でも「見よう見まね」で上っ面だけマネしたんでは行き詰まるのは必至。しっかりと学習しました。

１：コメントスパムの大半は IE5～6 を使ってるのでそれらでのアクセスは拒否。
２：しかし、業者ではない IE6 ユーザーからのアクセスは受け入れる。
３：さらに、上記で拒否できないコメントスパムは個別に deny で拒否登録。

　その三点について、なんとかなった気配。久しぶりにプログラミングにはまったような感触です。

　.httaccess でアクセス制御する場合に、冒頭で「Order allow,deny」「Order deny,allow」などと書きます。これの意味をよくわかってませんでした。どう違うの？って思ってました。

　allow 指定（許可）と deny 指定（拒否）、両方にマッチしたときにどちらを優先するのかの指定のようです。「Order allow,deny」を指定すると allow（許可） 優先。「Order deny,allow」は denny（拒否）優先。そしてそれぞれデフォルトで Order allow,deny ならその設定だけで「全部を拒否」したことになり、deny,allow なら「全部を許可」となる。

　でもこの設定の次行にどこの説明でもほぼ必ず allow from all とか書いてます。全部を許可するなら order で deny,allow とすればいいのに。と思いません？

　そこがミソ。こまかくアクセス制限をかけるために allow と deny を複数行書くことになりますが、普通のプログラムで多用する条件分岐ってのができません。allow と deny 、どちらを優先するのか決めておくことでうまいこと条件分岐みたいな仕事をさせるわけです。

　ブラックリストとホワイトリストみたいな考え方ね。すべてを許可しておいて拒否する物を指定していく「ブラックリスト」で、それにマッチしても部分的に許可したい使い方の時は allow 優先のほうが条件分けしやすいんです。でも allow 優先にすると全部拒否が初期値。ってことでわざわざすべてを許可する指定を書くってわけです。

　この優先の意味が説明サイト読んでもわかりにくいです。結局、サーバーソフトの Apache.org までたどりつき、各ディレクティブの説明読んでやっと理解できました（できたつもり、なだけかも）。

　現在ウチで使ってる .htaccess 内のアクセス制御部分は以下のようなものになってます。かなり小さくまとまりました。deny from にＩＰ羅列してたときはすごい量だったです。.htaccess は毎回必ず全行参照するそうなので、短い方がサーバに負担かからないでいいかなと思うんですけど、どうなんでしょうね。

order allow,deny
allow from all

SetEnvIfNoCase User-Agent “(MSIE [3456]\.[0-9])” Kyohi
SetEnvIfNoCase User-Agent “(MSIE [789]\.[0-9]|TweetmemeBot|Lunascape|Sleipnir)” !Kyohi
SetEnvIfNoCase User-Agent “(Commerce|Baidu|sogou|YodaoBot|zh-TW)” Kyohi

allow from .jp

Deny from env=Kyohi
deny from .serverloft.com
deny from .elaninet.com

　いまのところその設定で気持ちよく、.jp ドメインからのアクセスは UserAgent に関係なく全部許可され、.jp ドメイン以外からのアクセスは IE3～6 までと、Commerce,Baidu,sogou,YodaoBot,zh-TW のものは拒否。さらにその条件から外れる（Agent で特定できない）けどスパムを書き込んだドメインを deny で拒否(現在のところ二つ）。環境変数のところは一行にまとめられますが、一行が長くなると見通しが悪くなるのと、将来ここに記述するのが増えたときのことを考えて複数行にわけてます。

　UserAgent での拒否のウチ、クローラーである Baidu 他いくつかは robots.txt で弾くのが普通なんでしょうが、Baidu（百度）は公式サイトに載ってる数種のクローラーを全部登録しても robots.txt を読まずに一時間に一回入ってくるのがあります。気持ち悪いから全面的に拒否です。UserAgent に正直に名乗ってるところはかわいげがあるかもしれません。ウィルスバスターは名乗りません。が、逆引きホスト名設定無し、生ＩＰのみの IE6 なので上記の設定で一緒に拒否できてます。

