htaccess一覧

コメントスパムの挙動がおかしい

2月26日のニュース
Microsoftがボットネット対抗作戦、Waledacの通信断ち切る

 上記のニュースを読み、もしかしたらコメントスパムも減るかもと、試しに .htaccess の拒否設定をなしにしてみました。

 ニュースを読んだのが2月26日。実行したのが27日。それから数日、まったくスパムが来ませんでした。ほぉ、マイクロソフト大成功じゃないか、でもたまたま来てないだけかもと思ったし不安だったのでまた .htaccess を復活。これがいつだったかな。3月2日です。

 そしたら、翌3月3日 .htaccess で弾いているのに、怒濤のスパム来襲にあいました。

Akismet画像 
 ごらんのように、昨年末に大量コメントスパムを受けて以来、1月も2月もほとんど押さえ込めています。3月に入って一気に296個のスパム。それに対しての対策はしなかったのに、その後はゼロ状態が続いてます。

 .htaccess での拒否はそのまま復活したのになぜ? もしかして何か設定間違えたかなと思い、よく見直しましたが戻し間違いはしてない。以前ここでも載せたあの大量のスパム発信アドレスとはまったく違うところから大量にスパムがきました。

 これをまた一つ一つネットワークアドレスを調べてネットマスクごと登録して、と考えたらガックリしたので、もういいやと無視することにしたのです。
 コメントスパムはスパムとして記録に残るだけで、実際には画像認証のおかげで自動には書き込まれないし、手動で来たのか、ごくたまに実際に書き込みされても「初めての人の書き込みは認証待ちにしてある」「Akismet のスパム判断」「複数URLが書いてあると認証待ち」と関所がいくつもあるので、スパムの被害は発生しません。記録さえ見なければ気にしないでいい。.htaccess で弾いても、受け入れてもトラフィックが減る分けじゃないし、サーバの負荷は変わらないだろうし、要は実害がなければ気にするかしないかだけの問題。

 と、せっかく開き直って大量のコメントスパムをそのまま受け止めようとしたのに、その直後から、この怒濤のスパムはぴたっと止まりました。見なきゃ気にしないでいいからって言って、記録見てるじゃないかって? 見てます(笑) 数日はしょうがないですよ。どう変化していくのか気になるじゃないですか(笑)

 もしかしたらこのニュース(3月4日)「大規模ボットネットの「Mariposa」摘発、首謀者ら3人を逮捕」って関係してませんかね。 犯人達は、壊滅されたあと別のボットネットを瞬時に立ち上げコメントスパムの再開、その動きを待って首謀者を突き止めた、という筋書きを想像してます。

 いずれにしても、無数のコメントスパム、その配信先アドレスを登録して弾くのは無意味そう。そこが基地なわけじゃなく、ボットネットに感染してる普通の方のパソコンから来るんだから、極端に言えば全世界の全ネットワークアドレスを相手にすることになってしまう。今回マイクロソフトがそれを断ち切ったんだから、「いまこの時点でくるスパム」は固定のそういう業者経由の疑いが濃いのかな。.htaccess を白紙に戻して様子見です。同じところから来るようなら、それらだけを抜き出して登録することにします。


ここ最近の「コメントスパム」状況

 開設当初以来、いろいろと対策してきました。Wordpress 附属の Akismet のみに任せてみたり、.htaccess の書き方を工夫してみたり、画像認証の「SI CAPTCHA Anti-Spam」を導入したり。

 結論から言いますと、いろいろやりましたが、結局はコメントスパムが来るたびに、こまめに .htaccess に書き足していき、アクセスそのものを弾くという原始的な手法に落ち着いています。

 何も対処せず、Wordpress 附属のコメントスパム対処ツール「Akismet」のみに頼ると、コメントスパムは一度書き込まれます。そして非公開のまま、オーナーの確認待ちをします。一つや二つならいいですけど、数百も来たら正当なコメントで確認待ちしてるのと見分けるのが大変になりそう。

