piu lentoの日々 (piu lento days)

うまく行かなかった話なので簡単に書きたい(でも長くなったｗ)。

前回などに書いた、嫌なボット、邪悪な企業、不正アクセスのブロックや、以前書いた(初歩的な)国際化の作業をしていて、再び、このブログのアクセス解析(例: どのページが人気あるか、どの地域からアクセスされるか)をしたくなった。

実際、何かをした効果を知るために測定することは重要だ。

ちなみに、プラグインの評価のために、WP Staticticsを短期間使って調べたところでは、以前試した時と同様にMusicBee関連ページへのアクセスが最も多かった。アクセス元は、当然ながら国内が最も多く、次は中国だった。また、アクセス頻度は少なく、訪問者(ユニークIPアドレス)数は1日100件前後、アクセスページ数は1日200件前後だった(どちらもボットを除く)。

数年前にSlimstat Analyticsなど試したが、機能や出来が今一つだったのと、解析することに大きな意味がない※と思って止めたため、今回も同じような結果になりそうだと思いつつも始めたが、やっぱり駄目だった。

※「エゴサーチ」に近いものがあると思っている。熱中したり一喜一憂すると、良いことはない。そして、アクセス数が多くなるような稿を書くのが目的でなく、書いたものが結果的にアクセスが多くなれば良しだ。

そもそも、良い(僕の用途・要望に合う)アクセス解析プラグインがなかった。(プラグインではないが)Google Analyticsも含めて いろいろ検討したが、どれも以下の問題があって今一つだった。

• アクセスを捕捉できない。
  • 正しく or 全く捕捉できない。
• 機能が不足している・貧弱。
• 問題・不具合が多い。
• 無料でない/有料サービスに誘導する。

それでも いろいろ探して以下を試してみたが、ボロボロだった。それらの重要な問題を書く。

• WP Statictics: アクセス捕捉のために訪問者のブラウザからREST APIにアクセスさせるのは、現在の一般的なセキュリティの認識からは不適切で常識に欠ける。
  • 近頃の更新でREST API(wp-json)にアクセスさせるようになったようだ。
    • 変更履歴にサラッと書いてあったが、もっとちゃんと説明すべきだと思う。このプラグインは そういう説明不足な点が多い。
  • WPのセキュリティ面での弱点になるため、ログインユーザ以外からのREST APIをブロックするセキュリティプラグインがある。それを有効にしている場合はアクセスを集計できない。
  • そもそも、後述のadmin-ajaxも含め、多くの弱点を作り出しているWPが悪いのだが、今は置いておく。
• Slimstat Analytics(以下、Slimstat): (まともに使えるようにするための)設定に手間が掛かり過ぎるうえに、問題・欠点・我慢すべきことが多過ぎて、使う気が失せる。
  • IPv6アドレス(範囲)での除外ができない。
    • 以前使った時はIPv4アドレスでの除外処理に不具合があって、修正案を連絡したものの随分長く放置された(どうも、作者が(メンタル面で)調子悪かったようだ)。
  • 余りにも問題が多い。最初は連絡して直してもらおうと思って居たが、多過ぎる!: 以下に例を挙げる。
    • リダイレクト(HTTP 301)を除外できないため、アクセス数が重複してカウントされてしまう。
      • このブログは、現在の一般的な規範?に従い、HTTPをHTTPSに自動リダイレクトしている。
    • ブラウザのad-blockerを解除しないと、管理画面が ちゃんと出ない。
      • 変なサイトから部品を取り込んでいるのだろうか?
    • トラッカーをクライアント(JavaScript(以下、JS)でアクセスを捕捉する)にすると、最近のブラウザ・サーバのプライバシー・セキュリティ強化(例: トラッキング拒否, CSP)のため、アクセスを捕捉できない場合が多い。
      • 特に、Edgeは ほとんど駄目だった。
    • グラフの日付の処理が まともにできていない(これで使う気がなくなった!)。: 過去1か月や1週間の表示の時に、表示期間全部のデータがない場合に期間の頭からグラフを描くので、日がズレる。
      • 以前使った時もそうだった気がする。

      • 

        WP Slimstatのグラフの処理がおかしい例: 5/24から過去1か月の表示が4/27からになっている。 (使用開始は5/23)

  • 機能は多いが、それらの詰めが甘い。
  • アクセスを捕捉するために、訪問者のブラウザからadmin-ajaxにアクセスさせる。
    • REST APIと同様にセキュリティ的に不安がある。
      • ただ、簡単に塞ぐことができないし、塞ぐことは一般的でないので、仕方ない。
• Koko Analytics: ちゃんと集計できない。機能が少な過ぎる。
  • ちゃんと集計できないのはWP Staticticsと同じ原因(REST API)だろうか?
  • IPアドレスでの除外設定ができない。
  • アクセス元の地域を調べられない。
• (プラグインではないが)Google Analytics (以下、GA)
  • プラグインが全滅だったので、手軽に ちゃんと動きそうなので試した。
  • ところが、最近のブラウザ・サーバのプライバシー・セキュリティ強化(上を参照)のために、アクセス捕捉用のJSが実行できず、アクセスを全く捕捉できなかった。
    • 上記のSlimstatよりひどく、僕が主に使っているVivaldiとFirefox(どちらもプライバシー設定を一番厳密にしている)ではJSが実行できないために、全く捕捉できなかった。
    • 他の訪問者からのアクセスも、全く捕捉しなかった。
    • 捕捉用JSをローカルに持って来て使っている方が居るようだが、見てみると、(どんな複雑なことをしているのか分からないが、)異常にサイズが大きく、難読化されていて論外なので、全くその気が起こらなかった。