　いつまでも IE6 のままじゃないだろうし、Agent での指定は脆いってのも、そのうちこの設定じゃ拒否できなくなっていくのも、わかってるけど、そのときはそのときでまた楽しもうと思ってます。

　詳しく書くと意味がなくなっちゃうかも知れませんので、内容は書かないでおきます。いつかそのうち業者もそれに気づくかもしれませんし、その前にＩＥ６を使う業者がいなくなって、この分類じゃダメってことになる可能性も高いんですけどね。

[Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; Tablet PC 2.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729)]

[Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; InfoPath.1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)]

[Mozilla/5.0 (compatible; MSIE 6.0b; Windows NT 5.0) Gecko/2009011913 Firefox/3.0.6 TweetmemeBot]

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2; Lunascape 4.1.3)

[Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; Sleipnir/2.9.3) ]

[Mozilla/4.0 (compatible; MSIE 6.0; Windows CE; IEMobile 6.12)]

　上記以外で ed（小中高等学校）と gr（任意団体） を除く属性 jp ドメインは通るようにしたかったんですけど、このブログを稼働させているサーバの制約でその書式が通らず、できませんでした。

　気持ちとしてはホスト名が著名な会社だったり大学だったりのときは、つまりどうも自分のパソコンではないパソコンからネットにアクセスしてる分だと思うし、自分のパソコンではないからブラウザの更新などできないとか、仕事で使ってる特注アドオンが IE6 までしか対応していないから更新できないとかあるんだろうし、そういう「IE6 を使わざるを得ない環境」から個人サイトにアクセスする必要はないと思うんですよね。公開してるという部分で制限は本意ではないという建前を貫きたい気持ちもあるのやらないのやら。単にこういうのをするのがパズルを解く気分で楽しいからだけかもしれない（笑） 日本のドメインなら管理者に日本語でメール出せますから、何かあっても意見は言える。

　IE6 でアクセスしたときに「弾かれたときに出る参考画面」を出してアピールしています。IE6 以下のときだけ表示させる設定は作れても、IE6 以下の時だけ表示させない設定はできないので、通常のエラー時に出すメッセージも出てしまいますが、それはあきらめました。自分のパソコンでネットにアクセスしてる方なら、それを読めば IE6 から卒業してもらえるのではないかと。

　今回、このやりかたの効果を確かめるために、IE6 の制限を開始した３月１４日以来、それまでの .htaccess 内でのＩＰ制限を全部外しています。結果、ブラウザ（＋α）の制限だけで十分そうです。思わぬ効果として、スパムとは別個に規制していたウィルスバスタのＵＲＬフィルタ攻撃。あれらは IE6 としてやってきますので、一緒に弾けるようになったです。

　最後に .htaccess 内の実際の書式も書いておきます。Remote_Host が取得できればかなり良い感じになるんですけど、そこが少し残念。

SetEnv !Kyohi
SetEnvIf User-Agent “(MSIE [3456]\.[0-9])” Kyohi
SetEnvIf User-Agent “(MSIE [789]\.[0-9]|TweetmemeBot|Lunascape|Sleipnir|IEMobile|Windows CE|InfoPath)” !Kyohi
SetEnvIf User-Agent “(Commerce|Baidu|SocialMedia)” Kyohi
#SetEnvIf Remote_Host “\.(or|ad|ne|co|go|ac)\.(jp$)” !Kyohi

order allow,deny
allow from all

Deny from env=Kyohi

(1)まず変数を作りリセットしておきます。（この行はなくても問題ないです）
SetEnv !Kyohi

(2)IE3～IE6 だったら変数をセット
SetEnvIf User-Agent “(MSIE [3456]\.[0-9])” Kyohi

(3)IE7～IE9 or ほかいくつかの要素のときは(2)にマッチしていても変数リセット
SetEnvIf User-Agent “(MSIE [789]\.[0-9]|TweetmemeBot|Lunascape|Sleipnir|IEMobile|Windows CE|InfoPath)” !Kyohi

(4)(3)にマッチしても下記の要素を含んでいたら変数セット
SetEnvIf User-Agent “(Commerce|Baidu|SocialMedia)” Kyohi

