結論から言いますと、いろいろやりましたが、結局はコメントスパムが来るたびに、こまめに .htaccess に書き足していき、アクセスそのものを弾くという原始的な手法に落ち着いています。

　何も対処せず、WordPress 附属のコメントスパム対処ツール「Akismet」のみに頼ると、コメントスパムは一度書き込まれます。そして非公開のまま、オーナーの確認待ちをします。一つや二つならいいですけど、数百も来たら正当なコメントで確認待ちしてるのと見分けるのが大変になりそう。

　うちは日本語の雑文ブログですし、外国の方が見に来ることを想定してません。そこで、コメントスパムが到着するたびにその IP を Whois や aguse を使い、コメント書き込みをした相手のＩＰやホストネームからネットワークセグメントを調べて、日本国外からのアクセスだったときはネットマスクごと、つまりそれが含まれるＩＳＰ丸ごとを .htaccess に登録することにしました。スパム以外の普通のユーザー（たまにグーグル翻訳して読んでる外国の方もいるようです）が使ってるＩＰも含まれてしまうかもしれませんが、外国人相手のブログではないので、それでかまわないとしました。コメントスパム業者を野放しにしているＩＳＰを使ったのが運の悪さってことで。

　国別ドメインでの排除指定はあまり有効ではありません。たとえば日本だと .jp になるようにロシアだと .ru がつきます。これらでも排除指定ができるわけです。でも、日本でも .com とか .info .net など、.jp 以外のドメインもあるように、外国にもそれがあり、国別汎用ドメインで排除指定しても意味ないです。また、逆引きできずＩＰしかわからない相手も存在します。国指定で完全に排除できたらかなり楽なんだけどね。

　ちなみに、国別ドメインは「便利ＣＯＭ！！　世界のドメイン情報」 で詳しく解説されてます。

　しばらくそれで運用してましたが、アクセスの時点で弾いてしまいますから、運営用のコンソール画面を見ても何も変化がありません。人間、ワガママなもので、何もなく平穏無事だとそれはそれでおもしろくないと思うようになりました。

　ということで、.htaccess での制御をやめ（百度からのアクセスは弾くまま残した） 、コメント書き込み時に「画像認証（SI CAPTCHA Anti-Spam）」を使いはじめました。これなら、ツールを使った自動での書き込みはできませんが、記録には残るのでどのくらいスパムが来てるのかわかる。公開待ちで書き込まれるわけではないから、削除する手間もない。コメントスパムの趨勢だけわかって便利。だったのですが．．．

以下の画像を見てください。（表にある HAM ってのは普通の書き込みとコメントの総数です）

　「４５」ってなってるところは、「百度だって普通のクローラーだろうし、そろそろ解禁してあげるか」と .htaccess から外した直後、たくさんのスパムが来たときです。慌ててまた百度だけ弾くようにしたら沈静化しました。偶然の一致なんだろうと思うんですが、私としては疑っています。

　その後は、パラパラと来るだけで安泰でした。ところが、１２月下旬にドカンと来ました。その３２９個のスパムはわずか一時間くらいの間に集中してます。これはひどい。このまま放置したら一日数千件ってのになってしまう。いくら記録されるだけで書き込みはされないとはいえ、記録データが太るのがいや。

　その３００超えるコメントスパム、同じところから多数来ておりＩＰ総数はそれほどでもありませんでしたので、以前使ってた .htaccess を掘り起こし、さらにこの分を追加登録しました。結果として、いまは「コメントスパムご新規さん」は数日に一つあるかないかくらい。画像下の表にあるように一月分で１０個が新たに来ただけです。新たに来たものは .ataccess に追加していってます。