使えるものが何もなくなったので、自分でサーバのアクセスログから集計するプログラムを作るほうが良さそうだと思った＊ものの、それも大変なので、ログを集計するソフト※を探して使うのが良さそうだという結論になった。

＊サーバのログにはアクセス履歴が全部あるのだから、それを使えばサイトやページを変更することなく解析できるし、嫌われている・問題になっているユーザのトラッキングを しなくて済む。

ただ、サーバのログを集計するのは問題でないのかは不明だ。: 例えば、GDPR的には どうなんだろうか?: まあ、自サイトだけの集計は「トラッキング」(追跡: 他サイトへのアクセスも含めて調査することを指すと思われる)とは言わなさそうではある。

※探したらいくつかあったが、まあ、やる気が継続していたら試すことにする。

おまけ: Internet Archiveの謎

アクセスログのチェックやアクセス解析をしていて不思議に思ったのは、Internet Archive (Wayback Machine)は一体どうやってページを収集しているのかということだ。

というのは、先月以降のログを検索しても、それらのUAが全く出て来なかったからだ。※ とすると、以前書いた邪悪な企業と同様に、「あらゆる手段」＊で収集しているとしか思えない。: 調べると、公式ページにはアクセス元を識別するための情報は見付からなかった(UAは あったかも知れない)し、他者の情報によれば、UAやドメインは複数あるし、IPアドレスは随時変化するらしいからだ。

※更に、Wayback Machineの このブログの最終収集日(5/6)に サーバにアクセスはなかった。

＊他の団体からの情報提供も受けているのかも知れない。

いかにもUS的な、「正しいことは何でも独断で やって良い」みたいな思想なのだろうか。それで嫌ってブロックする人も居るから、ちゃんとすればいいと思う。

全くの想像だが、これや以前書いた邪悪なセキュリティ企業は、密かにUSの情報面での戦力として位置づけられているので、「やり放題」なのかも知れない。

なんて書くと、「おや、誰か来―」になってしまうかも? 危ないな。

おまけ2: WPとプラグインの危うさ

良く「＊プラグインの脆弱性が見付かった」という記事が出るが、危ないものを「無効」にしているだけでは危険を防げないことを、(本文に書いた)アクセス解析や不正アクセスの検出のためにログを見ている時に気付いた。というのは、「無効」にしてもプラグインのファイルはそのままなので、外部からURLを推測されてアクセスされれば、脆弱性を突かれてしまうのだ。。。※ だから、プラグインのディレクトリごと削除しないと駄目なのだ。

※ログには、そういう脆弱と思われるプラグインのファイル(PHP)をアクセスしようとしているものがあった。PHPの前に、プラグインの有無を調べるためか、テキストファイルにアクセスしているものもあった。

以前、「無効にしているだけでは不充分」と読んだのは このことだったのだ。

WPのクソさに呆れている。

なぜ、WPは そういう問題があるのを知っているはずなのに直さないのだろうか?

先日も結構前にもあったのだが、何かの作業でサーバのアクセスログを見ると、不正アクセスや攻撃の試行が見付かって頭に来る。しばらくは対処するのだが、結局イタチごっこでキリがなくて諦めるのの繰り返しだ。

パケットフィルタでブロックした直後は不正アクセスは減るのだが、しばらくすると、敵は新しいアドレスで来て また増えるから、まるでゴキブリや鼠だ。。。

不正アクセスして来たアドレスを自動でブロックすることも考えるが、そのうちにフィルタ処理が重くなったり どこからもアクセスできなくなったりしそうなので、保留している。今は、毎月自動集計して回数が多いところをブロックするようにしている。

今回は、ブロックしても しつこくアクセスして来る企業(E𑀋panse (Palо Aｌtо Neｔwоrks)とІnｔernet-Mеaｓuremеnｔ.cоｍ ※)に、ストーカー的な気味悪さを感じた。それらは「スキャンを停めて欲しければ連絡しろ」などと書いているが＊、そんなことをしたらスパムが来るとか更に悪いことになるに決まっている＠。

※どちらの名前も いかにも公的とか研究機関風だが、そんなことはない。検索されて更に攻撃されたくないので、(今は効果がないかも知れないが)一部の文字を見た目が似ている別のものにした。以下も同じ。

＊そもそも無許可でスキャン・攻撃して居る癖に、なんでそんなに偉そうなのだ?

