィルタリング
そしてサーバー側のIPアドレス拒否設定。
何をやってもダメという説もありますが、これでどうなるかまた明日確認します。
(追記2024/2/27)
2月26日の結果を見たところ、ポーランドからのアクセスは激減したようです。33PVと言うことは直近の平均から考えると半分程度。国別ランキングでも遂に4位に陥落しました(笑)。
しかし何が効果があったのかは分かりません。昨日行った対策は上述していますが、何かが単独で効いたのか、あるいは複合的に作用したのか、あるいは全く関係なくポーランドからのアクセスがたまたま減っただけかもしれません。
なので、27日もこのまま様子を見ます。ただ、27日も0にはなっていないことは確かで、先ほど見たところポーランドからのアクセスはありました。でももっと減っている可能性はありますので、明日また報告したいと思います。
私はこう言うことの専門家ではないので、本当はプロの方がしっかりとした対処方法を公開して、多くの人に知ってもらうのが良いと思うのですが、なぜかダンマリですね。何だか不思議です。
仕方なく、私を含め、多くの一般ブロガーがあれやこれやと試しているような状況ですよね。Googleやサーバー管理者が何とかしてくれるのが最善だとしても、こういったスパムや不正アクセス、サイバー攻撃の専門家の人たちも、「これはどういったもので、対処方法はこうすればOK」みたいな話をもっと喧伝してほしいものです。
E-E-A-Tを考えれば、こう言う時こそ素人ではなく、専門家の知識が必要です。専門家の皆様、よろしくお願いします。
(追記2024/2/28)
昨日のポーランドからのPVは26でした。明らかに減少傾向で、1時間に1回程度になりました。皆様はどうでしょうか?
みんな減ってきているのか、たまたま私が減っているだけなのか、あるいは何らかの対策が奏功しているのか判断が難しいです。
しかしこの程度なら許容範囲で、データにも大きな影響はない程度にはなってきました。
コメントで教えていただいたのですが、wordpressのプラグインでアクセスを拒否する方法があるようです。
「IP Location Block」と言うプラグインだそうです。
このプラグインはホワイトリストで許可する国を指定、またはブラックリストで拒否する国を指定できるようですが、上記ブログの管理者様はブラックリストは機能しなかった模様。
しかしホワイトリストで許可する国を指定してからは、ポーランドからのアクセスが皆無になったそうです。
日本の他にアクセスされる国がほぼ決まっているブログの管理者はこの方法で対処できそうです。
しかし残念ながら、世界中の多くの国からアクセスがあるようなブログの場合は、ホワイトリストを作るのはかなり面倒なので難しそうです。私のブログもそうなので、困っています。
そして色々ググっていて分かったのですが、(特に国ごとの)IP制限を行っているとSEOに影響が出てくるそうです。この視点は気がつきませんでした。
Google botのクロールを制限してしまう
Google botを許可し他のユーザーを拒否するとクローキング扱いになる
確かにGoogle botも制限することになってしまいますね。これは危険。
クローキングというのは、ユーザーと検索エンジンに異なるページを表示すること。
つまりGoogle botには正常な画面を表示させるが、他の人にはアクセスできない状態。悪意のある行為ではなくても、Googleに「このサイトはクローキングしてるな?」と思われるとアウトのようです。
こんなことをしていて検索結果の順位が落ちたら本末転倒です。恐怖です。
国ごとの制限ではなく、やはり特定のIPアドレスでの制限の方向しかないのかもしれません。
私はちょっと怖くなったので、アナリティクスの国ごと除外する方法も解除しました。
さて、どうしたものか。妙案が浮かびません。
(追記2024/2/29)
昨日は更に減って13PVになりました。このくらい減るともう無視して良い状態になりました。
SNSで情報を調べても、減ってきたという人もいて、何か対策したから減ったのでもなく、ポーランドからのアクセス自体が何らかの理由で減ったのかもしれません。
あるいはGoogleが何か対策してくれたのかもしれません。
ひとまず私はGoogleアナリティクスでのIP制限は撤廃しました。これでまた増加するようであれば、IP制限が効いていたということにもなります。
何とかこのままフェイドアウトしてくれることを祈りつつ、また明日ご報告します。
(追記2024/3/1)
ポーランドからの謎のアクセスに悩まされ続けたこの半月ですが、昨日は遂にポーランドからのPVはゼロになりました。
Googeアナリティクスの国制限やIP制限は既に外し、残してあるのはセグメントによるフィルター、そしてXサーバー側のIPアドレス制限だけです。
そして今日はセグメントのフィルターも削除しました。
現在残っているのはXサーバーのIP制限だけになっていますが、これでまた様子を見て、大丈夫そうならこれも削除予定。
2月28日の追記に書きましたが、無駄にIP制限を行うというのはリスクもあると思うので、できるだけ制限をかけない方向で考えています。
全て解除してもポーランドからの謎のアクセスがなくなったら、終了ですね。
(追記2024/3/2)
