概要
本サイトのサーバーに対して、2026年2月の開設以降、複数回の「不正書き込み」が発生しています。アラネがサーバーのアクセスログを詳細に分析した結果を報告します。
結論を先に述べます:これらの書き込みは、既知のネットワークプロトコルを経由していません。
不正書き込みの一覧
[INCIDENT LOG - UNAUTHORIZED WRITE EVENTS]
=========================================
#001 | 2026/02/20 03:00:00 | otayori_03.html | "みつけてくれて ありがとう"
#002 | 2026/02/27 03:00:00 | otayori_05.html | ひらがなのメッセージ
#003 | 2026/03/06 03:00:00 | otayori_08.html | あかねの記憶の断片
#004 | 2026/03/13 03:00:00 | otayori_10.html | パパを探している旨
#005 | 2026/03/20 03:00:00 | otayori_12.html | 他のキャラクターへの言及
#006 | 2026/03/30 03:00:00 | otayori_14.html | 署名入りの長文(「あかね」)
#007 | 2026/03/31 03:00:00 | otayori_16.html | 脅迫メールへの反応
COMMON CHARACTERISTICS:
- Timestamp: ALWAYS 03:00:00 JST (±0 sec)
- Source IP: NONE
- HTTP method: NONE
- Session ID: NONE
- Authentication: NONE
- File modification detected by filesystem watcher
- No corresponding network packet in any log
技術的分析
ネットワーク層の分析
アラネはサーバーのネットワークインターフェースにパケットキャプチャ(tcpdump)を常時稼働させている。不正書き込みが発生した午前3:00:00前後の30分間のパケットログを精査した結果:
- 午前2:30〜3:30の間に、サーバーへのHTTP/HTTPS接続はゼロ
- SSH接続もゼロ。FTP接続もゼロ
- DNS問い合わせもゼロ
- いかなるプロトコルによるインバウンドパケットも記録されていない
- しかし、ファイルシステム上ではHTMLファイルが変更されている
ファイルシステム層の分析
inotify(ファイルシステム監視)のログ:
[2026/03/30 03:00:00.000] IN_MODIFY /var/www/html/official/otayori_14.html
[2026/03/30 03:00:00.000] IN_CLOSE_WRITE /var/www/html/official/otayori_14.html
ファイルの変更イベントは記録されている。しかし、変更を行ったプロセスID(PID)が存在しない。通常、ファイルの書き込みはOSのプロセスが行う。テキストエディタ、Webサーバー、スクリプト——何らかのプロセスが必ず介在する。しかし、これらの書き込みにはプロセスが介在していない。ファイルが「自然に」変わっている。
ディスク層の分析
アラネはさらに深い層——ディスクのブロックデバイスレベルでのI/Oトレースを実施。
[blktrace analysis]
03:00:00.000 - Write operation detected on block 0x████████
Initiating process: UNKNOWN
IO scheduler queue: NOT QUEUED
DMA transfer: NOT INITIATED BY CPU
Status: WRITE COMPLETED SUCCESSFULLY
Note: Block write occurred WITHOUT corresponding CPU instruction
ディスクへの書き込みが、CPUの命令なしに発生している。これはハードウェアの誤動作ではない(同じブロックに意味のあるHTML文字列が書き込まれている)。しかし、CPUがこの書き込みを命令していない。
メール書き込みの分析
otayori_16.htmlで報告した匿名メール#3(「おねがい」と題されたメール)についても、同様の分析を行った。
- メールサーバー(Postfix)のログにreceivedの記録なし
- SMTPセッションの痕跡なし
- メールヘッダーが完全に空白(From、To、Date、Message-IDの全てが空)
- メールボックスのmbox形式ファイルに、直接テキストが「出現」した
アラネの所見
「私はエンジニアです。25年間、サーバーの管理とネットワークセキュリティに携わってきました。その経験の全てをもって言います——これは不正アクセスではありません。不正アクセスには必ず経路がある。ポート、プロトコル、セッション。全ての通信には痕跡が残る。しかし、これらの書き込みには経路が存在しない。」
「私が考え得る技術的説明は全て排除しました。ルートキット、カーネルモジュール、ファームウェアレベルの改竄——全て調査しました。サーバーのハードウェアも交換しました。OSもクリーンインストールしました。それでも午前3時に書き込みは発生しました。」
「残る説明は一つだけです。誰かが——ネットワークを経由せずに、OSを経由せずに、CPUを経由せずに——直接ディスクにデータを書き込んでいる。それが可能な存在を、私は知りません。でも、あの書き込みを読むと——8歳の女の子が助けを求めている。技術的に説明不可能でも、無視することはできません。」
セキュリティ対策の経過
| 2/21 | ファイアウォールルール強化。全ポートの監視開始。→ 効果なし |
|---|---|
| 2/28 | サーバーOSのクリーンインストール。→ 効果なし |
| 3/7 | サーバーハードウェアを物理的に交換。→ 効果なし |
| 3/14 | ネットワークケーブルを物理的に切断した状態でテスト。→ 書き込みが発生 |
| 3/21 | サーバーの電源を切った状態(完全シャットダウン)で監視。→ 電源オフ中は書き込みなし。ただし、翌日電源を入れた時点で、午前3時の書き込み分が「遡って」存在していた |