読者です 読者をやめる 読者になる 読者になる

マネー報道 MoneyReport

マネーにまつわる報道を取り上げ、自分の切り口で切り取り、噛み砕いてお伝えします。

【要注意】新手のスパム攻撃を受けた!2別垢で同時ブクマし新着掲載を阻害する攻撃

アクセスアップ ブログ運営
スポンサーリンク
あとで読む

ブログに来たのは台風だけじゃなくて地震もきた

ようやく事件が一段落したので、記事にてご報告させて頂きます。
この記事は私がここ2週間ほど外部から受けてきた攻撃に関して、なるべく客観的に冷静に書きたいと思っています。
ですが許し難い攻撃であったため、激昂した内容になるかもしれません。
普段読んで下さっている読者の方からは

「マネーさんどうしたの?」

と思われてしまうかもしれませんが、この記事だけは申し訳ありません。
ネガティブな感情が表出する可能性があります。

さて、表向き最近は「ブログに台風がきた!」とかブッコワレ気味の記事を書いていましたが

ブログに台風突入!ブロガーさんからの指摘「Googleアドセンスにはスポンサーリンク表示必須ですよ!」 - マネー報道 MoneyReport

これは表に見えるという点でまぁ「台風」と形容しました。
そしてこの台風の少し前から、具体的には2014/09/27から目に見えない、気付きにくい攻撃を第三者から受けていました。
目に見えにくい、地に隠れた相手からの攻撃と言うことで「地震」的な攻撃に分類されるかと思います。
アースクエイク攻撃ですか。

でわでわ一体全体この2週間、どんな攻撃を受けてどう撃退したのかの一部始終を皆様にご覧入れたいと思います。

最初は「ファンが増えたかな?」

ここ2週間くらいは風邪を引いていた事もあり「フリーランスのマネー講座」をお休みさせて頂いて、大好きなMVNOやPHSのMNPの話題などを書いていました。
それらの記事も好評を頂いていましたので、普通に喜んでいました。
この頃から既に第三者からの攻撃準備は始まっていたのですが、気付けませんでした(>_<)

この頃から既に、第三者の方が私のブログ記事をブックマークし始めていたのです・・・。

普通に1週間くらいが過ぎて

「ここ最近は記事アップしてすぐにブクマしてくれる人がいるな~」

とふと思ったのが2014/10/02(木)頃。

私はいつもお昼休みに記事を書いてアップして、午後からのトイレ休憩の度に「誰かブクマしてくれてないかな~、2ブクマ目以降をセルクマ(セルフブックマーク)するのにな~」と思って見ていたら、10/2はトイレチェックのタイミングで既に3ブクマ行っていました。

「あら、もう早3ブクマも行ってる!」

最初のブクマ(ブックマーク)が付いてから一定時間以内に3ブクマ付くと、はてなブックマークの新着エントリーに記事を紹介してもらう事ができます。
そしてブーストとして2ブクマ目や3ブクマ目をセルクマ(セルフブックマーク)するのが、はてなーの流儀みたいな所があります。

特に「はてなブロガー」の場合には、2ブクマ付くと「はてなブックマークTOPページ」に僅かな時間ですが紹介してもらえて、ここで3ブクマが付くとめでたく、新着エントリーに載せてもらえます。

なので10/2時点では自分のセルクマもなしで3ブクマも集まり「良かったな~」と思っていました。

この頃から、確かに「新しいIDの方がブックマークしてくれる様になったな~」ていたのですが、それが攻撃とはこの時点でも気付けず(>_<)

ん?何か変!!!

気が付いたのは2014/10/04(土)に記事をアップした直後でした。
記事を挙げて数分後にブックマークページをチェックしたら「1ブクマ」付いていました。

「セルクマしようっと♪」

と思ってコメントを書いている最中に「2ブクマ」目に表示が切り替わりました。

「あれ?何か変だぞ?こんな短時間に2ブクマも付くわけがない・・・」

そのままセルクマした上で、自分の記事のブックマークページを見たらここ最近になってブックマークしてくれる様になった2人のIDが並んでいました。
ほぼ同時刻に3ブクマ付いたその記事は新着エントリーに載るのが遅れて、他の方がブクマしてくれてようやく載りました。

皆さん、何が起きているのか分かりますか?
象徴的な2014/10/06(月)の記事のブクマで見てみましょう。


下記の画像は2014/10/06(月)の私の記事に対するブックマークです。

f:id:MoneyReport:20141009012910p:plain

リンクはこちらです。
はてなブックマーク - 利上げやQE3の解除の決定打になる!?2014年9月米国雇用統計は予想より強い内容! - マネー報道 MoneyReport

普通ですよね。
でもですね、よく見て頂くと6ブクマなのに4人しかいませんよね。

「非表示ブクマもいたんだろ!」

と思われる方もいるかと思いますが、違うんです。
途中でスクリーンショットを撮った画像がコチラ。

f:id:MoneyReport:20141009013233p:plain

下の方に
id:packen
id:jijienji
という2つのIDの方が見えますね。
この2人が私の記事に対してブックマークをしてきていた2IDです。
土曜日に気付いてから、この2人のブックマークしている内容を見に行ったら全て私のブログ記事のみを毎日ブックマークしていました。