＠以前、別のプロバイダのabuseの連絡先に、そこのユーザからスパムメールが来るので対処して欲しいと連絡したら、返事すらなくて、逆にスパムが増えた気がする。

被害者から止めてくれるよう申請する建前のせいか、robots.txt(サーバのボットに対する許可・不許可設定)を無視する(そもそもアクセスしない)し、パケットフィルタでIPアドレス(範囲)をブロックしても、少しすると別のアドレスから来るからキリがない。更に、Іnｔernet-は高速「大量」スキャンツール(MASSCAN)を使っているし、一度の連続した攻撃(試行)の種類ごとにアドレスを変えて来る(それらにはUA(User Agent)は付いて居ない)※ので、とても悪質だと感じた。

※そのため、IPアドレスで集計すると数が少なく見えるし、UAで検索・集計・ブロックできない。

全世界の、客のものでないサーバまで、頼まれても居ないのにスキャンしてセキュリティホールを探して、一体どうするんだろうか? 日本の省庁か関連機関(名前は不明: デジタル庁? ICC-Crawlerではないようだ)のように、(内容が不充分にしても)教えてくれるなら分かるし納得行くが。

と訝しんで居たのだが、その後、とんでもないことが分かった。: 一部の企業(例: Shоｄаn※, Ⅽеnｓуs)はスキャンして見付けたサーバのポート公開状況やセキュリティホールを客(有料)や一般に公開している。犯罪の支援ではないか。

妙なのは、USの政府機関(CISA)が そういう企業のサービスを使ったセキュリティ向上を推奨していることだ。 (→ 参照＊) 矛と盾みたいなものか。武器も使いようだけど、これでは政府公認サービスみたいになってしまって、文句が言えなくなってしまう。

＊どうしても この資料がUS政府の本物と思えなかったので、機関の名前やドメイン名やSSL証明書を確認したが、本物のようだった・・・

※今まで見た中でShоｄаnは最悪だ。アクセスにUAは全く付いてないらしく(攻撃ツールで試行しているだけ?)、IPアドレス範囲が広いうえに変化が激しいようなので、特定できない。だから、僕のサーバに来たかどうかも不明で、出所が不明な攻撃として集計していた可能性が高い。

そういう企業にネットへのアクセスを提供するプロバイダ(例: Digіｔal 𑀞ｃeаn)も同罪だ。調べると、Digіｔal-社に文句を言っても禄に対処しないらしい。 (→ 参照)

まあ、上に書いたように、「政府のお墨付きがある、セキュリティ向上のためのチェックだから問題ない」というスタンスで逃げられたら、どうしようもない・・・

結局、根本的に対処しようがないのが頭に来る。全部消えて欲しい。

US系とC国系の そういう企業で戦って、両方とも消滅してくれると ありがたいが、戦争になってしまう?

補足 (5/19 21:20)

書き忘れて居た。: 連中(E𑀋panseとІnｔernet-Mеaｓuremеnｔ.cоｍ)や その他のボットを少しでも排除したくて、基本的なrobots.txt(サイト全体のもの)にブログのサイトマップの定義を追加してWPの仮想robots.txtにするようにした。※ が、結局、(本文に書いたように、)行儀の悪い奴らはrobots.txtを無視するので無駄だった。でも、あとで使えるかも知れない(少なくとも保守が楽になるし、方法が分かったので、別の定義の追加なども楽だ)。

※WPのフックrobots_txtにrobots.txtの内容を生成(置換)するフィルタ(関数)を設定した。

なお、今のrobots.txtはE𑀋panseとІnｔernet-への渾身の怒りを込めて書いた。それが他のボットや検索エンジンに読まれて誰かの目に留まれば、少しは溜飲が下がるか。

PS. なお、UAは容易に偽装・詐称できるので、別人が悪い企業を詐称したり、悪い企業がGoogleなどを詐称することが充分考えられるので、発信者はアクセスごとのIPアドレスで検索・判断するしかなく、手間が掛かる。

PS2. 当然ながら、近くのC国からも多くの不正アクセスが来るが、そもそも悪役だし上に比べれば まだ素朴なので、極悪のイメージは少ない。あと、本来のアクセスが期待できないので、どばっと広い範囲をブロックするのに躊躇する必要がないのも良い。

もしC国に真面目に読んで下さる方が居られたとしても、自国の悪い連中の行動は分かっているはずなので、上のように書かれても悪い気分にはならないだろうと、勝手に思っている。

PS3. 今のところだけかも知れないが、日本(のプロバイダ)からは ここまで悪質なものは ほとんどないので感心している。それに、日本の企業だったら、連絡すれば ちゃんと対処してくれそうだ(面倒なので、しないでブロックするが)。

先日書いた、このブログの海外へのプロモーション用※に、各稿の下に英語で(新聞のような)見出しやキャッチ的なものを出すことにした(そういうのの適切な英語訳が分からないので、"Keys"とした＠)。最初は自分で付けていたのだが、結構面倒なので＊AIにやらせることを思い付いた。

