最近「風見鶏ねっと」内にある、とある掲示板に毎日3~5件のspam投稿が相次いでいた。サーバーログを見ると複数の種類のアクセスがあり、ひとつは固定IPだったためhtaccessで蹴ったのだが(この掲示板は簡単なCGIのため、CGI側でIPアドレスを規制できない)、もうひとつは匿名プロキシサーバーを経由し、しかも毎回、IPアドレスを変えてくるためhtaccessでは弾けなかった。どうしたものかと考え、至った結論は掲示板CGI名を変更するということだった。これで、なんとあっさり撃退できたのである。具体的には「bbs.cgi」であったのを「その掲示板の名前を英語にした名前.cgi」に変えた。
さて「風見鶏ねっと」ではURLが存在しない場合に表示されるエラーページをオリジナルのものにしており、しかもそのページにはリアルタイムでチェックできるアクセス解析を埋め込んでいる。これはサイト内のリンク切れを把握するために仕掛けているものだが、当然、外部サイトのリンク切れも記録される。通常、エラーページには毎日5~10回程度のアクセスが記録されているが、彼らは今も1日に20回以上もCGI名変更で消滅した掲示板にアクセスし続け、サーバーの生ログにエラーが記録されているにも関わらず、エラーページに仕込んでいるアクセス解析に全く引っかからないのである。つまり、彼らはブラウザでアクセスしているのではなく、自動的に宣伝文句を投稿するようなプログラムでアクセスしてきていると思われる。
ちなみにサーバーログによると彼らが使っているプログラムの名前(UserAgent)は以下のものであった。
- User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
- Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
1の場合、パッと見たところ「Windows XPのInternet Explorer 6.0」を使っているように見えるが、実際は
- Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
というプログラム名をサーバーに送り、わざわざ「User-Agent:」という文字列をサーバーに送らないので、明らかに偽装である。2の場合も検索エンジンGoogleの検索ロボットと全く同じものを名乗っているが、この場合は「googlebot.com」というところからアクセスしてくるため、それ以外のところからアクセスしてきたものは明らかに偽装である。特に2は匿名プロキシサーバーからアクセスし、なおかつアクセスごとに接続先が違うので、挙動が怪しすぎるのである。
結論として、これらのツールは掲示板名が「bbs.cgi」となっているものを見つけると、絨毯爆撃のごとく投稿を行うような動作すると思われる。レンタル掲示板だと難しいが、自分のホームページエリアで掲示板を持っている人はCGIの仕様にあわせてCGIの名前を変更することをお勧めしたい。
※BBQ あらしお断りシステムというサイトによると、既存の掲示板CGIに組み込むことで匿名プロクシサーバーからのアクセスを弾くことができるコードを公開している。
※.htaccessが使うことが出来れば、spam投稿の温床とされる中国・韓国からのアクセス制限 (リネージュ資料室)も参考になるかも...
なお「formmail.cgi」「formmail.pl」といったアドレスへのアクセスも、たまにサーバーに記録されている。「風見鶏ねっと」ではもともとこのようなCGIは設置していないので、どんなことをしてくるのか不明だが、おそらくホームページからメールが送れるメールフォームを狙って迷惑メールを送りつけると思われるので、単純なcgiの名前にしている場合は、そのままにせず、変更することをお勧めする。