本稿は、ちょっとした事務連絡です。先日より当ウェブサイトに読者コメントを入力する際、ロボット除けの文字列を「日本語で」入力することを要求し始めましたが、これにより以前は1日数百件寄せられていた外国からのスパムコメントがピタリと収まりました。まさにゼロ件です。当ウェブサイトは設立以来9年間、スパムと不正ログイン(トライ)の被害を受けてきたのですが、なんとも興味深いことです。不正ログイン攻撃などを受けていらっしゃる企業サイト運営担当者の方がいらっしゃれば、ご連絡下さればその一部を紹介します。
ウェブサイト運営の悩みは外国からの攻撃
当ウェブサイトは2016年7月に開始して以来、順調にアクセス数も伸びて行ったのですが、ここで初めて読者の皆さまに打ち明けておかねばならないことがあります。
じつは、当ウェブサイトは開設以来、常にスパムコメントやウェブサイト乗っ取りなどの脅威に晒され続けてきました。
スパムコメント
ウェブサイトの記事とまったく無関係な、詐欺サイト・ポルノサイト・違法薬物サイト・ウイルスサイトなどに誘導するためのコメント。圧倒的多数のコメントは外国語(英語、ロシア語、中国語、稀にアラビア語や韓国語など)で日本語のものは滅多になく、あったとしても1万件に1件程度
スパムメール
当ウェブサイトの代表アドレス(info@shinjukuacc.com)などに寄せられるもので、クレジットカード会社名やAmazonなどを騙るものが多く、また、英語のものはロシア、米国、欧州などが発信源。日本語のものは圧倒的多数の発信源が中国。
※「ウェブサイト乗っ取り」については敢えて詳細を記載しません。
スパムコメント対策に力を入れるわけ
スパムコメントについては、IPアドレスなどから判断して、約半数がロシアかその周辺国、残りが欧州、米国、中央アジア諸国などであり、また、ウェブサイト乗っ取りは米国や南米などが中心で、これら以外にもウェブサイト代表メール宛に、フィッシング詐欺メール(発信元の8割は中国)がひっきりなしに寄せられます。
これらのうち詐欺メールについては、被害に遭う可能性があるのは著者自身のみであり、また、この10年間ひっきりなしに詐欺メール対策をしてきたため、正直、対策はいくらでもできます(たとえば中国からのメールをシャットアウトする、など)。
しかし、スパムコメントについては、そういうわけにはいきません。
とくにスパムコメントについては、万が一にも承認・表示されようものなら、読者の皆さまの目に留まり、うっかり読者の皆さまがそのリンク先をタップしてしまおうものなら、違法ポルノサイト、違法カジノサイト、違法薬物サイト、さらにはウィルスサイトなどに飛ばされてしまいかねないからです。
当ウェブサイトではスパム除けを実装しており、幸いなことに、現時点でスパムコメントが表示された事例は数えるほどしかありません(その煽りでごく稀に読者の皆さまからの正常なコメントがはじかれてしまうこともあります)。
ただ、それでもスパムコメントは多いときには1日に数百件単位で寄せられるため、万が一にもシステムエラーによりこれらが間違って承認されてしまえば、当ウェブサイトが読者の皆さまのPCやスマホを危険にさらすことになりかねません。
すなわち、当ウェブサイトは常に、こうした犯罪的なスパムコメントとの戦いを繰り広げていたわけであり、こうした攻撃は昨日まで続いてい「た」ことを、報告したいと思います。
ロボット除けの文字列を導入するとスパムが完全に消えた!