※これは、以前大嫌いだと書いたSEOの一種になるのだろうが、無理に検索の上位にしようとしている訳でなく、外国の人の目に触れる機会を作ろうとしているだけだ。

＊自分で書いたにも関わらず内容を忘れて居る(このブログの主旨には合っている)のと、近頃は やたらに長く内容が多過ぎる稿が多いことが多い。そこは要改善点なのだろう(と、書いておく)。

＠ちょっと強引だが、KeysはWordPressのタグとして扱っている。

それで、いろいろなAIソフト(エンジンは主にOpenAIの無料版)で各稿のサマリーやキーワードを生成しようとしたが、巷の評判とは異なり、今一つ うまく行かなかった。

最初にChatGPTで試したら、外部URLは読み込めないから使えなかった。次にWritesonicのText Summary V2を試したら、結構良さそうだった。出力に英語を指定すると、日本語の文章も英語でサマリーを出してくれる。ただ、それからKeysを作るのは手作業で それほど楽ではないし、WordPress(以下、WP)に貼るのも面倒だった。

そこで、こういう用途に使えるWPのプラグインを探したが、ほとんどなかった。: 多くはChatGPTのプロンプトを出すだけだし、投稿の編集ページでなく独立のページでしか使えないものや、有料(最初だけ無料)でしか使えないものも多かった(それを明記していないものがあって ひどい)。

使えないからアンインストールしたら"We Need to Talk!"とかいうメールを送って来て、unsubscribeしたら それにもメールを送って来た、大変鬱陶しいGetGene AIというクソもあった。

唯一残ったのはFlusso AI※(OpenAIを利用)だった。投稿の編集ページでボタンを押すだけで、Key Pointsというサマリーを作ってくれ、それを投稿と一緒に表示することもできるから便利だ。この出力は上述のWritesonicと同様だったので、どちらもOpenAIの機能を使っているのだろう。

※Flussoは 問い合わせに ちゃんと対応してくれて良い。出たばかりでユーザが少ないからだろうか。ただ、作者が自分でレビューの評価を★5にしているのは逆に損だ(ただ、一般ユーザを詐称している訳ではないので、悪意はなさそうだ)。

ただ、使ってみると、実はKey Pointsも今一つなことが分かった。箇条書きだけど なまじ文章(しかも短くない)になっているため、パッと見てもポイントがすぐには分からない。僕がネイティブでないせいはあるだろうが、文章の単語数が多い気がする。要するに、長ったらしい。(要約なのに"TL;DR"になりそうだｗ): 以下に、Key Pointsの出力の(良い)例(前回の稿「ちゃんと多言語対応するのは大変だ。」)を示す。

∙ The blog is primarily aimed at a Japanese audience, but some topics, such as technology, are relevant internationally, leading the blogger to consider creating an English version.

∙ The blogger initially used machine translation to create an English version of the site, using Google and Yandex, which had comparable translation quality.

∙ Google Translate was ultimately chosen because it successfully translated the name "Hamelin," and a link to the English version was added to the site.

∙ The blogger considered various options for improving the English version but decided to stick with the current setup due to the difficulty and cost involved in creating high-quality translations.

論文などなら良いが、僕がKeysとして欲しいのはツイッターのタグ※的なもの(一つの単語でなくても良く、完全な文章でなくて良い、パッと見て中身が想像できる・興味をもたせる短いフレーズ)だ。 参考までに、僕が考えたKeysは以下である。

AI translation, build multilingual website, Google and Yandex translate comparison, Google Translate, i18n, machine translation, Yandex Translate

※そういう機能のものも いくつかあったが、原文が日本語のせいか結果が全く駄目だった。

AIの出力は大筋では合っているのだが、前書きやアムランの件は余計だし(しかも、後者は読み切れていない)、Googleが すごく良いから選んだ訳ではないし、題にも書いた重要な意図(build multilingual website: 単なる英語版を作ろうと思っているのではない)は読めていない感じだ。

それ以前に、稿によっては、結果に重要な内容が書いてないことがあったので、結局、自動処理はできず、出力を確認して修正する必要がある。※ それから、OpenAIの無料版だと元の文章の長さ(単語数?)制限があって、結構多くの稿で使えなくて不便だ。

※以前も書いたが、今のAIの最大の欠点は、人間が結果を確認する必要があることだと思う。まあ、人間に依頼した(or 自分でした)作業でも同じだけど、自動化・効率向上の妨げになっている。そして、しばらくはAIに作らせたままの ひどいソフト・システムや文章が出て来そうだ。。。＊

＊でも、今だって、れっきとした人間に作らせたままの粗悪品が某ショッピングサイトAに蔓延しているので、AIだけが悪い訳ではではない。出す人間が悪い。

それに、ソフトやシステムだって、大企業が多額の費用を掛けて作ったものでもマトモに動かないことがあるではないか。(例: 近頃問題が発覚している、マイナンバーでの住民票発行システム)

それに比べれば、AIが作ったまま出すほうが費用対効果は良さそうだ。だから人間は不要だ。: などというのは、政治家とか有名人がTVとか配信で言いそうだが、単なるレトリックで技術的・論理的には正しくない。

