謎のアクセスの正体はリファラースパム!その傾向を分析

Pocket

geralt / Pixabay


ある日のこと、

日課であるGoogleアナリティクスのデータをニヤニヤと気持ち悪く眺めていたら、とあるページへのアクセスが急激に増えてました。

なにこれ?

ページタイトル『(not set)』パーマリンクにすると『/h/368084.html』なるページがアクセスランク3位まで上がってきてます。

あれ?何かWordPressの設定変わって記事のURLがおかしくなったのか?と、対象ページを開いてみると「404ページが見つかりません」となる。どうやら全く投稿した覚えのないページのようです。

これ、PV数が1とか2なら無視してもいいですが、このURLに関しては1日42PVもありました。その前日も良く見れば12PVありましたので急激な伸びです。

そもそもが雀の涙のようなアクセス数の中せっせと集計してるのに、こんな謎PVが積み重なっていくとさすがに困ります。やめてよマジでもう。

これは早急に原因を突き止めて対策せねば、と色々調べてみました。

※対策についてはこちら

リファラースパムをちょっと過激な方法で100%防いでみる
前回記事にてリファラースパムの分析をしたところ、該当のドメインがわかったので今回はその対策をしていこうと思います。 前回の記事はこちら https://itikabatika.com/referrer-spam1/ 対策について最初セオリー通りやったのですが、どうにも根本的解決にならなかったので最終的にちょっと強引な手法を使ってます。
スポンサーリンク

謎アクセスの正体はリファラースパム

色々調べた結果どうやらこれはリファラースパムであると判明しました。

スパムっていうとスパムメールで馴染み深いですが、ふむ。リファラーね…リファラーってなんだっけ?と思ったのでこの際ちゃんと調べてみます。

リファラーとはなんぞや?

リファラー(Referral)とは「参照元」という意味で「集客」レポート内項目の一つ。「どこぞのリンクURLを踏んで飛んできた」際に計測されるものです。ちなみにGoogle翻訳にかけると「紹介」と出るので「紹介元」の方がわかりやすいかもしれません。

例えば自分の書いた記事がYahooニュースや個人サイト等で紹介されて、「元記事はこちら」という固定リンクをクリックして自サイトへ飛んできたアクセスがリファラーになります。

ちなみにそういった外部からのリンクが増えると「お前のサイトめっちゃ評判ええやん。検索順位上げたろ」とGoogleさんからのサイト評価も上がります。

なので本来リファラーが増えるというのは人気サイトであることの証なので、めちゃめちゃ飛んできてほしいところなんですが。

リファラースパムの手口

Tumisu / Pixabay

このリファラースパム、端的に言うと「Googleアナリティクスを見てる人をターゲットにしたスパム」です。

前にTwitter経由でリンクした人を特定しようとした記事を書きましたが、そこで述べたように通常Googleアナリティクスは「個人」までは収集しません。ただし「参照元」つまりは「どのサイトから飛んできたか」は残ります。

前述のYahooニュースなんかで紹介されたなら当然リンク元はチェックしたくなりますよね。その行動心理を突いて「このアクセスはどこから紹介されたものだろう?」と参照元を確認してみると、残念!実は広告サイトでした!買ってね!ってな手口です。

Mixiで足跡が残っていて「わ、私のページに訪問者が!マイミクになれるかも!」と足跡クリックすると「幸せになれる壺」の販売ページだったみたいな感じでしょうか。。例え古すぎてわからないかもしれませんが色んな意味でショックですね。

リファラースパムの特長

リファラースパムだと気づいたのは下記のように色々と怪しいところがいくつもあったためです。毎日見てる人なら気づくでしょうが、もっとアクセス数多いとこで週一PV数くらいしかチェックしないなら案外気づかないかもしれません。「PV伸びてる!」と思っても全部スパムだったって場合もあるので要注意ですね。

Referralからの流入が異様に多くなった

これはGAホーム画面で「ユーザーを獲得している方法は?」を見れば一目瞭然です。大抵の個人サイトでは検索流入の「Organic Search」が一番多くて、リファラー経由はまぁたまにあるかな、くらいだと思いますが、これが何の脈絡なく異様に伸びてたら要注意です。

