リファラスパムからアクセス解析(Google Analytics)のデータを守る対策

free-floating-buttons.com, free-share-buttons.com, social-buttons.com, simple-share-buttons.comなどロシアやウクライナの地域からのリファラを偽装するスパムボットが活発化しており、100セッション/日以上の被害を受けるサイトがでてくるなど、アクセス解析のデータが掻き乱され、困惑させられるケースが増えていませんか?

暫時対策として、Google Analytics以外のアクセス解析ツールを利用されている場合は、活発に活動しているスパムボット(リファラから)のアクセスを拒否することで、設定以降後の被害を最小限に抑えられ、アクセス解析データがほぼ正常になることが期待できます。ただし、所詮はここで紹介する対策はスパマーとのいたちごっこにしかならず、新たなリファラスパムボットが観測される度に追加対応する必要がでてくることにはご注意ください。

例えば、最も多いウェブサーバであるApacheの場合は、httpd.conf.htaccessなどのサーバ設定ファイルに以下のリストの内容を記述することでアクセスを拒否できます。2015年12月3日現在までに観測できたリファラスパムボットをこのリストでほぼ網羅できているはずです。

# Spam bots
SetEnvIfNoCase Referer adcash.com spambot=yes
SetEnvIfNoCase Referer aliexpress.com spambot=yes
SetEnvIfNoCase Referer aswidget.com spambot=yes
SetEnvIfNoCase Referer bestwebsitesawards.com spambot=yes
SetEnvIfNoCase Referer best-seo-offer.com spambot=yes
SetEnvIfNoCase Referer best-seo-solution.com spambot=yes
SetEnvIfNoCase Referer blackhatworth.com spambot=yes
SetEnvIfNoCase Referer buttons-for-website.com spambot=yes
SetEnvIfNoCase Referer buttons-for-your-website.com spambot=yes
SetEnvIfNoCase Referer buy-cheap-online.info spambot=yes
SetEnvIfNoCase Referer buy-forum.ru spambot=yes
SetEnvIfNoCase Referer cenoval.ru spambot=yes
SetEnvIfNoCase Referer chinese-amezon.com spambot=yes
SetEnvIfNoCase Referer cityadspix.com spambot=yes
SetEnvIfNoCase Referer copyrightclaims.org spambot=yes
SetEnvIfNoCase Referer darodar.com spambot=yes
SetEnvIfNoCase Referer e-buyeasy.com spambot=yes
SetEnvIfNoCase Referer econom.co spambot=yes
SetEnvIfNoCase Referer edakgfvwql.ru spambot=yes
SetEnvIfNoCase Referer erot.co spambot=yes
SetEnvIfNoCase Referer event-tracking.com spambot=yes
SetEnvIfNoCase Referer floating-share-buttons.com spambot=yes
SetEnvIfNoCase Referer free-floating-buttons.com spambot=yes
SetEnvIfNoCase Referer free-share-buttons.com spambot=yes
SetEnvIfNoCase Referer Get-Free-Traffic-Now.com spambot=yes
SetEnvIfNoCase Referer get-free-social-traffic.com spambot=yes
SetEnvIfNoCase Referer get-your-social-buttons.info spambot=yes
SetEnvIfNoCase Referer gobongo.info spambot=yes
SetEnvIfNoCase Referer googlsucks.com spambot=yes
SetEnvIfNoCase Referer guardlink.org spambot=yes
SetEnvIfNoCase Referer hao123.com spambot=yes
SetEnvIfNoCase Referer hulfingtonpost.com spambot=yes
SetEnvIfNoCase Referer humanorightswatch.org spambot=yes
SetEnvIfNoCase Referer ilovevitaly.co spambot=yes
SetEnvIfNoCase Referer ilovevitaly.com spambot=yes
SetEnvIfNoCase Referer ilovevitaly.ru spambot=yes
SetEnvIfNoCase Referer iskalko.ru spambot=yes
SetEnvIfNoCase Referer luxup.ru spambot=yes
SetEnvIfNoCase Referer myftpupload.com spambot=yes
SetEnvIfNoCase Referer o-o-6-o-o.com spambot=yes
SetEnvIfNoCase Referer o-o-6-o-o.ru spambot=yes
SetEnvIfNoCase Referer o-o-8-o-o.com spambot=yes
SetEnvIfNoCase Referer o-o-8-o-o.ru spambot=yes
SetEnvIfNoCase Referer pornhub-forum.ga spambot=yes
SetEnvIfNoCase Referer priceg.com spambot=yes
SetEnvIfNoCase Referer prlog.ru spambot=yes
SetEnvIfNoCase Referer qualitymarketzone.com spambot=yes
SetEnvIfNoCase Referer quit-smoking.ga spambot=yes
SetEnvIfNoCase Referer rednise.com spambot=yes
SetEnvIfNoCase Referer rusexy.xyz spambot=yes
SetEnvIfNoCase Referer santasgift.ml spambot=yes
SetEnvIfNoCase Referer savetubevideo.com spambot=yes
SetEnvIfNoCase Referer screentoolkit.com spambot=yes
SetEnvIfNoCase Referer semalt.com spambot=yes
SetEnvIfNoCase Referer semaltmedia.com spambot=yes
SetEnvIfNoCase Referer seoexperimenty.ru spambot=yes
SetEnvIfNoCase Referer sexyali.com spambot=yes
SetEnvIfNoCase Referer simple-share-buttons.com spambot=yes
SetEnvIfNoCase Referer slftsdybbg.ru spambot=yes
SetEnvIfNoCase Referer snip.to spambot=yes
SetEnvIfNoCase Referer social-buttons.com spambot=yes
SetEnvIfNoCase Referer socialseet.ru spambot=yes
SetEnvIfNoCase Referer success-seo.com spambot=yes
SetEnvIfNoCase Referer superiends.org spambot=yes
SetEnvIfNoCase Referer theguardlan.com spambot=yes
SetEnvIfNoCase Referer traffic2cash.xyz spambot=yes
SetEnvIfNoCase Referer umblr.com spambot=yes
SetEnvIfNoCase Referer videos-for-your-business.com spambot=yes
SetEnvIfNoCase Referer video--production.com spambot=yes
SetEnvIfNoCase Referer vodkoved.ru spambot=yes
SetEnvIfNoCase Referer webmaster-traffic.com spambot=yes
SetEnvIfNoCase Referer websocial.me spambot=yes
SetEnvIfNoCase Referer ykecwqlixx.ru spambot=yes
SetEnvIfNoCase Referer youporn-forum.ga spambot=yes
SetEnvIfNoCase Referer yourserverisdown.com spambot=yes
SetEnvIfNoCase Referer 100dollars-seo.com spambot=yes
SetEnvIfNoCase Referer 7makemoneyonline.com spambot=yes
SetEnvIfNoCase Referer непереводимая.рф spambot=yes
Order Allow,Deny
Allow from All
Deny from env=spambot
# Spam bots