原因は いろいろあり、人間とAIでは問題が起こる確率が異なるが、全部人間が悪いのは確かだ。AIが作ったまま出すのも、同じく人間が悪いために問題が起こる(現時点ではAIでなく人間が出すため)。

結局、どちらにしても、人間が真面目にやれば いいってことだ。少なくとも今は。

そういうことなら、最初にやったように、「自分で稿を読んで英語のキーワードを考えたほうが楽」という結論になって、(暇潰し?を兼ねて)順次やっている。

まあ、有料版のOpenAI(GPT4)なら強力で長さ制限もないのだろうから もう少し良くなるだろうが、料金が かなり高いので趣味には使えない。それでも、今後は手軽に使えるものが出て来ることを期待したい。

(19:18) その後、Flussoの方に勧められて、GPT-4 APIの待ちリストに登録した。GPT-4は全部有料だと誤解していたが、それが通れば無料でAPI(Flussoが使う)が使えるようだ。

そうすれば、長さの問題はクリアできる。キーワードを抽出する(Keysを作る)のは、どういうAPIがあるか調べてFlussoに要望するか、自分で作ってみたい。

なお、今、英語関係で一番役に立っているのはDeepL(翻訳, write(改善))だ。これもAI技術を使っているようで、普通の辞書サイトと違って生きた・「こなれた」英語にしてくれる。※ APIもあるようだが、やっぱり料金がすごく高いので使えず、もっぱらwebページで処理して結果をコピペしている。

※僕の印象なので正しいかは不明だが、日本の辞書サイトで出た、「なんか うーん」な英語をDeepL Writeに入れると、いかにも「おお これだ!」という自然なネイティブが使うような(に感じる)結果になることが多い。

なお、DeepLのは和訳は少し弱い感じ(ちょっと砕けた英語(それでも、和訳はできるしwriteは通る)は破綻する)だが、僕には英訳や英語の修正のほうが重要なので、大きな問題ではない。

PS. ニュースで良くなったと見て、Edge+Bingも試したが、なぜか散々だった。: 本文に書いたのと同じ稿に対する出力が全く誤っていて、なぜか全く別(別人)の文章に対するものだった。全然違う、どうして?と指摘したら、一方的にチャットを「終了」に されてしまった。ChatGPTなら続けて「どうして欲しい」と打ち込めるのに・・・

同じOpenAIを使っているはずなのに、随分作り込みが違うようだ。

使い物にならないようなので、Edgeは すぐにアンインストールした。いつものように、一瞬でもMSに期待したのが間違って居た。

PS2. 試しに この稿のGoogle翻訳での英語版を読んでみたが、やっぱり結構良い。破綻している箇所があってDeepLほどではないが、OpenAIのサマリーよりは ずっと読みやすい。

それから、どういう訳か、今回は「ｗ」を"lol"と訳していたので感心した。

別件※の試行でサーバのアクセスログを見ていたら、見掛けないボット・クローラー(Barkrowler＊)からのアクセスが連続していた。調べると、SEO関係の事業で使うようで、Googleなどと違って こちらには何のメリットもなさそうだ。全体的なアクセス頻度やデータ転送量は多くないから余裕があるものの、気分が良くないのでブロックしたくなった。

以前もブロックしたことがあるが、アクセス頻度やデータ転送量が多くない(ガラガラ)のと、(最後に書いたが、)自分からネットに公開していることもあって、「まあいいか」と思って止めた。

そもそもSEOは嫌いだ。それのせいで、しょうもないページが検索の上位に来て迷惑だ。だから、SEOに協力する気はない。

※このブログの少しちゃんとした英語対応を検討したが、簡単ではないことが分かった。: あとで書きたい。

＊サイト名は"babbar.tech"と 妙な連想をさせるが、きっと ちゃんとした名前なのだろうｗ

それで、他にもないか調べると、以下が多かった。

2023年4月の概算アクセス回数が多かった順に:

• 10000回以上
  • ブロック: AhrefsBot, MJ12bot, DotBot
  • 許可: bingbot, Googlebot(+Googlebot-Image)
• 1000回以上
  • ブロック: SemrushBot(+SemrushBot-BA), PetalBot, Linespider, MegaIndex.ru, DataForSeoBot, Barkrowler
  • 許可: Applebot, PetalBot
• 200回以上
  • ブロック: magpie-crawler, MBCrawler, trendictionbot
  • 許可: YandexBot

他に、回数は少ないものの、以下は(嫌な感じなので)ブロックした。

• 360Spider, YisouSpider, Bytespider, Pinterestbot

上位3つの多さが目に付く。それらはいずれもSEO関係に使われるようで、切っ掛けのBarkrowlerと同様に、こっちには何のメリットもない。他人が作った情報を無料で取って勝手に商売に使う、タダ乗り・フリーライダーだ。その他も大方はSEOだ。

Pinterestbotは初めて知ったのだが、(写真を)Piterestに「ピン」するとかいう機能のようで、勝手に そういうことは されたくない。基本的には、このページの右下の「著作権について」に従って欲しい。せめて、ホスト名などのクレジットを書くのは当たり前だ。

