モーグルとカバとパウダーの日記

モーグルやカバ(EXカービング)山スキー(BC)などがメインの日記でした。今は仕事のコンピュータ系のネタが主になっています。以前はスパム対策関連が多かったのですが最近はディープラーニング関連が多めです。

アフィリエイトレピュテーション攻撃

pc spam

先日書いたエントリー

モーグルとカバとパウダーの日記 - アフィリエイトのブラックリスト共有

のコメントでmanabuさんとやり取りしてて出た、アフィリエイトIDの評判を落とすための攻撃手法に「アフィリエイトレピュテーション攻撃」と名づけてみました。


これは、攻撃者側が勝手に「評判を落としたい対象の」アフィリエイトIDを入れたスパムブログを作ったり、そのスパムブログへのトラックバックスパムを打ったりするものです。
つまり、勝手に誰かに、自分のアフィリエイトIDを宣伝するスパムがばらまかれる、というわけ。


単にこれだけだと、攻撃対象へのアクセスが増え、相手のアフィリエイト収入が増えてしまうだけですが、前エントリーで書いたような、アフィリエイト提供サービス会社間でのブラックリスト共有がされたり、アフィリエイトを悪用した場合の締め出しがきつくなりつつあると、攻撃対象となるアフィリエイトIDを騙って派手にスパム行為をすることで、相手をブラックリストへ載せさせてアフィリエイトの競合相手を減らす、という攻撃となり得ます。
これは単に、大手のアフィリエイターへのいやがらせ、として使われる場合のほうが多いかもしれません。


自分はまだこういう攻撃について実例を聞いたことがないし、まだ行われていないのではないかと思いますが、今後十分起こりうると思います。
わざわざそんな手間暇かけて嫌がらせしないよ、心配しすぎ、という方もいるでしょうが、例えば2chまとめ系ブログ管理人の方とかだと、これ読んで攻撃の可能性を感じられたのではないでしょうか。


この攻撃に先手を打つために、対策を考えてみました。
書いてから思ったのですが、これは別にこの攻撃に対してということでなく、汎用的なスパムブログスパムトラックバック対策にもなると思います。
でも、TSPFのアイデアは大手ブログサービス間や、メジャーなブログアプリで実装されて広まらないと効果が無いです。はてなでこのアイデアに賛成してくれて、他のブログサービスと一緒に広めてくれないかな…

自ブログ、サイトのURL登録

アフィリエイト先に、自分のアフィリエイトIDを入れるURLを申請する。
例えばこのブログであれば、http://d.hatena.ne.jp/stealthinu/アフィリエイトIDの申請に一緒に登録する。複数のサイトを指定出来るが、10件までとか制限を掛けたほうが良い。
そのURL以下から来たアフィリエイトでなければ、つまりリファラーが指定したURL以下でなければ、アフィリエイトは認められない。
リファラーでのチェックも入るため、副次的に強制クッキーも効かなくなる。
URLを指定しない場合、現在の状況と同じくどのページから来てもアフィリエイトは認められるが、そうやって届いたもの全ては自分の責任になる。
つまり、URLの範囲を指定せずに自分のアフィリエイトIDを騙られたスパムブログを作られても、それは自分の責任となる。
だから指定しない事も出来るが、騙られてブラックリストに入れられても言い訳が効かないため、ちゃんとした指定をするようになるはず。


URL範囲の指定を必須にして、URLのリスト(つまりブログの数)を10件までとかに制限すれば、スパムブログを防ぐ効果もあります。
例えば、fc2とかでスパムブログ機械的に作っている場合、同一のアフィリエイトIDでは一度に10件までしか作れず、ある程度時間が経ったたびに登録URLを変更したとしても、そういう行動をとるユーザは非常にまれでしょうから、そういったユーザを抽出して監視し、ブラックリストに入れることは簡単でしょう。

トラックバック元サーバのSPF(Trackback SPF)

トラックバックを打つ元のサーバを、メールのSPFみたいにして指定できるようにする。
つまり、hatena.ne.jpのURLからのトラックバックだったら、hatena.ne.jpのDNSのTXTレコードを引いてきて、どのサーバからトラックバックを打つことになってるか確認して、それ以外からのトラックバックは拒否する。
これでそのブログシステム以外からはトラックバックを打てないから、勝手に動的IPからツール使ってトラックバックを打っても無駄になる。


むろん、ブログサービスの提供元から正しくシステムを使ってトラックバックを送信することができるが、ブログサービスのサーバを必ず通ることになるため、トラックバック送信数などで、制限を掛けることができるでしょう。
このへんはOP25B導入した接続プロバイダーが、メールサーバでメール送信流量制限を掛けれるようになるのと同じイメージで考えればよいでしょう。


(関連)

モーグルとカバとパウダーの日記 - アフィリエイトのブラックリスト共有
モーグルとカバとパウダーの日記 - 根本的なスパムブログ対策
モーグルとカバとパウダーの日記 - 同一ブログから多数のトラックバックを拒否するトラックバックスパム対策がはてなに導入
モーグルとカバとパウダーの日記 - 大手ブログサーバ向けトラックバックスパム対策方法


(追記)

コメントでkonaさんに教えていただいたのですが、9/7にGoogle AdSenseで、このエントリーで書いた対策一番目の、アフィリエイトIDを書くURL(つまり自サイト)を指定出来るようになっており、理由はやはり望まないサイトに(勝手に)自分のアフィリエイトIDで広告を出されるのを防ぐため、とのことです。

Inside AdSense: Allowed and clear

あー、完全に一歩遅れたエントリーになってしまったです orz


(追記)

新たなアドセンス狩りへの対抗手段-アフィリエイトの過去から将来への考察

こちらの方も

「他人のコードを規約違反のサイトに貼り付ける新たなアドセンス狩り」

を危惧していらしたとのこと。
やっぱりアフィリエイトされてる方は、気になってたみたいです。


実は、Trackback SPF結構いい案じゃね?とか自画自賛だったのに、全く反応無くて悲しいので、まっちゃさん( id:ripjyr )に取り上げてもらえないか、ちょっとping打ってみるテスト。

(追記)

…と書いたら、まっちゃさんが解説イラスト付きで紹介いただきました。ありがとうございます _o_
というわけで、こちらのエントリーも参照してみてください。

まっちゃだいふくの日記★とれんどふりーく★ - アフィリエイトレピュテーション攻撃 (モーグルとカバとパウダーの日記 - 2007-09-11)