そうしておいて、変数がセットされていたら deny します。たまにこれらに該当しないスパムが来たら、(2) ～ (5) の修正でいけるなら修正。パターンとして馴染まないならそれのみdeny に独立で追加する予定です。

　数十数百と IP を羅列して弾いていくよりスマートではないかと思います。でも一般的にそうしてないということはなにか「このやりかたはまずいよ」というのがあるのかもしれません。それに気がついたらまた他の手を考えることにします。

　でも「スパム」はイヤです。スパムの目的は「広告」であり、ネット上においての交流を目的としたものではないし、こちらの情報発信を見てくれるわけでもない。このブログに来る人をカモろうとしているだけです。

　「迷惑メールは儲かる：1日40万円の売上げも」 ←そこに書いてあることが事実なら、スパムメールもコメントも絶対になくなりません。ブログや掲示板として公開している人や団体がこまめにすべてのスパムを非公開にすれば採算が取れなくなってコメントスパムはなくなるかもしれませんが、それは無理でしょうね。放置状態のブログや掲示板は掃いて捨てたくなるほどありますから。

　ということで、コメントスパム排除のためにブログ設置者が取る行動の多くは「ＩＰでのアクセス拒否」です。が、ブログ設置以来、半年以上それをやってきて、どうもそれでのアクセス拒否は難しいのではないかと思いました。（もちろん、スパム判定して拒否してくれるツールを使ってますから、それらのおかげで実際にスパムが書き込まれて公開されることはありません。スパム撃退はできているんですが．．．）

　ラジコの件で再認識しましたが、固定ＩＰでない限り、ＩＰはＩＳＰから割り当てられた物を使いますよね。コメントスパム業者の多くもそうだと思うのです。送り込まれたコメントスパムからＩＰ抜き出して .htaccess に登録しても意味なさそう。Whois や Aguse などのサービスを使ってそのＩＰが含まれるＩＳＰが使ってる範囲を登録すればまだマシですが、それをやるといわゆる「巻き添え」でのアクセス制限を課すことにもなります。逆引きホスト名は「業者の物に設定してあるなら」そのホスト名を頼りに弾けますが、ＩＳＰのホスト名が出てる場合はそれもまた「巻き添え」で弾きます。逆引き設定してない業者も多いです。

　最近話題になりましたが、ボットネットというのもあります。一カ所から投げた書き込みが世界中、複数箇所のＩＰに分散されてあちこちに書き込みをばらまくようです。前に記事にした「万国旗が百花繚乱な怒濤のスパム」なんてのはそれだったんだと思います。そんなＩＰをこまめに排除して廻っても意味ない。

　パソ通のフリーソフト時代、私の得意分野は「パソ通ログ関連」でした。通信ソフトのマクロもですが、とにかく「テキストのパターンの分析」が好きです。正規表現なども大好きです。共通性を見つけて抜き出すのが好き（笑）ＡＯＬのバイナリ形式通信ログからPCVANのテキスト形式ログへコンバートするツールも作りました。

　その眼で「スパム書き込みのアクセスログ」を眺めていたら一定のパターンが見えてきました。それが UserAgent（ブラウザ）です。コメントスパム書き込みの大半、ほぼほとんどが IE6 です。この理由は想像ですが、彼らの使っているツール、今風にいえばアドオンでしょうか、それが IE6 以下でしか動かないのではないかと。ブラウザをアップデートすると動作しなくなるアドオンは普通にありますよね。コメントスパム自動書き込みツールはそういうものなんではないかと思います。彼らは自動書き込みが出来ればいいわけで、脆弱性だの機能だの関係ありませんから、お金を払って新バージョンに対応させるなんて事はしないのでしょう。そのツールが通用する限りにおいては。UserAgent は簡単に偽装可能（メーラーも作成経験あり）なんで、そこらを偽装されたらわからなくなりますが、スパム業者は単純に使うだけ。ツールを改造するなんてことはしないだろうと思います。

[続く]

　当初のもくろみである「コメントスパムをはじき出す」という部分についてはきちんと機能しているようなんですが、以下のようなブラウザ（UserAgenr）もはじかれているのを見つけました。

[ Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; Tablet PC 2.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729) ]

[ Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; InfoPath.1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; OfficeLiveConnector.1.3; OfficeLivePatch.0.0) ]

　他にもいくつかあるんですが、これらは IE 6.0 の表記を含むものの、実際は IE 6.0 ではないですよね（たぶん）。

　これらは除外するように構文を修正しておきました。

　したがってツール提供者が別の偽装をすれば意味のない規制になってしまうのですが、現在の状況としては現実として「コメントスパムの UserAgent は IE6 ばかり」なのです。

　このブログでは IE6 でのアクセスをはじくことにしました。

　ＩＥ６についてはサイドバー下方にある「ＩＥ６をお使いの方へ」 でお知らせしてるように、すでに過去の物です。Youtube など大手のサービスでＩＥ６のサポートが廃止されつつあります。仕事場でInternet Explorer６しか使えないとか、何か理由があってInternet Explorer６のみの方は、ここのような個人ブログにどうしてもアクセスしなければならないということはないのではないでしょうか。

　ここにいくら書いてもはじいてしまったら読めないのですが、意見表明としてここに書いておきます。Internet Explorer６ユーザーの方、ごめんなさい。なにか私の気がついていない「Internet Explorer６を排除すると～が困るよ、まずいよ」ということがあったらぜひ教えて下さい。それによっては設定をまた変更いたします。

　上記のニュースを読み、もしかしたらコメントスパムも減るかもと、試しに .htaccess の拒否設定をなしにしてみました。

　ニュースを読んだのが２月２６日。実行したのが２７日。それから数日、まったくスパムが来ませんでした。ほぉ、マイクロソフト大成功じゃないか、でもたまたま来てないだけかもと思ったし不安だったのでまた .htaccess を復活。これがいつだったかな。３月２日です。

　そしたら、翌３月３日 .htaccess で弾いているのに、怒濤のスパム来襲にあいました。

　
　ごらんのように、昨年末に大量コメントスパムを受けて以来、１月も２月もほとんど押さえ込めています。３月に入って一気に２９６個のスパム。それに対しての対策はしなかったのに、その後はゼロ状態が続いてます。

　.htaccess での拒否はそのまま復活したのになぜ？　もしかして何か設定間違えたかなと思い、よく見直しましたが戻し間違いはしてない。以前ここでも載せたあの大量のスパム発信アドレスとはまったく違うところから大量にスパムがきました。

　これをまた一つ一つネットワークアドレスを調べてネットマスクごと登録して、と考えたらガックリしたので、もういいやと無視することにしたのです。
　コメントスパムはスパムとして記録に残るだけで、実際には画像認証のおかげで自動には書き込まれないし、手動で来たのか、ごくたまに実際に書き込みされても「初めての人の書き込みは認証待ちにしてある」「Akismet のスパム判断」「複数ＵＲＬが書いてあると認証待ち」と関所がいくつもあるので、スパムの被害は発生しません。記録さえ見なければ気にしないでいい。.htaccess で弾いても、受け入れてもトラフィックが減る分けじゃないし、サーバの負荷は変わらないだろうし、要は実害がなければ気にするかしないかだけの問題。

　と、せっかく開き直って大量のコメントスパムをそのまま受け止めようとしたのに、その直後から、この怒濤のスパムはぴたっと止まりました。見なきゃ気にしないでいいからって言って、記録見てるじゃないかって？　見てます（笑）　数日はしょうがないですよ。どう変化していくのか気になるじゃないですか（笑）

　もしかしたらこのニュース（３月４日）「大規模ボットネットの「Mariposa」摘発、首謀者ら3人を逮捕」って関係してませんかね。 犯人達は、壊滅されたあと別のボットネットを瞬時に立ち上げコメントスパムの再開、その動きを待って首謀者を突き止めた、という筋書きを想像してます。

