Checking SPAMS on Bulletin Board.

伝言板のSPAM対策

Cookie利用について

正規のルートにより伝言板にアクセスした場合にCookieを発行し，その有効期限(1時間)内の書込みのみ許可する方式に変更しました。これに伴い，逆引きが定義されていないIP(京都府庁・京都市役所のProxyサーバもこれに該当)からの書込み禁止を解除しました。ただしホスト名の偽装には悪意が感じられるため，それらのアクセス元に対する書込み禁止は継続します。(6/18/11)

逆引きが定義されていないIPから(5/27/11)と，ホスト名が偽装されている場合(6/11/11)の書込み禁止により，この間に排除されたSPAM発信元を例示します。

193.105.210.183 [2011-05-29 18:20:01] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Avant Browser [avantbrowser.com]; Hotbar 4.4.5.0)
193.105.210.183 [2011-05-30 22:34:23] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT) ::ELNSB50::000061100320025802a00111000000000507000900000000
195.191.54.125 [2011-06-05 19:45:34] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.3 (build 01218); .NET CLR 1.1.4322)
89.252.58.228.freenet.com.ua [2011-06-07 22:36:56] Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)
188.143.233.159 [2011-06-08 00:31:45] Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)
95.143.23.241 [2011-06-09 09:46:07] Opera/9.00 (Windows NT 5.1; U; en)
sol-fttb.215.66.163.188.sovam.net.ua [2011-06-11 01:56:15] Mozilla/4.0 (compatible; MSIE 6.0; AOL 9.0; Windows NT 5.1)
109.172.78.18 [2011-06-11 05:31:06] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
198.5.207.91.unknown.steephost.net [2011-06-11 07:19:44] Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0 ; .NET CLR 2.0.50215; SL Commerce Client v1.0; Tablet PC 2.0
sol-fttb.215.66.163.188.sovam.net.ua [2011-06-11 07:26:28] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1)

3/31/11以降，約5年ぶりにSPAM書込みが続いています。

ロシア：95-25-248-142.broadband.corbina.ru [2011-03-31 15:52:08] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; YPC 3.0.2; .NET CLR 1.1.4322; yplus 4.4.02b)
スロベニア：89-212-246-232.dynamic.t-2.net [2011-04-12 22:05:56] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)
オランダ：79.142.79.12 [2011-04-16 15:02:54] Mozilla/4.0 (compatible; MSIE 5.5; Windows 95; BCD2000)
ポーランド：89-77-243-216.dynamic.chello.pl [2011-04-17 00:03:33] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1)
ロシア：91.201.66.24 [2011-04-29 18:33:50] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Crazy Browser 1.0.5)
ウクライナ：109.254.68.55 [2011-04-29 20:19:26] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Media Center PC 5.0)
ロシア：91.201.66.163 [2011-04-30 13:55:29] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; FunWebProducts; .NET CLR 1.1.4322; PeoplePal 6.2)
モルドバ：89-28-124-238.starnet.md [2011-05-04 23:34:30] Opera/9.00 (Windows NT 5.1; U; en)
ベリーズ：hosted-by.altushost.com [2011-05-07 01:43:19] Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)
オランダ？：hosted-by.ecatel.net [2011-05-13 01:04:10] Mozilla/1.22 (compatible; MSIE 2.0; Windows 95)
ラトビア：h-128-140.cssgroup.lv [2011-05-16 05:35:56] Mozilla/4.0 (compatible; MSIE 5.0; Windows 2000) Opera 6.0 [en]
グルジア：77.92.233.198 [2011-05-19 18:24:12] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; FunWebProducts)
ウクライナ：109.254.68.55 [2011-05-21 03:54:41] Mozilla/4.0 (compatible; MSIE 6.0; America Online Browser 1.1; rev1.2; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
ドイツ：109.230.246.170 [2011-05-27 09:55:01] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Opera 7.54 [en]
ロシア：188.143.232.31 [2011-05-27 19:49:45] Mozilla/0.91 Beta (Windows)

◆発信国は東欧が大半ですが，アクセスパターンの類似性を利用して，一応の対抗措置を講じました。SPAM対策はイタチゴッコなので，早晩また破られることになりますが･･･。(4/19/11)
◆下の記載にも拘らず，従来は一定の条件下で他ページから当伝言板へのリンクを許容していましたが，今回「伝言板への直リンク」の規制レベルを上げて，正規ルート以外のアクセスを禁止しました。(5/1/11)
◆伝言板トップに加えて，2ページ目以降を表示するCGIにもアクセス制限を加えました。(5/7/11)

直リンク禁止について

伝言板への不正書込み攻撃はほぼ100％伝言板への直リンクによって行われています。このため不正書込みの排除効率を上げるため，伝言板への直リンクを禁止しました。ご面倒でも，当伝言板へはトップページ経由でお入り下さい。(当伝言板を「お気に入り」等に登録されている場合も無効になります。)

なおトップページ経由で伝言板を見た後，直リンクで入り直した場合，キャッシュが残っていて伝言板が表示される場合があります。その場合でも，書き込みがうまく行く保証はありませんので，書き込まれる場合は必ずトップページからお入り下さるようお願いします。(9/5/06)

以下を1回目として，最近，本伝言板に連続して計7回の不正書込みがありました。

host34-187-static.39-85-b.business.telecomitalia.it [2006-07-11 05:23:58] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

4回目の書込みの後，CGIによるチェックを開始しましたが，残念ながら内容の変異により，更に3回の書込みが通ってしまう結果になりました。伝言板の内容が更新されないのに最新更新日付が進むのは，不正書込みを消去した結果だとご理解下さい。条件を変更した結果，8回目以降は排除に成功していますが，書込めないと判ると，アクセスポイントを変更しつつ，執拗に攻撃を試みるようです。

59.186.63.66 [2006-07-15 21:29:59] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
61.35.129.226 [2006-07-15 21:30:00] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
220.94.46.178 [2006-07-15 21:30:00] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
59.20.63.10 [2006-07-15 21:30:04] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
59.186.63.66 [2006-07-15 21:30:05] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
220.71.48.46 [2006-07-15 21:30:05] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
221.155.240.229 [2006-07-15 21:30:05] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
222.113.104.65 [2006-07-15 21:30:43] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

上のアクセスポイントは逆引きが定義されていませんが，すべて韓国に割当られたIPです。アクセス元としては，イタリア，中国，スロバキアが各1回ありましたが，残りはすべて韓国の複数のプロバイダ経由です。セキュリティの弱い常時接続マシンを中継することは可能なので，真の発信場所はわかりませんが，やはり「不正アクセス大国」という世評に違いません。

韓国からの書込みを一律に排除することは技術的に可能ですが，それはなるべく避けたいので，現在は別の条件を使用しています。今後も類似の事案が発生すると予想されますが，新しいパターンに対処するためには，しばらく書込みを許して内容を観察する必要があります。このため時に妙な書込みを見る可能性がありますが，何らかの対策は取りますので大目に見て下さるようお願いします。(7/16/06)