アクセスログからわかること　（d02）

　【１】　アクセスログからわかること　　戻る

　　　　　　　自分のサーバーやサイトを持つと知りたくなるのが、どのような人が
　　　　　　アクセスしているのかでしょう。アクセスログ（記録）を取る方法はいく
　　　　　　つかあります。ホームページを置いてあるプロバイダがサービスとして
　　　　　　提供してくれるもの、自分でＣＧＩプログラムを設置する場合。ホーム
　　　　　　ページ以外でも、ＢＢＳ（掲示板）やチャット画面でそれを表示してくれ
　　　　　　る場合もあります。このアクセスログからどんなことがわかるでしょうか。
　　　　　　　参考までに、当ｍｏｋｉｃｈｉ．ｃｏｍへのアクセスログを見てみましょう。

【１】	サーバーへのアクセス
【２】	ページへのアクセス
【３】	ＢＢＳやチャットへのアクセス
【４】	調べられる情報

　【１】　サーバーへのアクセス　　

　ppp00.north-wind.ne.jp - - [29/Sep/1998:00:27:16 +0900] "GET / HTTP/1.0" 304 -
　ppp00.north-wind.ne.jp - - [29/Sep/1998:00:27:20 +0900] "GET /nami.gif HTTP/1.0" 304 -
　ppp00.north-wind.ne.jp - - [29/Sep/1998:00:27:21 +0900] "GET /shadow.gif HTTP/1.0" 304 -
　ppp00.north-wind.ne.jp - - [29/Sep/1998:00:27:21 +0900] "GET /profile.gif HTTP/1.0" 304 -
　ppp00.north-wind.ne.jp - - [29/Sep/1998:00:27:21 +0900] "GET /bbs.gif HTTP/1.0" 304 -
　ppp00.north-wind.ne.jp - - [29/Sep/1998:00:27:22 +0900] "GET /friends.gif HTTP/1.0" 304 -　
　ppp00.north-wind.ne.jp - - [29/Sep/1998:00:27:22 +0900] "GET /topics.gif HTTP/1.0" 304 -

　　　　　ppp00.north-wind.ne.jp　　　　　私の接続したプロバイダです。
　　　　 [29/Sep/1998:00:27:16 +0900]　１９９８年９月２９日００時２７分１６秒に記録されました。
　　　　 "GET / HTTP/1.0" 304 -　　　　　アクセスしてからの動作が記録されています。

　　　　　　　このような形で、アクセスした者の行った動作全てが記録されています。
　　　　　　　トップページへのアクセスであれば、そこにあるページ、張り付けられ
　　　　　　ている画像、カウンターＣＧＩプログラムの作動など、全てですから、アク
　　　　　　セスログは膨大なデータとなっていきます。実際、１９９７年６月の私の
　　　　　　サーバー開設から９月末までの約７０日間だけで、２５ＭＢ以上のデータ
　　　　　　となっていました。
　　　　　　　ここからわかるのは、「どこのプロバイダから来たか」「何をしていったか」
　　　　　　の二点となります。例えば、「ありえないはずの（作った覚えのない）ディレ
　　　　　　クトリで作業している」などということが記録されていれば、不正アクセス、
　　　　　　ということになるでしょうか。
　　　　　　　私のサイトでは、サーバーへのアクセス状況を知るためのページが用
　　　　　　意されています。これは、専用ソフトを使用してより詳細に分析し、グラフ
　　　　　　表示をしたものです。
　　　　　　　mokｉｃｈｉ．ｃｏｍへのアクセス・ログ参照ページ　 →

　【２】　ページへのアクセス

　　　　　　　ＣＧＩプログラム等を利用して、それぞれのホームページへのアクセス
　　　　　　状況を記録することもできます。私は一時期、Ｊａｖａを使ったプログラムを
　　　　　　トップページに貼りつけていました。これは、アクセスして来た人の情報を
　　　　　　メールで通知してくれるという大変便利なものなのですが、一週間で千通
　　　　　　を越すメールが届いたことがあり（笑）、現在は廃止しています。このプロ
　　　　　　グラムはとてもよくできていて、正直、驚きました。

　　　　　　　　　　　　※　このようなメールが届きます。

Subject:ns0.harenet.or.jp.harenet.or.jp (kias01ppp056.harenet.or.jp)
Date:Fri, 14 Aug 1998 19:39:25 +0900 (JST)
power V checker ver1.01
Comp Name   = ns0.harenet.or.jp.harenet.or.jp
Domain      = kias01ppp056.harenet.or.jp
IP Address  = 210.167.65.63
URL         = http://www.mokichi.com/
Link From   = http://members.xoom.com/Panasonic/titanium/
Browser     = Netscape 2.01I [ja] (Win95; I)
Visited     = mokichi first
1st Visit   = 1998/8/13  [Thu]  19:38
Last Visit  = 1998/8/13  [Thu]  19:38
This Visit  = 1998/8/13  [Thu]  19:38
-------------------------------------------------
             Visitor Checker Ver 3.02
       Copyright(c)1996,1997 by Daiji Sanai
-------------------------------------------------