　いずれにしても、無数のコメントスパム、その配信先アドレスを登録して弾くのは無意味そう。そこが基地なわけじゃなく、ボットネットに感染してる普通の方のパソコンから来るんだから、極端に言えば全世界の全ネットワークアドレスを相手にすることになってしまう。今回マイクロソフトがそれを断ち切ったんだから、「いまこの時点でくるスパム」は固定のそういう業者経由の疑いが濃いのかな。.htaccess を白紙に戻して様子見です。同じところから来るようなら、それらだけを抜き出して登録することにします。

　結論から言いますと、いろいろやりましたが、結局はコメントスパムが来るたびに、こまめに .htaccess に書き足していき、アクセスそのものを弾くという原始的な手法に落ち着いています。

　何も対処せず、WordPress 附属のコメントスパム対処ツール「Akismet」のみに頼ると、コメントスパムは一度書き込まれます。そして非公開のまま、オーナーの確認待ちをします。一つや二つならいいですけど、数百も来たら正当なコメントで確認待ちしてるのと見分けるのが大変になりそう。

　うちは日本語の雑文ブログですし、外国の方が見に来ることを想定してません。そこで、コメントスパムが到着するたびにその IP を Whois や aguse を使い、コメント書き込みをした相手のＩＰやホストネームからネットワークセグメントを調べて、日本国外からのアクセスだったときはネットマスクごと、つまりそれが含まれるＩＳＰ丸ごとを .htaccess に登録することにしました。スパム以外の普通のユーザー（たまにグーグル翻訳して読んでる外国の方もいるようです）が使ってるＩＰも含まれてしまうかもしれませんが、外国人相手のブログではないので、それでかまわないとしました。コメントスパム業者を野放しにしているＩＳＰを使ったのが運の悪さってことで。

　国別ドメインでの排除指定はあまり有効ではありません。たとえば日本だと .jp になるようにロシアだと .ru がつきます。これらでも排除指定ができるわけです。でも、日本でも .com とか .info .net など、.jp 以外のドメインもあるように、外国にもそれがあり、国別汎用ドメインで排除指定しても意味ないです。また、逆引きできずＩＰしかわからない相手も存在します。国指定で完全に排除できたらかなり楽なんだけどね。

　ちなみに、国別ドメインは「便利ＣＯＭ！！　世界のドメイン情報」 で詳しく解説されてます。

　しばらくそれで運用してましたが、アクセスの時点で弾いてしまいますから、運営用のコンソール画面を見ても何も変化がありません。人間、ワガママなもので、何もなく平穏無事だとそれはそれでおもしろくないと思うようになりました。

　ということで、.htaccess での制御をやめ（百度からのアクセスは弾くまま残した） 、コメント書き込み時に「画像認証（SI CAPTCHA Anti-Spam）」を使いはじめました。これなら、ツールを使った自動での書き込みはできませんが、記録には残るのでどのくらいスパムが来てるのかわかる。公開待ちで書き込まれるわけではないから、削除する手間もない。コメントスパムの趨勢だけわかって便利。だったのですが．．．

以下の画像を見てください。（表にある HAM ってのは普通の書き込みとコメントの総数です）

　「４５」ってなってるところは、「百度だって普通のクローラーだろうし、そろそろ解禁してあげるか」と .htaccess から外した直後、たくさんのスパムが来たときです。慌ててまた百度だけ弾くようにしたら沈静化しました。偶然の一致なんだろうと思うんですが、私としては疑っています。

　その後は、パラパラと来るだけで安泰でした。ところが、１２月下旬にドカンと来ました。その３２９個のスパムはわずか一時間くらいの間に集中してます。これはひどい。このまま放置したら一日数千件ってのになってしまう。いくら記録されるだけで書き込みはされないとはいえ、記録データが太るのがいや。

　その３００超えるコメントスパム、同じところから多数来ておりＩＰ総数はそれほどでもありませんでしたので、以前使ってた .htaccess を掘り起こし、さらにこの分を追加登録しました。結果として、いまは「コメントスパムご新規さん」は数日に一つあるかないかくらい。画像下の表にあるように一月分で１０個が新たに来ただけです。新たに来たものは .ataccess に追加していってます。

