Arachmo(あらくも)は「Webサイトダウンロードソフト」に見せかけたWebサーバー攻撃ツール。誰でも入手でき、誰でも使えるのが非常にやっかい。

ある日突然、無差別攻撃がやって来ます

Arachmoによるサーバーエラー
▲クリックで拡大(当サイトのサーバーログの一部)
Arachmoを使って当サイトに3秒アクセスされただけでこの有様。
黄色い部分がサーバーエラーです。3秒間で20回のサーバーエラー。これが数分続くと大変な事になります。

このページは

このページはWeb利用者のマナー向上と、
サイト運営者をArachmo攻撃から守る為に書かれています。

Arachmo(あらくも)の概要は前ページ「Arachmoの設定・使い方」にて解説しています。

このサイトはArachmo禁止にしました。

定期的に発生するサーバーの能力低下、Web表示速度低下、503エラーの発生は、複数の閲覧者がArachmoを利用してこのページの情報を取得している事が原因と判明。
(同じIPアドレスで閲覧する別ユーザーがいる可能性もあるので、今回IP制限は見送りました。)

ちなみに私は巡回ツール・ダウンロードツールそのものを否定している訳ではありません。
GetHTMLWeboxなどの利用は(マナーを守っている限り)引き続きOKです。
ローカル閲覧したい方はArachmo以外のツールをご利用下さい。

Dos攻撃と変わらないようなアクセスをするツールや利用者はアクセス禁止にします。

Arachmoのアクセスを制限しよう

最近のArachmo利用者は、YahooやGoogleの検索結果から絨毯爆撃をしてくる事が多いです。

利用者のIPはバラバラ。どうやら安易なスパムサイト作成方法を誰かが公開し、それに利用されていると思われます。

という訳でIPでの制限は非生産的。
初心者が多そうなので、UA変更してない事が多い。UAで制限するのが一番。
(UA変更して来たら、IPで制限するしかない)

スポンサー リンク

.htaccessでArachmoを禁止にする方法

本当に、ある日突然やって来ます。
未然に被害を防ぎましょう。

Arachmoを利用した場合、アクセスログのUA(ユーザーエージェント)には以下のデータが残される。
  "Mozilla/4.0 (compatible; Arachmo)"
これを元にアクセスを弾きます。

.htaccessに以下の記述を追加。

SetEnvIf User-Agent "Arachmo" deny_ua
order allow,deny
allow from all
deny from env=deny_ua

攻撃者が特定個人の場合なら、IPで制限してもOK。

爆撃を撃ち返すオウム返しという手法もあるので、これを応用しても良いかもしれない。

サイトにphpを利用している場合は、以下でも可。

<?php
$link = "Location: http://~~~~~"; 
$ua = $_SERVER["HTTP_USER_AGENT"];
if(ereg("Arachmo",$ua)){
header($link);exit;
}
 ?>

青字の部分に飛ばしたいリンク先(外部サイトを記入すると自身も攻撃者になるので注意)
赤字の部分にUAに含まれる特定文字列(今回の場合「Arachmo」)を書き込み、Webページの一番上に挿入しておきます。

ただし、Arachmoは画像ファイル、動画ファイル等々を指定して収集する事も可能なので、その場合はphpの記載は無意味。またサーバーの許容量を超えてアクセスしてくる場合も、phpがエラーを吐くので無意味。

無料ブログを利用している場合

ArachmoはJavaScript内のURLまで追跡する。
以下のスクリプトで対処出来るかもしれない。(ブラウザじゃないので多分無理)

<scripttype="text/javascript"><!--
var ua = navigator.userAgent;
if((ua.indexOf("Arachmo")!=-1)){
setTimeout("link()", 0);
function link(){location.href='http://~~~~';}
}
// --></script>
 ▲HTMLの出来るだけ上部に設置する。
  青字部分は任意だが、他サイトを攻撃しないよう配慮する事。

またCookie を許可しない設定のツールを弾くようにしても無理。ArachmoはCookieを取得し、Webページを取得してくる。

残念ながら.htaccessを使えない場合は、私には有効な解決方法がわかりません。
Botの訪問も発見できるアクセス解析を導入し、不穏なアクセスを見つけたらサーバー管理者に相談してみるのが一番かも。

Arachmoについて知る

ヘルプページ
http://bbbearchan.hp.infoseek.co.jp/cgi-bin/page.cgi?src=Manual.html#top
更新履歴
http://bbbearchan.hp.infoseek.co.jp/cgi-bin/page.cgi?src=BugFix.html#top

上記内容をよく読めば、さらなる対策が打てるかも知れない。
300番台のメッセージを返すと、追撃は100回で止まるらしい。
Arachmo対策にリダイレクトのループを仕込んでも良いかもしれない。


クレームを出すには

Arachmoによりサーバーに被害または迷惑を被った場合、以下から苦情を出すことが可能です。

https://sw.vector.co.jp/forauth/request.reqform
▲上記からクレームする事が可能。同ツールは、なんとVectorにも登録されています。
該当ツールのURLは http://www.vector.co.jp/soft/win95/net/se309535.html

ツール自体は、Infoseekの無料ページで公開されています。
http://portal.faq.rakuten.co.jp/cgi-bin/rakuten_portal.cfg/php/enduser/std_adp.php?p_faqid=8831&p_created=1227703661&p_sid=efVatiSj&p_accessibility=0&p_redirect=&p_lva=&p_sp=cF9zcmNoPTEmcF9zb3J0X2J5PSZwX2dyaWRzb3J0PSZwX3Jvd19jbnQ9NCw0JnBfcHJvZHM9JnBfY2F0cz0xNDcxLDMxNzYsMzE4MSZwX3B2PSZwX2N2PTMuMzE4MSZwX3BhZ2U9MQ&p_li=&cat_lvl1=1471&cat_lvl2=3176&cat_lvl3=3181
▲infoseekのお問い合わせページ
ここから「解決しないので問い合わせる」をクリックし、メールフォームに進む。

直接飛べない場合は、
楽天ヘルプトップ  >  インフォシークヘルプ >  iswebの開くボタン > コンテンツの内容に関するトラブルについて をクリック。 
問題のページは http://bbbearchan.hp.infoseek.co.jp/

ちなみにinfoseekのisweb規約違反に「他人に迷惑を与えるプログラムの配布を禁止する」などという項目が無いので、「苦情」という形でお願いするしかない。

しかし何年も前から公開され、いまだにWeb上に残っているという事は、クレームを出した位じゃ公開停止にならないだろう。自衛するのが一番。

そしてArachmoでVectorやinfoseekを攻撃するのはミイラとりがミイラになるのと同じなので、絶対やってはいけない。

あとがき

Arachmoをダウンロードし、実際に使ってみればもっと有効な対策が考えられるかもしれないけど、それすら躊躇われるツール。

被害が拡大するようなら、実際に利用してみてもっと効果的な対策を考えようと思う。


このページの情報は2010年1月19日のものです。
Arachmoが同時接続数4以下、ファイル取得のウェイトが1秒以上 程度に改善されれば、このページの内容は変更、アクセス制限も解除するつもりです。