 うちは日本語の雑文ブログですし、外国の方が見に来ることを想定してません。そこで、コメントスパムが到着するたびにその IP を Whois や aguse を使い、コメント書き込みをした相手のIPやホストネームからネットワークセグメントを調べて、日本国外からのアクセスだったときはネットマスクごと、つまりそれが含まれるISP丸ごとを .htaccess に登録することにしました。スパム以外の普通のユーザー(たまにグーグル翻訳して読んでる外国の方もいるようです)が使ってるIPも含まれてしまうかもしれませんが、外国人相手のブログではないので、それでかまわないとしました。コメントスパム業者を野放しにしているISPを使ったのが運の悪さってことで。

 国別ドメインでの排除指定はあまり有効ではありません。たとえば日本だと .jp になるようにロシアだと .ru がつきます。これらでも排除指定ができるわけです。でも、日本でも .com とか .info .net など、.jp 以外のドメインもあるように、外国にもそれがあり、国別汎用ドメインで排除指定しても意味ないです。また、逆引きできずIPしかわからない相手も存在します。国指定で完全に排除できたらかなり楽なんだけどね。

 ちなみに、国別ドメインは「便利COM!! 世界のドメイン情報」 で詳しく解説されてます。

 しばらくそれで運用してましたが、アクセスの時点で弾いてしまいますから、運営用のコンソール画面を見ても何も変化がありません。人間、ワガママなもので、何もなく平穏無事だとそれはそれでおもしろくないと思うようになりました。

 ということで、.htaccess での制御をやめ(百度からのアクセスは弾くまま残した) 、コメント書き込み時に「画像認証(SI CAPTCHA Anti-Spam)」を使いはじめました。これなら、ツールを使った自動での書き込みはできませんが、記録には残るのでどのくらいスパムが来てるのかわかる。公開待ちで書き込まれるわけではないから、削除する手間もない。コメントスパムの趨勢だけわかって便利。


スパム(SPAM)書き込みが来るようになってきた

 といっても、まだ大騒ぎするほどは来てないです。Wordpress に同梱されてくるスパム撃退プラグイン「Akismet」をほぼ最初から動かしてまして、いまのところ100%捕捉してくれてます。開設二ヶ月で25件ですからまだまだ少ない。

Akismet は25件のコメントスパムからあなたのサイトを保護しました。

 こういうのは増えてからじゃ面倒なので、スパムが来るたびにその IP を .htaccess に追加してます。スパムは一度来ると同じところから何度もしつこく来ますから。アクセス制限掛けちゃえば少なくともそこからは来なくなる。スパムリストだから晒してもいいのか。晒しておきますね。そこを使ってるってだけの単なるISPの羅列だとは思いますけど、外国から日本語だけのウチに来てもらわなくてもかまわないですから遠慮無く制限かけちゃってます。

 ロシアとドイツが多くて、意外なのは中国が少ない。で、スパムコメントが書き込まれる場所は全部同じところ。「ゲストブック(もどき)」。スパムコメントはわざわざここまで来て手動で書き込む分けじゃなく、自動なわけです。自動にするためにはそのためのテンプレート(書き込み先リスト)が必要。ウチの「ゲストブック(もどき)」に書き込むためのテンプレートが出回ったということです。処理しきれなくなったらコメント書き込みできないようにすればいいんだろうけど、ここだけに集中させておけば「スパムホイホイ」になっていいかもしれない。

 でね、ふと思ってサーバのアクセスログをしげしげと眺めてみました。検索ロボットのアクセスは Wprdpress の解析ツールで除外してます。アクセス記録そのものが解析に含まれず見えないようにしてある。アクセスログを見て第一に感じたこと。

Baiduspider ←コレ多すぎ。Baidu って「百度」です。中国系の検索ロボット。そこの日本法人から半端じゃない数のアクセスがある。

 中国の検索サイトになんか載らないでもいいんで、こいつもアクセス制限をかけました。そしたらですね。なんと不思議なことに増えつつあったゲストブックへのコメントスパムがぱたっと止まりました。偶然かもしれませんが、こいつがウチの情報をテンプレ化して流してたんじゃないかと疑ってます。ほんとに偶然かもしれませんがね。スパムコメントで困ってる方、.htaccess が使えるなら「百度」を弾いた方が良いかもしれませんよ。