なお、Linespiderは迷ったが、LINEのユーザと このブログは被る範囲が全く なさそうだし(しかも、ここがLINEで検索する対象だとは思えない)、LINEは信用していないうえにアクセス頻度が多いのでブロックした。Baiduspiderも迷ったが、百度のサービスは使ったことがあるのとアクセス頻度が少ない(先月は100回未満)ので許可した(信用しているかと言えば、そうではない)。YandexBotのアクセス頻度は少なくないし、サービスを使ったことも ほとんどない(採用しなかったが、翻訳は悪くなさそうだ)が、迷った末に許可した。

(5/3 18:22) その後、PetalBotはHuaweiの(スマフォ用の?)検索エンジン、PetalSearch※のものだと分かった。PCでもアクセスできるので、オープンなようだ。百度やYandexを許可するなら これも許可するのが妥当だが、はてどうするか・・・ → アクセス頻度がクソほどは多くないので、とりあえず許可した。

※なんかGのパクリ感満載だが・・・

全く余計なことだが、それでもLINEは許可しない。嫌いだからだ。例えば、あのウサギがキモい。それに、名前をspiderにして検索しにくくしているのは、卑怯だ。

ブロックの方法(概略)

最初はWPのプラグインAll in one security(AIOS)のブラックリストに設定したが、もっと きっぱりと遮断したくなって、webサーバに設定した(詳細は記載しない)。サーバに、403のような応答すら返さずに切断できる機能があるので、そうした。それだと、こちらから送信するデータ転送量を減らせるのと、相手にちょっとした仕返し(応答がないと、相手はタイムアウトまで待たなければならない)が できそうだからだ。※

※が、応答しないと数回連続してリトライするものがあるので、痛し痒しだ。そのうち忘れてくれるか? → 書いたあとで、"418 I'm a teapot"という人を食ったような応答コードを見付けたので、それを返すことにした。クソ鬱陶しいボットに皮肉が通じれば良いがｗ (5/2 20:32)

(5/3 18:29) 他に使えそうなコードは、400 Bad Request, 402 Payment Required, 410 Gone, 421 Misdirected Request, 422 Unprocessable Content, 429 Too Many Requests辺りかと思ったが(参照: 応答コードの解説)、ボットには何でも関係ない感じだ。であれば、666や999も おもしろそうだ。

「変なコード」を返すようにすると、アクセスログで検索・集計しやすくなるので便利だ。

あと、検索したら、不正アクセスに対してであるが、ハニーポットにして変なバイナリデータを返すという人も居た。通信データ量が増えてもいいなら、それもおもしろい。攻撃(準備)に対して出来る数少ない反撃か? でも、下手なことをすると却って危なそうだ。

また、ブロックするボット名のパターンを拒否ボット一覧ファイルに設定できるようにしたので、(今一つ信用ならないことのある)AIOSを止めても効果は継続し、追加・削除も容易だ。

ブロックの効果 (5/6 8:10)

ブロックを設定してから数日経ち、効果が見えた。以下に、サーバへのアクセス頻度のグラフを示す。

SEOのボットの拒否などでサーバへのアクセス頻度を減らした。: 5/2 14時頃以降が設定後。

ブロックを設定した中央以降は、外部アクセスだけの時間帯(谷になった部分: 僕のデスクトップPCが停まっていて、そこからのアクセスがない)が1/2くらいに減った(約0.1 → 約0.05アクセス/秒)。最初に書いたように、元々「ガラガラ」で頻度の絶対値は小さいし、データ転送量は ほとんど減っていない。

ただ、余計なアクセスをなくすことで、ログから不正アクセスや攻撃の予兆を見付けやすくなる効果は ありそうだ(ちゃんとしたファイアウォールを使えという意見は正しいが、なかなか容易ではない)。

むすび

そもそも論から言えば、自分でネットに公開しているからには「誰でも自由に使って良い」という前提・意識ではあるが、使うにしたって最低限のルール(マナーのようなもの)はあるし、無料で公開されている情報を使った結果はオープンにすべきだと思う(ギブアンドテイク)。※ GoogleやAppleやBingはアクセスが多いが、それぞれ検索エンジンで自由に使えるから許せる。＊

※例えば、取得したデータを無料で公開するとか、広く使われている検索エンジンやInternet Archiveに提供するとかだ。

＊その点では、Appleは かなり閉鎖的で自由に使えないからメリットがない気がする・・・ が、(SEOと違い、かなり多くの)Apple製品を使っている人の検索に使われているだろうから、とりあえずは良しとする。 ← 調べたら、Appleは検索エンジンを持っていないようだ。地図みたいに、そのうち出すのかも知れない。

なお、ここで問題にしているのは、データ(文章や写真など)をコピー・ダウンロードして使う場合で、法的に妥当な範囲の引用やリンク(いわゆる「直リン」)は問題ない(それでもクレジットは付けて欲しいが)。

PS1. ボットごとの回数リストを作る時に頭に来たのは、各ボットのUser-Agentの文字列の書式がバラバラで、簡単にはアクセスログから名前を抽出できないことだ。

ChatGPT(無料版)に方法を聞いたが、さすがに うまく行かなかった。: そういうところから推測すると、前の稿に書いたように、分かっていること切り貼りして出しているようだ。

今回は規則的な処理では不可能なので、うまく行かなくて仕方ないが、そういう回答ができないところが惜しいし、AIなんだから「AI的に何とか(推論など)する」方法を出せないものか? (← そういう質問はしていないので、出ないのも仕方ない?)

