GoogleAnalyticsでilovevitalyやdarodar、economからの偽アクセスを排除してみた。

2015/01/01

お疲れ様です。高橋です。

先日POSTした「curious4devのセキュリティについて。」で、ロシアからのアクセスを排除出来たつもりなのですが、全然出来ていませんでした。

背景

curious4dev.mydns.jpに対して「ilovevitaly」「darodar」「econom」というサイトから飛んできているよ、と、google Analyticsが言うのです。

国コードはRU、ロシアです。本サイトへのロシアからのアクセスを見てみると、下記のように2014/12/17あたりから急増している事がわかります。

で、私は2014/12/27ロシアからの全IPを遮断する措置をとったのです。

しかし、12/27以降もアクセスは減りませんでした。

気合入れて調べる

referrerに「ilovevitaly」「darodar」「econom」という文字列が入っているはずなので、普通にaccess_logをgrepしてみても、ヒットしません。

という事は、curious4dev.mydns.jpへアクセスしてきていなかったという事です。

なのにgoogle Analytics側でreferrerが保存されているという事は、curious4dev.mydns.jpに仕込んでいるgoogle AnalyticsのUAで始まるアカウントコードを、「ilovevitaly」「darodar」「econom」等に仕込んでいるという事です。

私が前回行ったwordpressでのロシアのIPアドレス全排除は全く意味がなかったという事です。wordpress側にアクセスしてきていなかったんだし。

下記がcurious4dev.mydns.jpに仕込んであるgoogle Analyticsのコードですが、この「UA-56787272-1」を使えば、それがどんなサイトであっても「curious4dev.mydns.jpですよ」と詐称出来るのです。

<script type="text/javascript">

 var _gaq = _gaq || [];
 _gaq.push(['_setAccount', 'UA-56787272-1']);
 _gaq.push(['_gat._forceSSL']);
 _gaq.push(['_trackPageview']);

 (function () {
 var ga = document.createElement('script');
 ga.type = 'text/javascript';
 ga.async = true;
 ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
 var s = document.getElementsByTagName('script')[0];
 s.parentNode.insertBefore(ga, s);
 })();

</script>

あー、なんだかメールサーバにSPFやDKIM等の送信ドメイン認証が実装された理由を体感した気分です。

対処してみる

原因がわかったら対処のしようがあります。google Analyticsの「アナリティクス設定」メニューに行き、「ビュー」の「フィルタ」に行きます。

そして、「UA-56787272-1を使ってgoogle Analyticsを使うトラフィックの中で、”curious4dev.mydns.jp”に飛んできたもののみを分析対象とする」ための設定を下記のように指定します。

google Analyticsは1つのviewで複数のホストを分析する事が出来るので、最初からデフォで自分のサイトのみを分析対象とはしていないのです。

理由を探る

こういうゴミなリファラが自分のgoogle Analyticsの中に入ってきたら、誰だって「どんなサイトなのよ？」と気になって見に行っちゃいます。見に行った先にはショッピングサイトであったり何かしらの広告が埋め込まれたサイトだったり、ひどい場合はマルウェアかウイルスか何かが仕掛けてあるかもしれません。

「google Analyticsでログを見て、リファラを追いかけるような人。サイト管理者的な人。」というターゲットを設定した、一種のWEB広告とも言えるのではないでしょうか。普通のWEB広告と違って、無料で行えるのが、とても賢い方法だと感じます。