私は「はてなブックマークPLUS」にも加入しているので、誰がいつ何時にブクマしたのか詳細に分かります。
ちょっとスクリーンショットを撮り忘れていて、これは現時点のものなんですが。

f:id:MoneyReport:20141009013901p:plain

こんな感じ。
この私のブックマークよりも前に、1ブクマ目と2ブクマ目を上記の2つのIDがブックマークしていました。
しかもこのブックマークする時間感覚が1分以内にやっています。
過去記事のブクマ時間もチェックしたら、この2つのIDは必ず1分以内に連続でブクマしていました。

これがどうして「スパム攻撃」になるのか?
はてなブックマークの仕様に、スパムを防御するために色々なガードが掛かっています。
その1つに

毎回同じブログの記事を同じ3ユーザーがブクマしたら新着には載せない

というルールがあるようなのです。
「あるようだ」というのは特段明文化して公開はされていないので、起きた事象から推察すると、という事になります。
事実2014/10/06(月)の記事もid:packenid:jijienji、私のIDと並んでブクマされた事になり、2014/10/04(土)の最初の3ブクマと同じユーザーになります。
この10/06(月)の記事は新着に一切載りませんでした。

ID「packen」とID「jijienji」の2人は、私の記事更新をチェックして記事アップ直後すぐ(だいたい10分以内)に2IDでブクマして、「私にセルクマをさせる事を誘導し3ブクマコンボ」を狙うという嫌がらせ攻撃をしてきた訳です。

犯人の足取りを追う

私の使っているアクセス解析はかなり細かい情報まで追跡できます。
下の画像は2014/10/5と2014/10/6の私のその日書いた記事への初期アクセスです。
最初にブクマされた前後のあたりです。

f:id:MoneyReport:20141009013334p:plain

この2IDが私の記事をブクマした時の記事を全てチェックしたら、必ず同じホストから来ている人がいました。
それが赤枠で囲ってるものです。
2つのIDがブクマした時には、必ずこのホストが来ています。
見極めのポイントは「必ず来ているか?」で、しかも同じ端末からアクセスしています。
この犯人と思われるホストが私のブログにアクセスしてきた日時をまとめました。
下記の21アクセスがそうです。
犯人がブクマした時間とも一致する時が含まれますし、日によっては後から動向を見に来ているのが分かります。

訪問回数 アクセス日時
01 2014-09-20 20:55:56
02 2014-09-20 20:56:48
03 2014-09-21 22:34:51
04 2014-09-22 05:04:49
05 2014-09-27 10:47:21
06 2014-09-27 19:51:52
07 2014-09-27 20:04:16
08 2014-09-27 20:05:23
09 2014-09-28 21:49:00
10 2014-09-28 21:50:54
11 2014-10-01 19:40:10
12 2014-10-01 19:40:17
13 2014-10-01 19:40:17
14 2014-10-02 13:05:10
15 2014-10-02 20:40:52
16 2014-10-03 13:01:34
17 2014-10-03 18:16:39
18 2014-10-04 12:21:51
19 2014-10-05 11:54:50
20 2014-10-06 12:52:02
21 2014-10-07 13:53:20

例えば先ほども掲載した2014/10/06(月)のアクセスを見てみましょう。

記事アップ時間
2014/10/06 12:48:42

犯人アクセス時間
2014-10-06 12:52:02

IPアドレスは「126.205.93.99」でした。

僅か記事アップの4分後にブクマしています。
おかしいじゃないですか。

犯人の最後のアクセスは「2014-10-07 13:53:20」で
IPアドレスは「106.139.122.79」でした。

ホスト名が「KD106139122079.au-net.ne.jp」でブラウザーが「Mozilla/5.0 (iPhone; CPU iPhone OS 8_0 like Mac OS X) AppleWebKit/600.1.4 (KHTML
, like Gecko) Mobile/12A365 Safari/7534.48.3 Sleipnir/3.3m」を使っています。
読み解くとauのiPhoneを持っていて、iPhoneのバージョンは8.0を使っているようですね。
ブラウザはSafariを使用と。
読み取れる内容としてはこんなものでしょうかね?

詳しくは下記の画像を見て下さい。
犯人からの最終アクセス詳細ログです。

f:id:MoneyReport:20141009013629p:plain

ちょっと私はIPアドレス追跡のスペシャリストとかではないので分からないのですが、都内からのアクセスだったようです。

新手のスパム攻撃対処方法

で、どうやって対処したのかですよね?
皆さんが気になるのは。
土曜日に「おかしいぞ!」と気付いてすぐに、はてなの運営側にこの2IDを通報しました。

「おかしな意図的なブックマークをしてるから確認して欲しい!」

と。
その返答がこちら。

お問い合わせの件につきまして、ご連絡いただきありがとうございました。
ご指摘のユーザーについてはご利用状況を調査し、対応を検討させていただきます。

この返事が来たのが2014/10/07の11:40頃で、その直後に2IDはアカウント停止になりました。
下記がそのアカウントへのリンクです。

http://b.hatena.ne.jp/jijienji/
http://b.hatena.ne.jp/packen/

お陰様で、2014/10/07以降の記事は3ブクマ付くと普通に新着に載るようになりました。

また、相手が自動でブクマをしているのか手動でやっているのかを判断するために、こんな無駄な記事もアップしました。

「デザイン調整です」、と書いてますが違います。
犯人をおびき寄せるためだけの記事でした。
結果、夜中にアップしたこの記事には犯人は食いつかなかった所を見ると、自動ではなく手動でiPhoneでチェックしてからブクマしていたようですね。

ブロガーの皆さんも自分の記事に怪しげなIDの人が連続ブクマしてきたら要注意です!
スパム攻撃の可能性があります!
ご注意を。