PS2. 妙なのは、DuckDuckGoのボットからのアクセスがほとんどなく(先月は100回未満)、しかもファビコンの取得しかしていないことだ。昔調べて分かったが、彼らは他人の褌(Googleとか?)で仕事をしているようで(しかも、そういうことを明示していなかった)、プライバシーの点は いいのかも知れないが、なんか信用できない。

アクセスがないと言えば、OpenAI(ChatGPTなど)からも ない感じだ。まあ、親会社のMS(Bing)のデータやWikipediaなどをメインに使っているのだろうか? いずれにしても、彼らは ある程度無料で使えるから良い。

そういう大口ユーザがWikipediaに寄付してくれればいいのにと思ったが、そうするとWikipediaの独立性が損なわれるので難しい。

PS3. アクセスログを見ていたら、USの有名セキュリティ企業Pからのアクセス(アドレススキャン)が鬱陶しい。ブロックすると別のアドレスからスキャンして来るから しつこい。頻度は高くないけど嫌なので、完璧にブロックしたくなる。ご丁寧に、アクセス時のUser Agentに「停めて欲しければ連絡しろ」などと書いてある。

「自分たちは正義だから何しても正しい!」という、いかにもUSの思想なんだろうと想像するが、糞喰らえだ。大体、お前らは私企業で、UAに書いているとおり、客(自分)のためにしているだけ だろうが。 (5/6 8:10)

(5/6 8:10 ブロックの効果を追加, 書式などをわずかに追加・修正)

随分長く使っている金融機関(関西の財閥系)とのイザコザの話。細かく書くと いろいろ面倒なので、多少ぼかす。

伏線?

1年くらい前に、その会社の営業が来たのか、「手続きが完了していません」とか書かれたメモ(手書き)がチラシと一緒に郵便受けに入っていた。心当たりはないが、心配になってweb(マイページ)を見たけど特に不足の通知がなかったので、webで問い合わせた。

Webからは回答がなく、(数日後だったか)支店から電話があり、新しくできた(余計な)サービス(今にすれば、メモはそれを指していたのだろうが、何の手続きかは書いてなかったので分からなかったし、書き方が紛らわしい)に登録していないということだった。「バカジャネーノ!」とブチ切れた。

更に、(問い合わせる前に)未完の手続きがマイナンバーの登録かと思って登録しようとしたけど どうしてもスマフォで読めなかったので、その件もwebで問い合わせたのだが、支店の担当者では埓が開かず(例: スマフォは「AQUOS」と書いたのに、「アンドロイドですかiPhoneですか?」などと聞いて来た)、更にイライラした。