Google Analyticsを利用している場合

アクセス解析ツールにGoogle Analyticsを利用している場合は、一部のリファラスパムボットは非常に悪質でWebサーバーへのアクセスではなく、Google AnalyticsのUA-XXXXXXXX-XのトラッキングIDを拾っており、直接Google Analyticsのセッションを偽装しにやってきます。そのためWebサーバー側でスパムボット(リファラから)のアクセスを拒否しておくことに加えて、Google Analyticsのフィルタ機能もあわせて設定しておくことで以降のデータから確実に除外することができます。

「フィルタ」はAnalyticsより対象アカウントを選択し、上部メニューのアナリティクス設定に遷移した先のビュー列にあります。「+新しいフィルタ」を選び、次の画面の手順のようにフィルタを設定します。

  1. 新しいフィルタを作成にチェックがついている。
  2. 適当なフィルタ名を入力。
  3. フィルタの種類は「カスタム」を選択。
  4. 除外にチェックがついており、フィルタ フィールドに「キャンペーンのソース」を選択。
  5. フィルタパターンに正規表現を入力(.\を前置するのと、正規表現でor(または)を意味する|区切りで偽装しているドメインを続けて入力していく)。このとき文字数が255文字以内の制限があるため、新しいフィルタをいくつか作りわけることになります。
  6. 最下部にある「保存」ボタンを押下で以降フィルタを有効にできる。

