世界を動かす技術を、日本語で。

HNに聞く: なぜアメリカのビザ申請ウェブサイトは私のネットワークをポートスキャンするのか?

2025年8月20日

概要

  • Port Authority 拡張機能をFirefoxにインストールした経緯
  • ceac.state.gov 訪問時にプライベートネットワークへのポートスキャン通知
  • ウェブサイトによる ポートスキャン の一般性についての疑問
  • uBlock Origin の「Block Outsider Intrusion into LAN」リスト未有効状態の発見
  • 安全対策や今後の対応策についての要点整理

ウェブサイトによるポートスキャンの一般性

  • 一部のウェブサイトは JavaScript を利用してユーザーのローカルネットワークに対し ポートスキャン を試みる場合あり
  • 主な目的は セキュリティチェックボット検知VPN利用の判定 など
  • 一般的な行為ではないが、特に 金融機関政府関連サイト で稀に見られる傾向
  • 悪意あるサイト の場合は、個人情報やネットワーク情報収集を狙うケースも存在
  • 通常の閲覧では頻繁に起きるものではなく、 特定用途のサイト でのみ発生

uBlock Originの「Block Outsider Intrusion into LAN」リストについて

  • uBlock Origin はデフォルトでローカルネットワークへのアクセスを完全にはブロックしない仕様
  • Block Outsider Intrusion into LAN」リストを有効化することで、外部サイトからの自宅LANへの アクセス試行 をブロック可能
  • このリストは uBlock Originのフィルター設定 で手動で有効化が必要
  • 有効化後、 JavaScript経由でのローカルIPスキャン なども防止可能
  • セキュリティ意識が高い場合、 有効化推奨

今後の対策と推奨事項

  • Port Authority などの拡張機能で通知を受けた場合、 サイトの信頼性 を再確認
  • uBlock Origin や他のセキュリティ拡張機能の 設定見直し を実施
  • 不審な挙動を示すサイトは アクセスを控える 判断も重要
  • ブラウザや拡張機能のアップデート を常に最新に保つ
  • 必要に応じて VPNファイアウォール の利用検討

まとめ

  • ウェブサイトによる ポートスキャン は一般的ではないが、特定サイトで発生する場合あり
  • uBlock Originのフィルター強化 で大半のスキャン行為を防止可能
  • 拡張機能やブラウザの セキュリティ設定の見直し が重要
  • 不安な場合は 専門フォーラムや公式サポート で追加情報収集

Hackerたちの意見

いろんなサイトがやってるよね。多くの標準デバイスフィンガープリンティングや匿名性対策のSAASに含まれてるし。eBayやFacebookとかもやってる!でも、これは広告ブロックを防ぐためのファーストパーティみたいだね。1MBの難読化されたフィンガープリンティングにポートスキャン、WebGLも使ってる。でも、変なのは、これがBurp Suite特有のルートを探してるみたい。

なんてこった!どうやってネットワークを強化すればいいの?

銀行が、新しいカードをアクティベートするために送ってきたサイトでこれをやったよ。

こんなことがあるなんて知らなかったって言うのが恥ずかしい。フィンガープリンティング以外に悪用されることってあるの?

https://files.catbox.moe/g1bejn.png macOSのSafariからそのサイトに行くと、コンソールにこれが表示されるんだ。ポート8888を使ってる特定のサービスってあるの?

脆弱なURLを持つルーター。検索するなら「router」「authentication bypass」って感じかな。

主にトラッキングには最適だけど、データを外部に持ち出すためにも使えるかもしれないね(例えば、ユーザーがlocalhostで何か敏感なものを動かしている場合)。 https://www.digitalsamba.com/blog/metas-localhost-spyware-ho...

そうそう。FacebookはAndroidでこの手を使ってたんだ。MetaのAndroidアプリはローカルホストにサーバーを立てて、サイトがそのローカルサーバーと通信して、通常ならAndroidのブラウザ保護でブロックされるトラッキング情報を渡してたんだと思う。これもフィンガープリンティングだけど、かなり極端なやり方だね。https://news.ycombinator.com/item?id=44169115

ビザ申請は詐欺だらけだよね。価格を2倍にする簡単なウェブサイトから、拒否されたって言って書類を偽造して入国させるサイトまで。だから、彼らはあなたがそういうウェブサーバーじゃないか、彼らのプロキシか、既知のC2チャネルを検出しようとしてるんだろうね。

すごく賢い回答だね。

もう一つのデータポイントだけど、インドのビザシステムも似てるよ。見つけにくい.gov.inで終わる公式サイトがあって、10ドルでビザを取得できて、手間も少ない。詐欺サイトはSEOが良くて、同じものを80ドルで売ってる。彼らは実際のサイトにあなたの申請を代理して、差額をポケットに入れてるだけ。インド政府が詐欺師をブロックできればいいけど、今はあまり優先順位が高くないんだろうね。

もしそのプロキシ詐欺がちょっと賢いなら、別のIPでプロキシを運営するだろうね。

Hacker Newsで議論の続きを見る