　めちゃ長くなりますが、2010/02/01 現在使用中の denny 文を以下に載せておきます。利用するのは自己責任でご自由にどうぞ。以下の羅列ＩＰは「実際にウチにコメントスパムを送り込んできたＩＰ」です。他のサイトからコピーしたものではありません。

order allow,deny
allow from all
#
#Australia（オーストラリア）
deny from 118.127.0.0/18
#
#Austria（オーストリア）
deny from 78.142.140.192/29
#
#Antarctica（南極大陸）
deny from 84.22.122.0/24
#
#Belize（ベリーズ）
deny from 91.214.44.0/22
#
#BANGLADESH（バングラデシュ）
deny from 202.56.4.0/22
#
#Canada（カナダ）
deny from 67.58.192.0/19
deny from 72.51.32.0/20
deny from 142.166.0.0/16
deny from 174.142.0.0/16
deny from 207.35.172.192/27
#
#Cambodia（カンボジア）
deny from 203.144.64.0/19
#
#China（中国）
deny from 59.32.0.0/12
deny from 60.29.239.0/24
deny from 61.153.149.192/27
deny from 113.96.0.0/12
deny from 122.224.65.96/27
deny from 202.99.29.0/26
deny from 203.93.211.0/24
deny from 219.231.128.0/20
deny from 211.141.80.0/16
deny from 221.214.27.248/29
deny from 222.64.0.0/12
deny from 222.76.208.0/20
#
#Cyprus（キプロス）
deny from 91.199.112.0/24
#
#Czech Republic（チェコ共和国）
deny from 81.2.200.0/24
#
#Denmark（デンマーク）
deny from 83.91.86.24/29
deny from 91.198.227.0/24
deny from 193.89.248.0/24
#
#Finland（フィンランド）
deny from 62.142.86.0/25
#
#France（フランス）
deny from 77.207.0.0/16
deny from 78.224.0.0/12
deny from 79.81.48.0/12
deny from 91.121.160.0/19
deny from 91.121.32.0/19
#
#Germany（ドイツ）
deny from 85.10.208.0/21
deny from 85.214.16.0/16
deny from 87.118.96.0/19
deny from 88.198.0.0/20
deny from 89.149.253.0/22
deny from 93.93.251.32/29
#
#Hungary（ハンガリー）
deny from 84.3.0.0/16
#
#Hong Kong（香港）
deny from 202.67.208.0/18
deny from 210.6.0.0/18
#
#Israel（イスラエル）
deny from 84.111.0.0/18
#
#India（インド）
deny from 210.212.214.176/28
#
#Iran（イラン）
deny from 89.165.32.0/20
#
#Italy（イタリア）
deny from 88.46.239.40/29
deny from 94.47.194.48/29
#
#Korea, Republic Of（韓国）
deny from 222.96.0.0/11
#
#Latvia（ラトビア）
deny from 188.92.74.0/24
deny from 188.92.75.0/24
deny from 195.88.32.0/23
#
#Malaysia（マレーシア）
deny from 202.188.222.0/25
#
#Moldova（モルドバ）
deny from 89.28.114.0/24
#
#Norway（ノルウェー）
deny from 81.166.13.0/24
#
#Netherlands（オランダ）
deny from 85.17.215.0/24
deny from 89.248.169.106/29
deny from 89.248.172.0/26
deny from 94.75.231.0/24
deny from 94.102.48.0/20
#
#Pakistan（パキスタン）
deny from 203.215.174.0/24
#
#Philippines（フィリピン）
deny from 120.28.64.0/18
#
#Russian Federation（ロシア連邦）
deny from 87.245.187.240/29
deny from 91.212.226.0/24
deny from 92.241.164.1/23
deny from 92.241.182.0/24
deny from 213.108.56.0/21
#
#Singapore（シンガポール）
deny from 119.27.0.0/18
deny from 203.116.167.32/27
#
#Sri Lanka（スリランカ）
deny from 222.165.133.0/24
#
#Switzerland（スイス）
deny from 194.8.74.0/23
#
#Taiwan（台湾）
deny from 114.25.0.0/16
deny from 118.160.0.0/16
deny from 118.168.0.0/14
#
#Ukraine（ウクライナ）
deny from 78.26.161.0/19
deny from 91.207.4.0/20
deny from 91.124.128.0/17
deny from 92.113.0.0/16
deny from 94.178.0.0/16
deny from 95.134.0.0/16
deny from 195.190.13.0/24
#
#United Arab Emirates（アラブ首長国連邦）
deny from 195.229.62.128/26
#
#Uruguay（ウルグアイ）
deny from 189.0.0.0/8
deny from 190.0.0.0/8
deny from 200.0.0.0/8
#
#UNITED KINGDOM（イギリス）
deny from 89.151.64.0/18
deny from 91.194.74.0/23
deny from 178.92.0.0/14
deny from 217.114.215.192/26
#
#UNITED STATES （アメリカ合衆国）
deny from 8.0.0.0/8
deny from 24.131.128.0/18
deny from 64.27.0.0/19
deny from 64.246.165.128/25
deny from 66.40.52.0/24
deny from 66.230.230.0/24
deny from 66.233.0.0/16
deny from 69.71.222.187
deny from 69.244.0.0/19
deny from 69.254.224.0/19
deny from 70.168.112.0/20
deny from 72.64.118.112/29
deny from 72.249.0.0/17
deny from 72.249.128.0/18
deny from 98.211.128.0/17
deny from 204.8.152.0/21
deny from 204.160.0.0/14
deny from 208.75.208.0/21
deny from 216.24.142.32/27
deny from 216.224.124.112/28
#
#以下はスパムではなく百度などの中国系のクローラー
# 百度株式会社
deny from 61.135.0.0/16
deny from 119.63.192.0/21
deny from 119.63.195.0/24
deny from 121.8.0.0/13
deny from 123.112.0.0/12
deny from 124.114.0.0/15
deny from 220.160.0.0/11
#