　めちゃ長くなりますが、2010/02/01 現在使用中の denny 文を以下に載せておきます。利用するのは自己責任でご自由にどうぞ。以下の羅列ＩＰは「実際にウチにコメントスパムを送り込んできたＩＰ」です。他のサイトからコピーしたものではありません。

order allow,deny
allow from all
#
#Australia（オーストラリア）
deny from 118.127.0.0/18
#
#Austria（オーストリア）
deny from 78.142.140.192/29
#
#Antarctica（南極大陸）
deny from 84.22.122.0/24
#
#Belize（ベリーズ）
deny from 91.214.44.0/22
#
#BANGLADESH（バングラデシュ）
deny from 202.56.4.0/22
#
#Canada（カナダ）
deny from 67.58.192.0/19
deny from 72.51.32.0/20
deny from 142.166.0.0/16
deny from 174.142.0.0/16
deny from 207.35.172.192/27
#
#Cambodia（カンボジア）
deny from 203.144.64.0/19
#
#China（中国）
deny from 59.32.0.0/12
deny from 60.29.239.0/24
deny from 61.153.149.192/27
deny from 113.96.0.0/12
deny from 122.224.65.96/27
deny from 202.99.29.0/26
deny from 203.93.211.0/24
deny from 219.231.128.0/20
deny from 211.141.80.0/16
deny from 221.214.27.248/29
deny from 222.64.0.0/12
deny from 222.76.208.0/20
#
#Cyprus（キプロス）
deny from 91.199.112.0/24
#
#Czech Republic（チェコ共和国）
deny from 81.2.200.0/24
#
#Denmark（デンマーク）
deny from 83.91.86.24/29
deny from 91.198.227.0/24
deny from 193.89.248.0/24
#
#Finland（フィンランド）
deny from 62.142.86.0/25
#
#France（フランス）
deny from 77.207.0.0/16
deny from 78.224.0.0/12
deny from 79.81.48.0/12
deny from 91.121.160.0/19
deny from 91.121.32.0/19
#
#Germany（ドイツ）
deny from 85.10.208.0/21
deny from 85.214.16.0/16
deny from 87.118.96.0/19
deny from 88.198.0.0/20
deny from 89.149.253.0/22
deny from 93.93.251.32/29
#
#Hungary（ハンガリー）
deny from 84.3.0.0/16
#
#Hong Kong（香港）
deny from 202.67.208.0/18
deny from 210.6.0.0/18
#
#Israel（イスラエル）
deny from 84.111.0.0/18
#
#India（インド）
deny from 210.212.214.176/28
#
#Iran（イラン）
deny from 89.165.32.0/20
#
#Italy（イタリア）
deny from 88.46.239.40/29
deny from 94.47.194.48/29
#
#Korea, Republic Of（韓国）
deny from 222.96.0.0/11
#
#Latvia（ラトビア）
deny from 188.92.74.0/24
deny from 188.92.75.0/24
deny from 195.88.32.0/23
#
#Malaysia（マレーシア）
deny from 202.188.222.0/25
#
#Moldova（モルドバ）
deny from 89.28.114.0/24
#
#Norway（ノルウェー）
deny from 81.166.13.0/24
#
#Netherlands（オランダ）
deny from 85.17.215.0/24
deny from 89.248.169.106/29
deny from 89.248.172.0/26
deny from 94.75.231.0/24
deny from 94.102.48.0/20
#
#Pakistan（パキスタン）
deny from 203.215.174.0/24
#
#Philippines（フィリピン）
deny from 120.28.64.0/18
#
#Russian Federation（ロシア連邦）
deny from 87.245.187.240/29
deny from 91.212.226.0/24
deny from 92.241.164.1/23
deny from 92.241.182.0/24
deny from 213.108.56.0/21
#
#Singapore（シンガポール）
deny from 119.27.0.0/18
deny from 203.116.167.32/27
#
#Sri Lanka（スリランカ）
deny from 222.165.133.0/24
#
#Switzerland（スイス）
deny from 194.8.74.0/23
#
#Taiwan（台湾）
deny from 114.25.0.0/16
deny from 118.160.0.0/16
deny from 118.168.0.0/14
#
#Ukraine（ウクライナ）
deny from 78.26.161.0/19
deny from 91.207.4.0/20
deny from 91.124.128.0/17
deny from 92.113.0.0/16
deny from 94.178.0.0/16
deny from 95.134.0.0/16
deny from 195.190.13.0/24
#
#United Arab Emirates（アラブ首長国連邦）
deny from 195.229.62.128/26
#
#Uruguay（ウルグアイ）
deny from 189.0.0.0/8
deny from 190.0.0.0/8
deny from 200.0.0.0/8
#
#UNITED KINGDOM（イギリス）
deny from 89.151.64.0/18
deny from 91.194.74.0/23
deny from 178.92.0.0/14
deny from 217.114.215.192/26
#
#UNITED STATES （アメリカ合衆国）
deny from 8.0.0.0/8
deny from 24.131.128.0/18
deny from 64.27.0.0/19
deny from 64.246.165.128/25
deny from 66.40.52.0/24
deny from 66.230.230.0/24
deny from 66.233.0.0/16
deny from 69.71.222.187
deny from 69.244.0.0/19
deny from 69.254.224.0/19
deny from 70.168.112.0/20
deny from 72.64.118.112/29
deny from 72.249.0.0/17
deny from 72.249.128.0/18
deny from 98.211.128.0/17
deny from 204.8.152.0/21
deny from 204.160.0.0/14
deny from 208.75.208.0/21
deny from 216.24.142.32/27
deny from 216.224.124.112/28
#
#以下はスパムではなく百度などの中国系のクローラー
# 百度株式会社
deny from 61.135.0.0/16
deny from 119.63.192.0/21
deny from 119.63.195.0/24
deny from 121.8.0.0/13
deny from 123.112.0.0/12
deny from 124.114.0.0/15
deny from 220.160.0.0/11
#