ただ、ここで「昨日まで続いていた」と過去形にしたのには理由があります。驚くような素晴らしい出来事があったからです。
とある理由で当ウェブサイトのセキュリティを強化せざるを得なくなり(どこをどう強化したかについての詳細は申し上げられません)、その強化策を実施したところ、その副産物として、読者コメント入力時にロボット除けの文字列入力欄が表示されるようになったのです(図表)。
図表 ロボット除けの文字列入力欄
この文字列を入れたとたん、スパムコメントが見事にゼロ件(笑)になりました。
いやもう、本当に、ものの見事にゼロ件です(笑)。
もちろん、読者の皆さまには対しては、ご不便をおかけすることになります。今までほぼ無条件に入力できていたコメントが、いちいち文字列を入力しなければならなくなったからです。
ただ、その反面、スパムコメント(とくにロシアや中国など外国発のもの)をほぼ完全に排除することができるようになったため、当面はこの運営とさせていただこうと思います。
いじわるなボット排除システム…ポイントは「平仮名」
この文字列入力欄の意地悪なところは、アルファベットでも漢字でもなく、「平仮名」である、という点でしょう。
おそらく日本語を理解しないであろう詐欺サイトの運営者が、これで一気に排除された格好です。言い換えれば、当ウェブサイトにスパムコメントを打ち込み続けていた者たちが外国(ロシア、中国、米国、欧州など)のサイト運営者であるということが判明したともいえます。
もちろん、昨今だとAIの進歩という事情もあり、そのうちAIボットが跋扈し、こうした文字列ガードを突破する事例も出てくるのではないかと思いますが、とりあえず今この瞬間に関しては、スパムコメントと不正ログイン(トライ)がほぼ封殺されたのです。
不正ログインの手口とそれに対する当ウェブサイトの具体的な対応策については、(現時点では)明らかにできませんが、それでも世の中に一般的に存在するいくつかの方法を組み合わせただけのものであり、「案外簡単な方法で排除できた」、という点については付記しておきます。
なお、不正ログイン対策等について、広く公開するつもりはありませんが、もしも当ウェブサイトの読者のなかに、「企業などのウェブサイト運営を担当していて、不正ログインに悩まんでいる」、「自分のブログサイトでスパムに悩んでいる」という方がいらっしゃれば、ご連絡ください。
当ウェブサイトで講じた方法の一部をお伝えします。
View Comments (16)
-
-
-
-
-
-
-
-
-
-
-
-
-
-
1 2 次へ »そのうち、ポット排除技術をかいくぐる技術(?)が、開発されたりして。
ニセ保守とか、エセ活動家とか、ヒヨコの雌雄の判別みたいに分かりにくくて面倒臭いので、新宿さんのところで、
「判別するための案外簡単な方法」
を見つけてもらえたらなぁ~。
効果があってよかったですね。
平仮名と片仮名をまぜたり、「ぇ」「ゃ」「っ」など、一筋縄ではいかない罠を仕掛けられるようになると効目もあがるのではないかと、、
「ひらがな」のコピペは、無理ですね。
(コピーしようとしたら、変なアルファベットの羅列になってしまった…)
き
う
へ
ち
日本語を操る非国民、非人間に気を付けろ。ネット工作者・報道機関工作者はそこ居る。
プラカードに妙な漢字、カタカナ、ひらがなが書かれていて、外国人だとバレるケースもありますね。
「ぃゃ」とか「ぅぁぁ」とか「あ゛ぁぁ」とか「い“ぃぃ」とか「え゛ぇぇ」とか、読めても知ってないと入力は難しいですし、ましてや非国民や非人間には、簡単には真似できない。
日本語派参入障壁が高いですね。この例だと、ひらがなフォントを搭載した上で、「せけもう」を「sekemou」に変換して入力する必要があるということ?
若干不自然でなフォントが混在しているので、日本人でないと読みづらそう。
「たかいち」と入力せよ! 左巻きも減りそう。知らんけど
「六四天安門」と入力させれば中国からのスパムは減るでしょうね。
ムロシ亦弓
は如何でしょう。
記事からシステム運用者としての喜びが溢れるのを感じます。(笑)
実運用で体験したことはないのでなんともですが、対策後は効果があるものの、そのうち乗り越えるボットが現れるそうです。そこが気になるところですね。(笑)
まあでも、スパムコメントは無作為でやってきてるでしょうから増えないかもですね。
管理権限の乗っ取りとかサービス停止は、このサイトを狙ってるのもいる気がします(アクセス数と政治的主張の傾向から)。
管理者の不正ログイン対策はログイン画面に限った厳しいIP制限で行ける気もしますが、実運用ではそう簡単ではないのでしょうね。
サービス停止はセキュリティパッチの随時適用とか、地道な対策になっちゃうんでしょうか。
ご苦労様です。
日本人でも復活の呪文を間違えて絶望しました。
外国人なら、なおのこと。
もし突破されたなら、ひらがなだけでなくカタカナと混交にしたら少し時間稼げるかも。
最近YouTube等で頻繁に表示される投資系の宣伝動画に、高橋洋一氏・堀江貴史氏・三橋貴明氏・等々…著名と言われる方々のAI動画とAI音声を使いあたかも本人が語っているようなLINE等外部サイトへの誘導広告があります。
日本語の字幕とAI動画内の読みが違ったり(九月を「きゅーげつ」と発音したり)発言者が違っても発言内容が全く同文なので発信元を参照したところ、香港・中国・韓国・インド・アメリカ・メキシコ・ブラジル等からの発信でしたがYouTubeでは「身元確認済み」「正規」扱いでした。
YouTubeはお勧め動画に上がってくるものですら事実無根の創作ニュースや創作歴史の動画が多数なのでお気をつけくださいませ。