中国の検索サイトになんか載らないでもいいんで、こいつもアクセス制限をかけました。そしたらですね。なんと不思議なことに増えつつあったゲストブックへのコメントスパムがぱたっと止まりました。偶然かもしれませんが、こいつがウチの情報をテンプレ化して流してたんじゃないかと疑ってます。ほんとに偶然かもしれませんがね。スパムコメントで困ってる方、.htaccess が使えるなら「百度」を弾いた方が良いかもしれませんよ。

　ずっとそのまま .htaccess で弾いてきました。先日書き込み時の画像認証（キャプチャ：SI CAPTCHA Anti-Spam）を導入して、.htaccess 内の他のアクセス拒否はほとんどを削除しましたが、それでも「百度」と「トレンドマイクロ」はそのまま残してありました。スパムではなく、単純にイヤだったからですね。

　昨日、ふと思い直し、「百度」からの検索ロボットも受け入れた方がいいかな、メジャーな検索サイトらしいし、Google で調べてもそんなに悪いウワサは出てないみたいだしってことで、.htaccess から外しました。

　そしたらところがなんとまあびっくりぎょうてんでありますのことよ（笑）

　みてくださいな、この百花繚乱の国旗。これ全部昨晩数時間の出来事、それも「百度」からのアクセス制限を外した直後から私が寝るまでの二時間くらいの間です。弾いていたときにエラーログに入ったそれをみると一日だいたい２０～３０回「百度」からのアクセスがあります。一時間に一回以上来てるから、制限を外してすぐに入り込んできてるのは間違いない。検索ロボットの記録は採ってない（単にログがふくれるだけなんで、有名どころは記録しない設定にしてあります）ので、いつ来たのかはブログのログではわかりません。サーバのログ見ればわかるけど面倒なのでパス。

　この多国籍アクセスで Internet Explorer６のやつはすべてスパムです。認証画像を読めないので実際には書き込めてませんが、認証コードを入れずに書き込みまで進もうとしてエラーになったことはログに残ってます。

　百度が悪さをしていると言いたいのではなく、スパムを送信するやつら、「百度の検索結果をなんらかの方法で使ってスパムを送ってる」のだとしか思えません。寝る前に再び .htaccess に百度を拒否する設定にしましたら、その百花繚乱国旗騒ぎはピタっと止まり、朝のチェックではいつもどおりの記録しかありませんでした。つまり、たまにぽつんぽつんとスパムが来てる状態。「百度」にいったん収まった検索結果を使うなら、一度そうなった以上、ずっとそれを利用したスパムが来続けてもおかしくないだろうに、「百度」を拒否したらぴたっと止まったというのが、なんともかんともであります。たった二度ではありますが、前回もそうだったわけですからね。