スマフォの問題なんて本社の技術担当でないと分からないだろうに、支店に投げた本社もひどい。

そもそも、webで聞いたのに何も返事せずに支店に丸投げしているのが気に入らなかった(ここは常にそうだ)。

問題と経過

1. そこからお金を支払われることになり、去年の11月に、口座の指定(変更)とマイナンバーの紙を送った。
   • この時も ひと悶着あった。: Webで「変更用紙を送ってくれ」と頼んだのに、やっぱり支店の人が電話して来て、「契約を確認するから来る」とか言い出したので、なんでそんな必要があるのか分からなかったし、そんな無駄ことはしたくないので紙を送らせた。
     • そもそも、そういう変更すらwebでできないってどうよ??
     • そうでなくたって、本店が紙を送れば済むことではないか。
   • その紙を見て分かったが、単なる口座の変更でなく、契約の変更依頼書のようなものだった。あと、マイナンバーの確認もしたかったようだ。
     • であれば、最初からそういう説明をすればいいのに、しないから分からなかった。大体、契約の変更をするつもりがないのに いきなりそういう紙が来て、結構驚いた。
       • それが正しい紙なのかも半信半疑だった。
2. 今月頭が支払い日だったのだが、その金が指定と異なる口座(料金引き落とし口座)に振り込まれていた。
   • 実は、(PSにも書いたように、)そうなるんじゃないかという予感があったが、見事当たった・・・
3. Webに問い合わせを出したが、翌日には返答がなかった。
   • ここは、催促しないと回答がないことが多い。全社的にコミュニケーション能力がないか、その重要性を分かっていないようだ。
4. 仕方なく、その次の日に電話したら、「支店に回答させる」とのこと。
   • サポセンの端末で状態や経過が分かりそうなものだが、何も教えてくれず。
     • そりゃあそうで、下に書くように、処理されてなければ端末に出る訳がない。「手続きしてない」とか言ったら、こっちがブチ切れるしねｗ
5. 支店の責任者から電話があり、「(送った紙を)処理していなかった」と。
6. 自分で金を移動するから、その振り込み手数料を払ってもらいたかった(最初からwebに書いた)が、その会社は「正しい手続き」(こちらが一旦返金後、正しい口座に振り込み直し)に固執していて、それができるようになるまで「数週間掛かる」と。
   • ここは、こんなことにもハンコが30個くらい要るのかねえ・・・
7. そんな馬鹿な話はないので急かしたら、数日後に返金できるようになったので、返金した。
8. ところが、先方がその入金(返金)を確認したのは、振り込んでから数日後だった。こっちが催促して、ようやく連絡が来た。
   • これも聞くまで連絡がなかったので、結構不安になった。
9. そして、お金が正しい口座に入るのは ようやく明日の午後だってさ・・・
   • 実に、入金確認から3日後, 問題が起こってから20日目だ。一体どうしたらこうなるのか、逆にすごい。
     • 確認でも振り込みでも人が銀行まで行くのかねえ・・・
10. 追い打ちを掛けるように、(最初の誤振り込みに対して)「マイナンバーを出せ」という紙まで送られて来る始末。
    • 口座変更の処理をして居なかったのが分かったのに、一緒に出したマイナンバーの状態は調べなかったのだろうか?
      • そのマイナンバーの紙はどうなって居るんだろうか?
11. (2/20) 本来の口座にお金が入って、ようやく終了。ヤレヤレ!
    • 本当に午後だったので、ハンコとか持って歩いて銀行に行ったんかな・・・
    • なお、マイナンバーの件の返信や謝罪は なし。ここでも期待を裏切らない会社だった。

ここまで何もかも駄目・遅い・遅れた会社は初めてだ(今までにも あったかも知れないが、余裕で最低記録を更新した)。金融機関が振り込み間違いするのは論外だが、謝って こちらに振り込み手数料を支払えば済むことで、2-3日で解決する問題ではないか。

僕はそれで済むと思って居たし、こんな長期戦・大事にしたくなかった。

想像だが、最初に書いた「伏線?」と変更用紙の時に電話してきた担当者(それぞれ別なので、どちらかか両方)が僕に嫌がらせをしたいとか、「あんな奴の処理なんてしたくねぇ」とか思って放置していたのではないか。向こうはこっちが泣き寝入りすると思っていたが、予想外に大事になった?

自分たちでミスしたにも関わらず、なぜ そこまで自社の決まりに固執するのか分からないが、どうすれば顧客の不便を最小にできるかなんて どうでもいいスタンスであることは確かだ。

とにかく、明日(月曜)の入金で無事「終了」するのを祈るしかないが、マイナンバーの件といい、そこには どんな落とし穴があるか分からないので、期待は していない。

それにしても、こうやって何度もイライラさせられても、向こうの責任者は本心からは申し訳なく思っていないのが文面(電話は記録が残らないし、イライラするし、時間の無駄なので、支店とはメールでやり取りしていた)で分かるのが癪に障る。

本当に申し訳なく思って居るなら、支店の決裁・判断で(僕が正しい口座に送り直す)振り込み手数料を払いそうなものだ。

ひどい迷惑(返金の手間以外にストレス・イライラがひどい)なので慰謝料とか迷惑料が欲しいくらいだが、そんなことを言い出そうものなら弁護士が出てきたりして怖いことになるので、もちろんしない。

まあ、何でもどうでもいいから、とにかく早くクソと縁を切って 忘れたい。今は それだけだ。

でもね、ダメモトで金融庁には情報提供したし、その会社(財閥だともっといいが)の偉い人が目にしそうな「ご意見フォーム」には書き込むつもりだ。

そうだ、最後に言いたいのは、

こういう、何一つまともに出来ない木偶の坊たちを食わせるために長年お金を払って来たのかと思うと、忸怩たるものが あり過ぎる!

ということだ。

PS. 不思議なのは、紙を送る時に、何となく、トラブルになる予感がしたことだ。マイナンバーと一緒に送る本人確認の紙が、担当者の指定が多過ぎたので、説明書に書かれた必要なものだけ送ったのだが、それで足りない(と思い込んでいる)から、電話して来るかも知れないし、電話で悶着があったから放置されるかも知れないと思って居たのが当たった。

今の心配は、マイナンバーの紙が捨てられてしまったような気がすることだ。でも、もう、二度と送らない。こっちは確かに送ったのだから。まあ、向こうがコピー代を出すというなら出しても良いｗ 出さなくて役所から確認が来ても、「送った」と言うだけだ。こちらは何も違法なことをしていない。

PS2. そうやって財閥のやり方で庶民をテキトーに扱ってるから、多くのグループ企業が恥も外聞もなく別の財閥と くっついたりせざるを得ないんだ(しかも、ほとんど相手財閥の名前が先というｗｗｗ)。痩せ我慢もすごいな。どこも使わないので、消滅してヨシ!

あ、電線のところだけは使うけど、なけりゃないで どこでもいい。