新種のスパムにご用心(リファラースパム)
KENのつぶやき vol. 259
(2006.10.1)
迷惑な攻撃と言えば、スパムメールと掲示板へのスパム投稿、ブログへのコメントスパムとトラックバックスパムが相場ですが、新しいスパム攻撃を見つけました...というか、私のサイトに異変が起きたと言った方が正しいでしょう。それは「リファラースパム」。まだ定着した正式名称は無いと思いますので、私が勝手に付けた仮称ですが、「え、何それ??」と思う方も多いでしょう。
CGIを設置出来るホームページスペースを持っている人の中には、アクセス解析CGIを設置している(あるいはサーバーに標準装備されている)方も多いと思います。その中に「リンク元解析」というのが通常ありまして、自分のサイトに奇特にもリンクして頂いている方をリストアップする機能です。インターネットでリンクを辿って次のページに行くと、そのページのサーバーには「どのページから飛んできたか」という情報が受け渡されます。これをリファラー(正しいスペルはReferrer、但しCGIやhtaccessの世界ではREFERERと記述)と呼んでいます。この情報を収集分析すればどのリンクから多くのビジターが来ているかが分るのです。例えばKENTさんが提供している無料のアクセス解析CGI「Access
Report」の一番上にこの機能があります。そしてリンク元を示す際にURLはリンクが有効になっています。
今回発見したスパムはこの点を突いたもので、ロボットでリファラー情報を偽装変化させ、短時間で大量にアクセスすることで、このリンク元解析のリストをあたかもスパムメールやスパム投稿でURLを羅列した時と同じように埋め尽くしてしまう物です。そうとは知らないサイトオーナーは、どこから来たのだろうと思わずクリックして、怪しいページにアクセスしてしまう、という仕組みです。私もしっかりアクセスしました、ハイ(~_~;)
まずはその実態の「抜粋」を画像でお見せしましょう。これは私のサーバーに装備されているアクセス元解析結果の部分切り取り画像です。文字で記載しようかとも思いましたが、それでは却ってスパム業者のURLを検索エンジンに載せてしまい広く伝搬することになり兼ねないので画像にしました。URLを見ると、保険会社、カジノ、クレジット、その他色々な業者の広告を意図しているようです。赤で隠したURLは善良なサイトからのリンクです。
参考までに、2006年9月1日〜28日の累計アクセス元解析結果の全リストも載せておきましょう。こちらは巨大な画像ファイルで、ファイルサイズは約660kBあります。全部で約700あるリンク元の内で正常なリンク元は約100、残り600がスパムです。リファラースパムが来出したのは9月中旬なので、2週間程でこんな状態になってしまいました。
リファラースパム全リスト画像
アクセスログを見ると、リファラースパムがアクセスしているのは掲示板CGIでした。リファラー情報を変更しながら1〜2秒に一回という頻度でアクセスしてきています。また一件だけこのアクセス元からのスパム投稿もありましたので、スパム投稿ロボットに新たに備わった機能なのかも知れません。対策を一つ挙げるとすればissoさんの改造掲示板にオプションで備わる、ロボットアクセスのドメイン/IPアドレスを自動収集してアクセス禁止にする技が有効だと思います。但しこれは非公開で、issoさんの最新版CGIユーザーだけが方法を知る事が出来ます。
(追記)
少し調べてみたら、リファラースパムの被害は拡がっているようで、「リファラスパム」「リファラspam」「リファラースパム」で検索すると対策ページが幾つか見つかります。.htaccessの知識が要求されるので少し敷居が高いかも知れませんが、参考にしてみて下さい。
私のサイトが今までこの被害に遭わなかった大きな理由は、掲示板CGIへのリンクに全てJavaScriptを用いて、検索ロボットの目から逃れるようになっているからです。しかし何らかの理由で9月中旬に掲示板投稿フォームがGoogleの検査ロボットに検知されてしまいました。その後僅か数日でリファラースパムの大襲来です。リファラースパムの主な狙いはブログなどの逆アクセスランキングへの上位掲載だと思われます。もちろん他のアクセス解析も狙っているでしょう。これら標的の共通点は「CGIやPHPなどのプログラム」であり、スパム側もCGI等にアクセスしています。従って、「掲示板やブログなどのCGIを設置する場合には、新しいディレクトリに設置し、そこへのリンクを全てJavaScriptで記述する。また直リンクを禁止する。」事が有効な予防策になると思います。
万一リファラースパムに侵されてしまったら、.htaccessによるアクセス制限に踏み切るしか無いでしょう。検索した範囲では下記のページが参考になりそうです。
リファラspam対策
別の方法としては、逆アクセス解析をOFFにする事でしょうか。この解析結果さえ見なければリファラースパムは殆ど無害です。
私は対策としてCGIの名称を変更しました。リファラースパムのアクセスは現在全て404
Not Foundになっており、これはアクセス解析にカウントされません。
戻る
|