これ、単にPVやユーザー数だけ見たら増えてるようにしか見えないですが、検索サイト経由のアクセス数は下がってるのに総PVは伸びてるように見えたりするので正確な統計が計りづらくなります。しかもGAは一度計測してしまったデータは編集できないのでずっと残ることになります。これが非常に困る。

ワンチャンどこぞの大手ポータルサイト等で紹介されたという可能性も捨てきれないではないですが、大抵まともなサイトなら事前にリンク申請があるはずです。

ドメインがなんかうさんくさい

「集客」>「すべてのトラフィック」>「チャネル」から「Referral」をクリックするとリファラー経由でやってきた参照元のドメインが確認できますが、ドメイン名に「seo」とか「tool」とか入ってたら要注意です。

目的は参照元にアクセスさせることなので、あからさまに怪しいドメインでない所がポイントです。何となくそれっぽいドメインなのでパッと見わかりません。

※ドメインを調べる際の注意点
ちなみに調べる際ドメインをコピーしてChoomeの検索窓に貼り付け検索すると参照元に飛んでしまうので注意してください。(右クリックで「~」に移動もダメです)
飛び先がスパム元サイトだった場合あちらにアクセス履歴を取られてしまい、重点的にスパムを送ってくる可能性があります。調べる際は「○○○.com リファラー」とか他のワードをくっつけて検索してください。

妙なURLにアクセスしている

上の画面からセカンダリディメンションに「行動」>「ページ」を追加すると怪しいドメインがどのページにアクセスしているかを調べることができます。

seoなんたらの怪しいドメイン2つともがすべて例の「/h/368084.html」って存在しないページにアクセスしてますね。つまりはこのドメインが犯人ですね。

逆に言うとリファラースパムは生きてる記事URLにはアクセスしてきません。従来はトップページの「/」が多かったようですが、トップでも他アクセスに埋もれやすいためか最近はこういう適当なパラメータのURLでアクセスしてくるようです。GAはドメインが一致してれば存在しないページだろうが集計してしまうので結構やっかいですね。

確かに変なURLだと怪しい分目につきやすいから(今回自分が気づいたように)レスポンスも高くなるっていう業者の工夫ですかね。。その技術もっと他のことに使えよ。

ちなみに上記の逆引きで「行動」>「サイトコンテンツ」>「すべてのページ」画面からセカンダリに「参照元」を設定すれば特定のページに対しどのドメインがアクセスしてきているかわかります。

上記集客だとユーザー数ベースですが、PV数ベースで見るならこっちのがわかりやすいです。

ちなみにこれドメインが2つ確認できますが、PV数とユーザー数がどっちも同じであることにお気づきでしょうか。他挙動もほとんど同じです。ここらへんの理由は後に判明します。

海外からのアクセスがやたら多い

上記でセカンダリに「国」を放り込むとアクセス元の国籍が見れます。

いや色んなとこから来とるな!

これ、見てわかるように日本からのアクセスが1つもありません。ここ重要です。

事実として多量の海外アクセスはすべてスパムだと思って間違いないです。そういや前にSteamアカウントをハッキングした奴もロシア野郎だったな。。

見たところブラジルが圧倒的にFIFAランク1位ですが、これは実際ブラジル人が悪いわけじゃなくてブラジルのサーバーを利用してるってだけだと思います。大元は後述しますがウクライナです。ちょっと前にマケドニアにフェイクニュース生産工場があるって話題になりましたが、東欧ってこういうのを生業にしてる奴が非常に多いらしいですね。

リファラーの全ドメインを調べてスパムを絞り込む

急激に増えたのはここ最近ですが、集計初めてちょうど1年経つしせっかくなのでリファラーのアクセス順で上から10個のドメインを調べてみました。

ちなみに前述したように調べ方としては「○○○.jp リファラー」とか「○○○.com スパム」とかドメインに何らかのワードをくっつけて検索してください。直接ドメインを検索窓にブチ込むとそのスパム元サイトに飛びますので注意。