　参考までに、うちの .htaccess にある百度の拒否設定は以下のとおりです。日本法人の百度と中国からくる百度の両方を拒否してます。

2010/03/24 編集
　「百度 .htaccess」のキーワードで検索してここを見る人が妙に多いので、この枠内に書いた旧いデータは消しておきます。

Akismet は25件のコメントスパムからあなたのサイトを保護しました。

　こういうのは増えてからじゃ面倒なので、スパムが来るたびにその IP を .htaccess に追加してます。スパムは一度来ると同じところから何度もしつこく来ますから。アクセス制限掛けちゃえば少なくともそこからは来なくなる。スパムリストだから晒してもいいのか。晒しておきますね。そこを使ってるってだけの単なるＩＳＰの羅列だとは思いますけど、以下の国から日本語だけのウチに来てもらわなくてもかまわないですから遠慮無く制限かけちゃってます。

#Russian: Federation Artem Zhirkov
deny from 91.212.226.0/24
#Russian: Federation ZAO “Delovaja set” Ufa
deny from 81.30.218.0/23
deny from 81.30.220.0/23
#RUSSIAN: FEDERATION MOSCOW CITY MOSCOW RU-CORBINA-20081010
deny from 95.24.0.0/13
#RUSSIAN: FEDERATION BASHKORTOSTAN UFA UBN
deny from 94.41.0.0/17
#Cyprus: Centralux Ltd
deny from 91.199.112.0/24
#brazil: viagera.cyallis MPS Informatica
deny from 200.160.16/20
deny from 212.95.51.0/24
deny from 212.95.52.0/24
#Moldova: SC STARNET SRL Chisinau
deny from 89.28.114.0/24
#Germany: Sedo Domain Parkingc/o Plusline
deny from 82.98.86.0/24
#GERMANY: BERLIN BERLIN NL-INTERNETUNLTD
deny from 213.131.234.0/28
#GERMANY: BAYERN NUERNBERG HETZNER-RZ-NBG-NET
deny from 85.10.192.0/20
#CHINA: BEIJING BEIJING CMNET-yunnan
deny from 218.202.0.0/18
#Belize: ALTUSHOST-NET
deny from 91.214.44.0/22
#百度株式会社
deny from 119.63.192.0/21

　ロシアとドイツが多くて、意外なのは中国が少ない。で、スパムコメントが書き込まれる場所は全部同じところ。「ゲストブック（もどき）」。スパムコメントはわざわざここまで来て手動で書き込む分けじゃなく、自動なわけです。自動にするためにはそのためのテンプレート（書き込み先リスト）が必要。ウチの「ゲストブック（もどき）」に書き込むためのテンプレートが出回ったということです。処理しきれなくなったらコメント書き込みできないようにすればいいんだろうけど、ここだけに集中させておけば「スパムホイホイ」になっていいかもしれない。

　でね、ふと思ってサーバのアクセスログをしげしげと眺めてみました。検索ロボットのアクセスは Wprdpress の解析ツールで除外してます。アクセス記録そのものが解析に含まれず見えないようにしてある。アクセスログを見て第一に感じたこと。

Baiduspider ←コレ多すぎ。Baidu って「百度」です。中国系の検索ロボット。そこの日本法人から半端じゃない数のアクセスがある。

　中国の検索サイトになんか載らないでもいいんで、こいつもアクセス制限をかけました。そしたらですね。なんと不思議なことに増えつつあったゲストブックへのコメントスパムがぱたっと止まりました。偶然かもしれませんが、こいつがウチの情報をテンプレ化して流してたんじゃないかと疑ってます。ほんとに偶然かもしれませんがね。スパムコメントで困ってる方、.htaccess が使えるなら「百度」を弾いた方が良いかもしれませんよ。