Webサーバ管理者を悩ませる不正アクセス。これが「常習者か」を見極めるために有用なサイトと、その使い方を説明します。
そもそも論として「攻撃者は常習性があるか?」
これは明確に、明白にYESと大文字で答えます。彼らは無差別に、利用できるサーバを機械的に(または悪意を持って)攻撃します。
そのような攻撃者のアクセス元をユーザーの善意の報告の元でDB化しているサイトが本稿で紹介するAbuseIPDB.comです。
AbuseIPDB.comとは
AbuseIPDBは、悪意のあるIPアドレスを報告・検索できるサービスで、サイバー攻撃対策に活用されます。IPの信頼性を確認したり、APIで自動分析も可能です。(この自動分析は筆者は利用経験無し)
主に以下のような用途で利用されます。
- IPアドレスの信頼性確認:検索ボックスにIPを入力すると、過去の報告履歴や「Abuse Confidence Score(悪用の可能性)」が表示されます。
- 不審なIPの報告:攻撃やスパムを検知した際に、行動の種類(例:SSH brute-force、DDoS)を指定して報告できます。
- APIによる自動化:無料アカウントを作成すれば、APIキーを取得してスクリプトやセキュリティツール(例:Fail2Ban)と連携可能なようですが、筆者は未実施。
AbuseIPDB.com レポートサンプル
では、実際に上記のWebサイトを見てみましょう。
にアクセスします。
そして、エラーログなどから攻撃の兆候があったIPアドレスを入力します。
その結果はこちらです。(IPアドレスや報告者はダミーデータ。そして、レポートは日本語にしています)
IPアドレス 198.51.100.123 はAbuseIPDBのデータベースに登録されていました!
このIPアドレスは 10,751回 報告されています。不正利用の信頼スコアは 100% です。
- 不正利用の信頼スコア: 100%
- ISP: Example Hosting Ltd.
- 用途: データセンター/Webホスティング
- ASN: AS65500
- ホスト名:
scan-server-01.example.com - ドメイン名:
examplehosting.com - 国: some country
- 都市: some city
最近の不正利用レポート (一部抜粋)
| 報告者 (国籍) | タイムスタンプ (UTC) | 内容 | カテゴリ |
|---|---|---|---|
| 🇫🇷 Reporter Alpha | 2025-10-23 01:16:03 | Firewall blocked port scan attempt [src port: 44256, dst port: 267] | ポートスキャン |
| 🇬🇧 User Bravo | 2025-10-23 00:36:43 | SSH login attempt failed. | ブルートフォース, SSH |
| 🇩🇪 Security Team C | 2025-10-22 22:49:36 | FW-PortScan: Traffic Blocked srcport=43104 dstport=22 | ポートスキャン, ハッキング, SSH |
| 🇺🇸 Monitor Delta | 2025-10-22 21:46:12 | Connection attempt to tcp/7707 | ポートスキャン |
| 🇺🇸 Honeypot Echo | 2025-10-22 20:02:02 | Unauthorized activity to TCP port 25. | ポートスキャン |
| 🇺🇸 Monitor Foxtrot | 2025-10-22 16:28:59 | Connection attempt to tcp/25 | ポートスキャン |
ここから分かること
- あなたのサーバに攻撃した奴は、他のサーバにも万単位で攻撃しているパターンが極めて高い。
- あなたのサーバに問題があるのではなく、あなたのサーバに問題があることを期待しての不正アクセスを試行する輩の問題である。
従って:これらのIPアドレスをブロックすることに遠慮も躊躇も必要ありません。彼らは閲覧者では断じてありません。単なる攻撃者です。
攻撃者には
- 交渉の余地を与えない
- 「攻撃が有効である」という成功体験を与えてはなりません。そして、一度でも要求を呑めば更なる被害を生みます。
- 聞く耳を持たない
- 上記に同じです。「騒げば主張を聞いてもらえる」などという考えは許されません。
- 名前を与えない
- 攻撃者は見返り以上に「この騒ぎを起こした」という一種の名誉を求めます。その名誉となる名前は剥奪します。
の三原則の元、iptables(ufw) や筆者が前述したblacklistなどに放り込みましょう。
まとめ
このようにAbuseIPDBを確認することで、特定のIPアドレスがどのような不正行為を行っているか、世界中のユーザーからの報告を通じて把握することができます。
信頼スコアや報告回数、ISP、国などの情報から、そのIPアドレスをブロックすべきかどうかを判断する重要な材料になります。
不正アクセスは確かに脅威ですが、こちらのAbusedIPDBのような善意の協力者がいるという強みがあります。
これらを利用・貢献するというのも、自身が管理するWebサーバを攻撃から守る手段の一つです。