　　　　　　接続プロバイダ名、ＩＰアドレス、どこのリンクから来たか、使用ブラウザ、
　　　　　訪問回数と、知りうる全ての情報が含まれているのです。セキュリティを
　　　　　考える上で、これほど有効なツールはないでしょう。ただ、Ｊａｖａを起動
　　　　　する際に時間がかかるので、トラップとしての用途は考え難いのですが。
　　　　　　このプログラムを公開しているサイトを紹介しておきます。
　　　　　　　Ｈａｃｋ　Ａｎｏｎｙｍ　へのアクセス　 →

　【３】　ＢＢＳやチャットへのアクセス

　　　　　　　ＣＧＩプログラムを利用したＢＢＳ（掲示板）やチャットでも、ある程度で
　　　　　　あるならば、アクセスの状況を知ることが可能です。たとえば、こんな
　　　　　　ＢＢＳの画面があります。

　　　　　　投稿者名の後にあるのが、接続しているプロバイダ名です。ここで注意
　　　　　すべきこと！ｇｏｏなどのロボット型検索エンジンは、指定されたキーワード
　　　　　を無作為に抽出してきます。従って、たとえ身内のＢＢＳであっても、その
　　　　　記録が残っている限り、は自分の本名や生メールアドレスが漏れてしまう
　　　　　ことがありえるのです。実際、管理者が投げ出してしまったＢＢＳに、しばら
　　　　　くの間、私の本名とメールアドレスが記載されたままで、ｇｏｏで検索されて
　　　　　しまったことがあり、後日、サーバー管理者の方が削除してくだったことが
　　　　　ありました。
　　　　　　思い当たることのある方、試しにｇｏｏで検索してみては如何でしょう。

　【４】　調べられる情報

　　　　　　　何らかの方法でアクセスログなどを入手したら、これを分析し、ある程度
　　　　　　までならトレースすることができます。ただし、すぐ限界になってしまうことは
　　　　　　否めませんが。ここでは、実際に私の友人が逢ったＢＢＳ「荒らし」を例に
　　　　　　取って説明を続けます。もうひとつブラウザのウィンドウを開いて、実際に
　　　　　　たどってみて下さい。

　　　　　　　ターゲットは、ＢＢＳのログに残っていた
　　　　　　　「　ｓｔａｒｄｕｓｔ．ｓｈｏｎａｎ．ａｃ．ｊｐ　」です。

　　　　　「　．ｊｐ　」　国内からのアクセスです。ドメインの末尾は、国名を表します。
　　　　　　　　　　　　（例、　ｄｅ：ドイツ　ｉｔ：イタリア　ｕｋ：イギリス　ａｕ：オーストラリア）
　　　　　　　　　　　国別のドメインを調べる　→

　　　　　「　．ａｃ　」　　　　　サーバーを擁する教育機関であることを示しています。
　　　　　「　．ｓｈｏｎａｎ　」　サーバー名称です。会社や地域名であることが多いです。
　　　　　ここで、「　．ｓｈｏｎａｎ．ａｃ．ｊｐ　」までを検索してみましょう。
　　　　　　　　　　　ゲートウェイ検索その１（国内）　 →

　　　　　ここでは「　．ａｃ．ｊｐ　」は検索できないようです。さらに広域な検索をします。
　　　　　　　　　　　ゲートウェイ検索その２（国内）　 →

　　　　　　「　ｓｈｏｎａｎ．ａｃ．ｊｐ　」と入力してみてください。
　　　　　　これで、アクセスした人物の使用したサーバーを擁する機関と、
　　　　　その連絡担当者が判明しました。ここに連絡をとれば、該当する時間に
　　　　　サーバーに接続していた端末もわかるはずです。最も、そのサーバーを
　　　　　プロキシサーバー（【３】匿名でアクセスしたい、を参照のこと）として使用
　　　　　していた場合にはここまでのトレースしかできないわけですが。
　　　　　　民間プロバイダでは個人情報の保護のためもあって、問い合わせには
　　　　　応じてもらえないらしいですが、あまりにも悪質な悪戯によって大きな被害
　　　　　を被った場合は、該当プロバイダや当局への連絡もやむを得ないでしょう。
　　　　　　　　　　　ゲートウェイ検索その３（国外）　 →

　　　　　　ターゲットが「．ｏｒ．ｊｐ」のようなドメイン、ホスト名ではなく、ＩＰアドレスの
　　　　　場合でも調べることは可能ですが、これは「支流」ではなく「本流」にヒット
　　　　　することが多いです。
　　　　　　　　　　　ＤＮＳ（ＩＰアドレス）検索　→

　　　　　　　　後述する「【４】ハッキング・ツールとよばれるモノ」では、
　　　　　　便利なツールを紹介したいと考えています。

　　戻る