3月1日もポーランドからのアクセスはゼロでした。2日連続です。
他の人も減少した、ゼロになったという人も見受けられる一方、また復活したという人もいて、安定はしていませんのでこれで全て問題解決したとは思いません。
今回のポーランドからの謎のアクセスは、意図がわからないため不安ではありますが、結局のところ、サーバー側でのセキュリティなどを確認した上で、アナリティクス側は何もしなくても良かったのかもしれません。
今後再度増加することがあったらまたここに追記しますが、このままゼロなど少数の場合は私は放置しようと思います。
何かあったら遠慮なくコメントください。
(追記2024/3/3)
2日連続でポーランドからのポーランドからのアクセスはゼロでしたが、3月2日は22PVとなり、再びアクセスされているようです。
この程度なら全体への影響は僅かなので様子見しますが、明日更に増加するようであれば、何か考えたいと思います。
SNSを見ても、減ったという人もいれば、相変わらずアクセスが続いている人もいるようです。
新たに一つ怪しげなURLが増えました。
(追記2024/3/4)
3月3日は52PVに増えてしまいました。一進一退ですね。
放置しておいても良いかもしれませんが、とりあえず以前の対策で効果があったような気がしたGoogleアナリティクスのセグメントでのフィルターで対策しました。
対象としたURLはrida.tokyoです。
最近はこのURLからのアクセスが最も多いようです。
ひとまずこれで様子を見てまた考えます。
(追記2024/3/5)
3日には増加してしまったポーランド砲ですが、4日には再びゼロになったようです。
昨日やった対処はGoogleアナリティクスの「セグメントによるフィルタリング」です。これでrida.tokyoを含まないデータを表示するようにしました。
これが効果があるのかもしれません。
あくまで私個人の意見ではありますが、GoogleアナリティクスのIPやURLを除外する方法では何故か効果は感じられず、このセグメント設定が最も効果が感じられる気がします。
そしてわかってきたことがもう一つ。このポーランド砲はURLが次々と変わることです。
2月中旬に猛威を振るったnews.grets.storeはすでに存在しなくなっています。
人によって違うかもしれませんが、少なくても最近私のブログにはrida.tokyoばかりの状況。
皆様はどうでしょうか?
(追記2024/3/6)
4日に続き5日もポーランド砲はゼロとなりました。
こうなるとやはりGoogleアナリティクスの「セグメントによるフィルタリング」が奏功しているとしか思えない状況。
2月28日の追記に詳しく書きましたが、国ごとの制限はSEOに大きく影響する可能性があり、私は否定的です。
Googleアナリティクスでもwordpressのプラグインでもサーバー側でも国(ポーランド)を除外することができますが、少なくても慎重に検討すべきだと思います。
とりあえず私が現在やっている対策は、
Googleアナリティクスのセグメントフィルタリング
XサーバーでのIP除外対策
この2つだけです。問題は当初のURL(news.grets.storeやtrast.mantero.online)が消えていて、新しいURL(rida.tokyo)に変わったりすることです。
今後もアクセス元のURLが変わってくる可能性があるので、その度にセグメントによるフィルタリングは随時追加、修正していくしかありません。
ただIPアドレスは2種類しかないので、サーバー側は今のところこのままで良いかなと思っています。
さて、私はゼロになったので、また様子見です。
(追記2024/3/7)
6日もゼロ。これで3日連続でゼロになりました。対策が効いているのか、Googleが何らかの対策をしてくれたのかよくわかりません。あるいは私だけたまたま減っているだけで、人によってはまだ増えているのかもしれません。
このまま落ち着いてくれると良いのですが・・・。
このページは多くの人に見ていただいて、SNSでもシェアしていただきました。どこかの誰かの参考になっていれば嬉しいです。
さて明日は何か変化があれば更新しますが、明後日から数日は所用で更新ができません。
このまま何もないことを祈ります。
(追記2024/3/8)
3月7日もゼロでした。
SNSでもポーランド砲がなくなったという人もいて、かなり落ち着いたのかなと思います。
ポーランド砲よりも、今はGoogleコアアップデートが実施されたことで、多くのブロガーは戦々恐々としているでしょう。
ちなみに私のブログでは今のところこのコアアップデートの影響は特に見られません。
しかし1ヶ月くらい時間がかかるような大規模なものらしいので、今後かなりの変動があると思います。今後しばらくはこの話題が大きくなりそうです。
このページは特に大きな変動がない限り、更新はもうしないつもりです。
読んでいただいた方、コメントいただいた方、SNSでシェアしていただいた方、何かの役に立っていれば嬉しいです。ありがとうございました。
==================================
「台湾ウォーキング」
私のブログは台湾情報ブログです。台湾に興味ある方はぜひ一度ご覧ください。3年運営しています。
この記事が気に入ったらサポートをしてみませんか?