赤字がリファラースパムですのでアクセスしないように。

  1. googleads.g.doubleclick.netGoogle
    Google関連コンテンツ(広告)を経由しての記事アクセス。外部広告出したりしてない限りは内部リンクってことですね。
  2. sp-web.search.auone.jp
    auのWeb検索(スマホ)経由。本来は「Organic Search」に入るべきドメインですが、大手以外の検索サイトはGAで登録しないとリファラーにまとめられます。
  3. mobss.jword.jp
    JWord検索を経由したもの。JWordってリファラースパムよりやっかいな気が。。
  4. seocheckupx.com
    ウクライナのSEO対策業者。典型的なリファラースパム。
  5. seocheckupx.net
    ドメイン変えてるだけで上と同じ。どちらもsemalt.comにリダイレクトされる。
  6. resell-seo-services.com
    ドメインは違うがこれも4と5と同じ。今回上がってきたのはこれですね。
  7. duckduckgo.com
    DuckDuckGoという匿名性が売りの検索サイトから。こんなんあるんだ。。
  8. search.nifty.com
    niftyの検索サイト
  9. search.fenrir-inc.com
    Sleipnir(ブラウザー)の検索からやってきたアクセス。昔使ってたなぁ懐かしい。
  10. search.searchnewsplus.com
    検索ニュースプラスという検索サイトからの流入。検索するだけでポイントが貯まるとかいううさんくさい検索サービス。ちなみに2018年8月でサービス終了したらしい。

・番外編

  • webblock113.ddreams.jp:15871
    このドメインがいくつかあったので何かと思って調べてみると、dDREAMSというドコモグループで導入しているクラウド型企業情報システムらしい。恐らくドコモの人が会社から記事(おうちのでんわの記事だった)を見ようとしてブロックされた履歴が残っているようです。こんなん残すなよ。
  • complaint104892267.copyrightinstitute.org
    ロシアからの謎アクセス。思いっきりリファラースパムです。調べてみるとどうやらChrome拡張機能のダウンロードサイトに飛ばされるようです。もうURLからしてこわい。前にアカウントハックされたのもロシアからだったからこわい。

ドメインだけ見ると全部怪しく思えましたが、よくよく調べると結構まともなサイトからのものが多かったです。(duckduckgo.comなんてめちゃ怪しいやん)

検索サイトは本来「Organic Search」に入るべきですが、ほとんどアクセスないのでまぁこのままにしといてもいいかな。

結局大本はすべて『Semalt.com』だった

冒頭の謎URL含め4,5,6はすべてSemalt.comへのリダイレクトドメインでした。よって自サイトへのリファラースパムの大本は『Semalt.com』というサイトであることが判明しました。

Semalt.comについて検索すると出るわ出るわで、かなり有名なリファラースパムのようです。アスキーで記事にもなってますね。3年前くらいからいるようです。

Semalt.com によるリファラスパムを遮断する方法
Semalt.com によるリファラスパムを遮断する方法

要は無料であなたのサイトの評価レポート作ります、お金払ってくれれば評価上げてあげますよ的なSEO対策業者のようですが、その評価を上げる手法がマルウェアで乗っ取ったソフトを利用して全世界にスパムをばら撒き、ついでに自社LPへのリファラーを残して誘導し最終的に有償製品を売りつけるのが目的のようです。ロクなもんじゃないな。

というかね、世のほとんどのリファラースパムって大本こいつが犯人なんじゃね?と思うわけなんですがどうでしょうか。

とにかくこのままにしてたらどんどんゴミが溜まっていってしまうので、次の記事では自分が取ったリファラースパムへの対策について書こうと思います。

リファラースパムをちょっと過激な方法で100%防いでみる
前回記事にてリファラースパムの分析をしたところ、該当のドメインがわかったので今回はその対策をしていこうと思います。 前回の記事はこちら https://itikabatika.com/referrer-spam1/ 対策について最初セオリー通りやったのですが、どうにも根本的解決にならなかったので最終的にちょっと強引な手法を使ってます。

ではでは。