　「なかのさんち」へのコメントスパム頻度は以下のとおり。

グラフ中の文字は画像に私が書き込んだものです。

　検索すると、毎日数千単位で攻撃を受けてるサイトもあるようなので、微々たるものだとは思います。それでも９月中はゼロ、１０月に１０だったものが、１１月にはもう１００を超えました。

　コメントスパムが来ても、Akismet がいまのところ１００％捕捉してくれて、「スパムらしい」との表記がついて非公開のまま承認待ちとなりますし、万が一そこから漏れても一度も許可をしてない新規書き込みとリンク先URLを複数含む書き込みは管理者の承認待ちで非公開とする設定にしてますから公開されて焦る事態にはなりません。

　が、しかし（笑）、公開はされませんが承認待ちとして存在するわけで、管理者である私がそれらを削除しないといけません。たまにあるならいいとしても、そのグラフのとおりほぼ毎日何通かの書き込みはあるんで最近はめんどうになってきたところでした。書き込み時の画像認証を導入したら、コメントスパムとしての統計には載りますが、書き込み自体がなされないようになりました。とても楽です。

　安心していたら一つ問題発生。管理者への問い合わせように設置したメールフォーム。これにはこの画像による文字列認証が適用されていないのでした。変なメールが届いて慌てて設定を見直したら、このメールフォームがオプションとして指定できる文字列認証は指定されていまして、今回採用した「SI CAPTCHA Anti-Spam」 ではありませんでした。さてどうしたもんか。何らかのタグを何らかの php ファイルに埋め込めばいいんだろうとは思いながらも、めんどうだなの思いが先に立ちます。メールフォームの方はそれ自身が持つ機能の「問いに答える」方式を使うことにしました。問いは自動生成ではありませんので同じ物が何回も出ますけど、自動書き込み防止にはなんとかなりそう。ヘキサゴン２のメンバーでも答えられるに違いない程度の問題を入れておきましたからそれこそわからないという問題はないでしょう（笑）

　それともう一点。画像認証のアップデートをしたら文字がかなり見分けがたくなってしまいました。たぶんＯＣＲなどでの自動解析を考慮してのことだと思います。それに伴い、音声で読み上げるのもメディアプレイーヤーを起動するのではなく、その場で発声できるようになりましたから、見分けにくかったら音声で出してみてください。あるいは読める文字になるまで「表示画像を変えますアイコン」をクリックしてください。

一つ目

（１）全部不許可
（２）その中から一部許可
（３）許可した中からさらに一部不許可

　これの（３）がダメみたいです。そういう積み重ねた処理はできないようで、（２）で許可した、たとえば .com などは（３）で個別に指定してもすべて通過しちゃいました。仕方ないのでアクセスログとにらめっこした結果、.com の IP で通した方が良さそうなのは三つしかないと見当をつけ、.com も全部不許可の仲間入り。

