こんにちは!牛係長です。
筆者は牛係長Blogを運用しているのですが、突如ポーランドのワルシャワから大量のアクセスが発生していたので原因を調べました。
もし同じような境遇にあっている方がいらっしゃれば、なにが起こっているか理解できるのでぜひ最後までご一読ください。
ポーランドから突然のアクセス!?いったいなにが?
結論から申しますと、今回の事象はおそらく「リファラースパム」の類いかと考察しています。
リファラースパムとは
リファラースパムとは、Google Analyticsなどのような解析ツールに参照元URLの痕跡を残し、サイト運営者にURLへアクセスするよう誘導する手法です。
インフラエンジニアとしてとても興味深いので、検証環境を用意して実際にリファラースパムに誘導されて引っかかってみるところまで検証しましたので、その結果をご紹介します。
注意ポイント
読者のみなさまは絶対にマネしないでください。ウイルスのダウンロードや不正なサイトへ誘導される可能性があります。
Google Analytics確認
実際にリファラースパムの標的になったときのGoogle Analyticsです。
突然ポーランドからのアクセスが多くなっていますね。
ここでサイト運営者の気持ちとしては、
と考えるようになります。
ポーランドからのアクセス者数の増加と同じくして、セッションの「Refferal」という数が急上昇します。
Google Analyticsで確認できる「Refferal」とは
他のサイトから自サイトに流入してきたセッション数を指します。
Google Analyticsでは参照元サイトを解析する機能があり、参照元URLを表示することができます。
リファラースパムは、参照元URLを表示することができるGoogle Analyticsの機能を悪用している訳ですね。
今回の事象で実際に調べると、「news.grets.store」というURLが出てきました。
いかにもしっかりと運用されてそうなURLっぽい名前ですよね。
このようにしてURLをGoogle AnaliticsにURLを残すことができるので、サイト管理者がこのURLにアクセスさせる手口です。
実際に引っかかってみる
今回は検証環境を用意し、実際にURLにアクセスしてみるとどうなるのか検証してみました。
注意ポイント
読者のみなさまは絶対にマネしないでください。ウイルスのダウンロードや不正なサイトへ誘導される可能性があります。
検証環境からブラウザを開き、先ほどGoogle Analyticsに表示されていた「news.grets.store」にアクセスしてみます。
すると、なにやらロボットが表示されます。
「人間であることを確認するために、ALLOWを押して!」というメッセージとともに、通知を許可させようとしてきます。すごく怪しい・・・
あえて「Allow for this site」をクリックします。
すると・・・
マッチングアプリのGoogle Playに誘導されました。(黒四角でマスクしています)
どうやら今回はマッチングアプリへ誘導し、インストールさせるためのものだったようです。
ちなみに、Google Helpを参照すると同じような事象にあっているチャットがありました。
>>Google Help Referral Spam news grets store (Poland)
今回の事象を深堀していくと、本件はIPアドレス77.222.40.224のロシアがホストするWEBでのスパムでした。
まとめ
今回ポーランドから頻繁にアクセスされている事象の原因は、サイト管理者を特定のサイトへ誘導する「リファラースパム」ということが推測できました。
誤ってサイトにアクセスし、何かしらダウンロードするようなことがないように気を付けましょう。
もしスパムの表示が邪魔であれば、サーバー、もしくはネットワーク機器でIPアドレスのフィルターをかけて解析ツールに掲載されないようにする必要があります。