フィルタパターン用リファラスパムボットリスト

フィルタパターンの入力は255文字以内の文字数制限があります。先にリスト化していた現時点で活発に活動しているスパムボットを255文字以内の6つのリストにわけなおすと次のようになります。

adcash\.com|aliexpress\.com|aswidget\.com|bestwebsitesawards\.com|best-seo-offer\.com|best-seo-solution\.com|blackhatworth\.com|buttons-for-website\.com|buttons-for-your-website\.com|buy-cheap-online\.info|buy-forum\.ru
cenoval\.ru|chinese-amezon\.com|cityadspix\.com|copyrightclaims\.org|darodar\.com|e-buyeasy\.com|econom\.co|edakgfvwql\.ru|erot\.co|event-tracking\.com|floating-share-buttons\.com|free-floating-buttons\.com|free-share-buttons\.com
Get-Free-Traffic-Now\.com|get-free-social-traffic\.com|get-your-social-buttons\.info|gobongo\.info|googlsucks\.com|guardlink\.org|hao123\.com|hulfingtonpost\.com|humanorightswatch\.org|ilovevitaly\.co|ilovevitaly\.com|ilovevitaly\.ru|iskalko\.ru|luxup\.ru
myftpupload\.com|o-o-6-o-o\.com|o-o-6-o-o\.ru|o-o-8-o-o\.com|o-o-8-o-o\.ru|pornhub-forum\.ga|priceg\.com|prlog\.ru|qualitymarketzone\.com|quit-smoking\.ga|rednise\.com|rusexy\.xyz|santasgift\.ml|savetubevideo\.com|screentoolkit\.com|semalt\.com
semaltmedia\.com|seoexperimenty\.ru|sexyali\.com|simple-share-buttons\.com|slftsdybbg\.ru|snip\.to|social-buttons\.com|socialseet\.ru|success-seo\.com|superiends\.org|theguardlan\.com|traffic2cash\.xyz
umblr\.com|videos-for-your-business\.com|video--production\.com|vodkoved\.ru|webmaster-traffic\.com|websocial\.me|ykecwqlixx\.ru|youporn-forum\.ga|yourserverisdown\.com|100dollars-seo\.com|7makemoneyonline\.com|непереводимая\.рф
まとめるにあたって参考にした情報

新たな手口のスパムにも注意!

リファラを偽装するスパムの手口も日に日に巧妙化しており、これまでのあからさまなスパムらしいURLを残してサイト管理者にそれを辿らせるのではなく、中には「addons.mozilla.org/en-US/firefox/addon/ilovevitaly/」のように、一見、スパムサイトではなくて、mozilla公式のfirefoxアドオンサイトが参照元として記録されることがあります。これはアドオンをインストールさせてからアドオンを経由して、サイトに誘導させるものすごく遠回しなスパムで、今後は、ブラウザのアドオンやスマートフォンアプリの配布元である大手公式サイトに誘導して、そこでアドオンやアプリをインストールさせて経由させる手口もでてきています。

ロシアのトップレベルドメイン「.рф」

リファラスパムとのいたちごっこが依然として続いていますが、2015年6月に入ってから新たにнепереводимая.рфというロシア語ドメインのリファラスパムが観測されるようになってきました。「.рф」なんてトップレベルドメインをこれまでに見た事がなかったので調べてみると、

新たに登場したロシアのスパム - .РФ | Symantec Connectより

.РФ(.rf)ドメインは、ロシア連邦で登録されているドメインに適用される国際化ドメイン名(IDN)です。.rf のトップレベルドメイン(TLD)は、2010年5月13日に運用が開始され、2010年11月11日から一般向けの登録が正式に行われるようになりました。ロシアの従来の国別コードトップレベルドメイン(ccTLD)は .ru です。最近になって、.ru TLD から発信された大量のスパムが確認されています。.rf ドメインが一般的に利用されるようになり、スパマーたちもさらに勢いを増しつつあります。

6年も前からあったのですね。。。次々に新しいドメインまで取得して、勢い増さないでください。スパムは本当もう勘弁です。

Updated / Published