モーグルとカバとパウダーの日記

モーグルやカバ(EXカービング)山スキー(BC)などがメインの日記でした。今は仕事のコンピュータ系のネタが主になっています。以前はスパム対策関連が多かったのですが最近はディープラーニング関連が多めです。

PukiWikiのURL書き換えスパマーは中国からの反日ROのキャラ取得とRMT目的らしい

モーグルとカバとパウダーの日記 - PukiWikiの飛び先URL書き換えスパム
http://d.hatena.ne.jp/stealthinu/20070424/p2

で書いたWikiのリンク先を修正してしまうスパマーについて、PukiWikiスレでも話が出ていたのでちょっと調べました。


すさまじい量の改竄が! - blog/2007-05-01 - Epilogue/LogueWiki

に攻撃された事例が詳しく書かれており参考になります。
このスパマーが使っているドメインとしては

  • biglobe-ne.com
  • din-or.com
  • aurasoul-visjp.com
  • wikiwiki-game.com
  • ezbbsy.com
  • 23styles.com
  • livedoor-game.com
  • yy14-kakiko.com
  • m-phage.com
  • slower-qth.com

というあたりがあるようで、NSは全部ns[12].dnsfamily.comとなっており、ドメイン登録者は「lin zhiqiang」となっています。
また、接続IPでフィルタするとProxy経由での接続に切換えてまでやってきたそうです。

同様の事例が、RagnarokOnline Player's Event Portal運営スレッド
にもありました。


また、こちらの掲示板に

ウィルスが書き込まれています - NOIZ BBS

対日ウィルス目的で登録されている

ということで、他のサイトでも貼られたURLを踏むとウイルスに感染するという報告があり、少なくともウイルスに感染させることが目的で、どうもそれは反日行動としてトロイでそのユーザのネットワークゲームのアカウントを取得し、そのキャラのアイテムなどをRMTすることを目的として*1やっているようです。
自分は、金銭目的ではなく政治的な目的で、スパム撒いているのは初めて見ました。


あと、din-or.comなどでぐぐると、アダルト系の内容で「日本語」の内容とURLが貼られていました。たぶんそれはどこかから内容をコピペしてURLを替えているのだと思いますが、これだと日本語が含まれているか否か、というチェックではすり抜けてくることが出来まてしまいます。
PukiWikiでは、わざわざタイムスタンプを更新しない指定で、URLだけを変更してきたりと、スパム投稿対策への対策を練って攻撃してきているのがわかります。
ただ、これだけいろいろな種類のサービスに対して、こちらのフィルタに対してもきめ細かく対応していることを見ると、やはりシステム化されておらず、人海戦術でやっているような印象を受けました。ある意味最もタチが悪いのですが。


ちなみにWIKIWIKI.jpでは、ブラックリストドメインを公開されていて、ここの連中のドメインも掲載されていました。
フィルタリングドメイン及びアドレス - 無料 レンタル Wiki サービス WIKIWIKI.jp* 〔 PukiWiki Plus! 〕
ただ、スパマードメイン追加毎にブラックリストも追加しなければならないため、URLBLを提供していただければなあ、と思いました。

とりあえず、このリストから、NSのリストへとまとめてみようかなと思っています。


(追記)
調べてみました。主なところはやはり中国の会社がNSとなっていました。ドメイン数の割合で言って少なくとも60%以上です。

ドメイン数	400

[CN]
dnsfamily		 97
xinnet		 47
4everdns.com	 22
myhostadmin.net	 21
dns.com.cn	 18
hichina.com	 15
cnmsn.net		 13
focusdns		  7
cdncenter.com	  6
cnkuai		  5
dnspod.net	  3

[TW]
mywebserv.com	  5

[UA]
85.255.119.20[24]	  8

とりあえず、このあたりは全部、URLNSBLのリストに追加してしまってよさげ。
Nameserver RSS Feed Index - URIBL.COM
より、name-services.comも80%以上はスパムドメインのために使われているのがわかるので、ブラックリスト入りさせたいと思います。
name-services.com も入れていたのですが、正しいサーバもあるため削除しました。
あとで、URLNSBLのリストを作って公開します。


(追記)
いくつかのスパムフィルタを使えるspam_filter.phpの導入 - 美麻Wikiでシステム的に修正している点 - 美麻Wiki
で説明している、spam_filter.php のデフォルト値として設定しました。


(さらに追記)

コメントで「ほめ」さんからいただいたスラドの内容読みました。

スラッシュドット ジャパン | niftyに偽装した悪意のあるサイトが登場

この中に、実際にウイルスに感染させてみせて、ウイルス種まで特定されている情報がありました。

TR/PSW.Maran.G.5 - 詳しい説明

「Maran.G.5」というトロイだそうで、特に反日ウイルスというわけではないようです。
なので、「反日目的」というところは訂正します。


(さらにさらに追記)

■[書き流し]ネットの恐ろしさ - いちはいじんの日記帳

踏むと、ウイルス感染→らぐなのアカウントのIDとパスを抜かれる→それを使ってらぐなの中での資産(まあレア装備とか)がごっそり盗まれてゲーム内で売り飛ばされます。ウイルス仕掛けた側が盗んだアイテムをゲーム内露店で売り飛ばし、ゲーム内通貨に換金→それをリアルマネーに換金(RMT)という仕組み。ゲーム内で不正に資産を得たい人が、リアルマネーを支払ってゲーム内通貨を手に入れる、ということで、ひとつのサイクルが完成するわけです。普通はゲーム内でレアを自力げっと→ゲーム内露店で売りさばいて資金ゲットなんだけど。

おとなり日記にあったこちらの内容で、トロイを仕込む目的は、RO(ラグナロクオンライン)のアカウントを取得して、そのキャラの持ってるアイテムなどでRMTで現金化する、ということだったようです。
まあ結局金儲け目的のスパムで、ただ儲け方としてRMTを使う、というところが新しいですね。


(追記)

モーグルとカバとパウダーの日記 - PukiWiki Plus!用のスパムフィルタ spam_filter.php

にて、自作のPukiWiki用総合スパムフィルタについて紹介があります。

*1:コメントの情報より、感染させようとしているウイルスが「反日ウイルス」ではなくて単なるトロイだったため修正しました