許可しているのは以下のとおり。普通のアクセスなのに弾かれたのを見つけたら追加していくつもりだった。以下枠内の下の方はそれです。

allow from .jp
allow from .uk
allow from .google.com
allow from .googlebot.com
allow from .msn.com
allow from .yahoo.net
allow from .bbtec.net
allow from .mediatti.net
#アイ・ティー・テレコム株式会社
allow from 221.246.250.64/29

　これで安泰だと思ったのでありますが。

　ダメだった理由二つ目

　甘かったです。ななななんと .jp からのスパム攻撃が来てしまいました。

　エラーログと照らし合わせていくととにかくしつこいのです。敵はあきらめない。手を変え品を変えてやってくる。なんであきらめないんだろ。

　どのくらいしつこいか見てもらいましょうか。ちょっと長いですけど。編集して「時刻、IP、Agent」だけにしときます。ワンスパンというかこれが一回の攻撃です。これで一回と判断したのは時刻が連続していることと、Agent（ブラウザ）が同じであること。

　零時からこの書き込みまでの時間、約１７時間ですね。その間に回数としては約５００アクセスほどエラーになってます。

2009/11/14 00:10:11
IP_ADDR = [ anonymizer2.blutmagie.de ]
Agent = [ Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.00 ]

2009/11/14 00:10:45
IP_ADDR = [ 72.22.210.100 ]
Agent = [ Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.00 ]

2009/11/14 00:11:23
IP_ADDR = [ tor-exit.aof.su ]
Agent = [ Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.00 ]

2009/11/14 00:11:59
IP_ADDR = [ tor-exit.aof.su ]
Agent = [ Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.00 ]

2009/11/14 00:12:10
IP_ADDR = [ tor-exit.podgorny.cz ]
Agent = [ Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.00 ]

2009/11/14 00:12:40
IP_ADDR = [ 208.53.170.51 ]
Agent = [ Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.00 ]

2009/11/14 00:13:21
IP_ADDR = [ torproject.org.all.de ]
Agent = [ Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.00 ]

2009/11/14 00:13:27
IP_ADDR = [ 72.22.210.100 ]
Agent = [ Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.00 ]

2009/11/14 00:14:22
IP_ADDR = [ tor-proxy.fejk.se ]
Agent = [ Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.00 ]

2009/11/14 00:14:33
IP_ADDR = [ anonymisierungsdienst.foebud.org ]
Agent = [ Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.00 ]

2009/11/14 00:15:14
IP_ADDR = [ 208.53.170.51 ]
Agent = [ Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.00 ]

2009/11/14 00:15:59
IP_ADDR = [ tor-exit.aof.su ]
Agent = [ Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.00 ]

2009/11/14 00:16:53
IP_ADDR = [ tor-exit.aof.su ]
Agent = [ Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.00 ]

　それでも弾いているのだからいいやと思い、外出して戻ってきましたら、コメントスパムが９つも入ってるじゃありませんか（管理者承認待ちで止まってます）。

　あらぁ？と思って調べたら。そのスパム、書き込んできたアクセス IP は .jp なんですよ。上に挙げた例示みたいなアクセスがしつこく続いたあと、.jp で書きこんでる。しかも大手ＩＳＰである BIGLOBE です。それと北陸のよく知らない ISP。どちらも検索して管理者にメールを出しておきましたが、これは避けようがない。そんなIPで規制はできないですもん。BIGLOBE を規制するわけにはいかない(^_^;)

　ということで、この.htaccess での制限は補助としての使い方しかできないような気がしてきました。書き込み時の認証必要システムを導入いたします。認証キーが読めなかったら右側のスピーカーアイコンをクリックすると読み上げてくれますのでそれを聞くか、その下のアイコンを押すと別の認証キーになりますので、読めるのが出るまで出し直すかしてください。

　そうそう。スパムの接触じゃなくて、クローラーだと思うんですけど、IP から検索したら法務省のがありました。なんなんだろ、これ。一応アクセスＯＫに設定しましたけど。

法務省 MOJNET 202.214.11.0/24