2007Apr29
コメントスパムの傾向と対策
別ブログ「BlognPlus を使おう!」で2007年3月6日から4月29日までの間、コメントスパムをログにためてスパムのサンプリングをしてました。
この約50日間に受信したコメントスパムはなんと668件、ログのファイルサイズも 1.3MB に膨れ上がってました。
ちなみにこの期間中に受信した正常なコメントはたった5件(そのうち自分のコメントは2件)でした。
ログを CSV ファイルに変換し、エクセルで項目ごとに並べ替えをするといろいろと面白い結果が分かりました。
ケース1
まず668件中、68%にあたる457件は同一のものによる仕業である事が判明。こいつの書き込みの特徴はハンドルネームが英語の名前+5文字のランダムなアルファベットという形式。
- Alex*****
- Bob*****
- Bobby*****
- David*****
- Dreik*****
- Jessy*****
- John*****
- Jonny*****
- Mark*****
- Mitch*****
ほとんどのメールアドレスもランダムな文字列を含んだ「mail*****@gaweb.com」「login*****@web.de」「mail*****@web.de」というものでした。
また64%の確率で「58.65.236.1」「58.65.237.161」「58.65.237.169」の3つのうちのどれかの IP アドレスを使っていました。
本文の書き出しも「Hello Sirs, I'm very sorry for my post」というのが多く見受けられました。謝るんだったら最初から投稿するなと言いたいところです。
ケース2
その次に多かったのが約17%にあたる111件を記録したスパマー。こいつの特徴はハンドルネームとメールアドレス欄に同一の文字列を書き込んできます。しかしもっとも特徴的だったのは、日本語のキーワードを入れてくる事でした。
例えば「オンラインカジノ」「外国投資」「外国為替証拠金取引」などを、ハンドルネームに加え本文にも混ぜてきてました。ただしいつも日本語が入っているわけではなく英語だけの場合もあり、その時のハンドルネームは「loans」「bingo」「casino」「black jack」などでした。
ちなみに日本語が入っていたコメントの場合、スパマー誘導しようとしているサイトはちゃんとした日本語で書かれているという懲りよう。英語のサイトをただ単に機械翻訳したようなサイトではなく、きちんとした日本語で書かれていた事から、裏には日本人が絡んでいるような気配もします。
このスパマーは律儀にも毎回固定の IP アドレス経由で投稿していました。「203.121.79.137」「203.223.150.61」「203.223.150.84」「203.223.150.87」の4つだけ、スパマーは IP アドレスを頻繁に変えてくるものと思っていたのでちょっと驚きです。
記事番号
コメントスパムは特定の記事に集中する傾向があるようです。「BlognPlus を使おう!」には200件近くの記事がありますが、記事番号「64」に対して118件、「70」に対して103件、「111」に対して121件、「154」に対して113件、そして「184」に対して122件のスパム投稿の跡がありました。この5件の記事だけで577件(86%)を占めてました。
特定の記事といっても、別に記事の内容によってスパムが着弾しているわけではなく、上記の5記事がスパマーのスパム対象 URL リストにたまたま載ってしまっただけというものでしょう。
対策
今回はスパムを集計する目的でログを残しておきました。この間「コメントスパム対策モジュール」によって1つたりともスパムはブログに表示される事はありませんでした。
この集計期間中はスパムをなるべく多く捕獲したかったので「コメントスパム対策モジュール」は ver2.65 相当のものを使いましたが、改良を施した ver2.71 を使っていたとしたら668件中301件はログに残さずそのまま排除していただろうと思われます。
という事で古いモジュールを使われているユーザーは最新版にアップデートする事をお勧めします。
スパマーは IP アドレスを頻繁に変えてくるものとばかり思っていましたが、今回の調査結果を見る限り、そうとは限らないという事を思い知らされました。
IP アドレスによるアクセス制限というのはあまり好きではないのですが、試しに「58.65.236.」「58.65.237.」「203.121.79.」「203.223.150.」を規制する事にしました。
今までは英語のみのコメントスパムがほとんどでしたが、日本語を入れてくるものも現れ、今後はアルファベットだけのコメントを弾くというだけでは防ぎきれなくなりそうです。
まあ「コメントスパム対策モジュール」では他のパラメータも判定に用いているので、そう易々と突破される事はないと思います。
スパムは特定の記事(URL)に集中する傾向があるので、その記事のコメント欄を無効にするのもある程度有効なスパム抑止策になるはずです。
コメントが必要ない記事なら、おもいきってコメント禁止にしてしまうというのもありかもしれません。
関連記事
| 07:00 PM | comments (0) | Tweet
| spam::コメントスパム |
コメント
コメントはありません