最近コメントスパム対策の事に、ついて、投稿したが、これはその続編である。
コメントスパム
すっかりサボっていたブログを再開する。
システムのバージョンアップですっかり時間を使ってしまったが、バージョンアップをした途端、死んでいたCMSに早速コメントスパムが始まった。Googleでさえ、弊社のサイト更新を知らないと思うが、敵は優秀なロボットを使っているようだ。
WordPress, phpMyAdminに注意
最近、アクセスログを見ていると、ブログのWordPressやデータベース管理ソフトphpMyAdminにアクセスしようとしている不正アクセスの痕跡が沢山見つかる。
メールの70%は迷惑メール
実感通りというのも悲しいが、CNET Japanの記事に、メールの70%が迷惑メールであるという記事が掲載されていた。(CNET Japan記事:7割以上が迷惑メール–迷惑メール対策推進協議会まとめ)
面白いのは、世界的にはインターネット関連広告と薬など医療関係広告が多いのに日本では約90%が出会い系だそうだ。ここでも、ガラパゴス化しているのには、驚きである。しかし、よく考えてみれば、インターネットの利用形態が携帯電話に偏るなど、ガラパゴス化しているので、迷惑メールもガラパゴス化するのは当然である。
弊社ではGmailのメールフィルターを利用しているが、最近このフィルターで漏れているのは、薬とインターネット広告、商材の紹介の数件である。これも、明示的に迷惑メールであることを設定すれば、消えるだろう。メールソフト上では、迷惑メールは見かけ上1割もないように見え、快適である。
TQC的(トヨタなども採用している全社的品質改善活動)に考えると、一番比率の多い「出会い系」の改善を行えば、一番迷惑メール削減効果が期待できる。迷惑メールをフィルターでふるいにかけるのは、何も生み出さない非生産的作業である。7割の9割であるから、発信元で規制ができれば、サーバーやネットワーク、強いてはメールを取り込むPCの負担の6割を削減出来ることになり、大きく環境問題にも貢献できるかも知れない。
ホームページにコメントが付く
CNETに『グーグル、「Google Toolbar」にウェブページへのコメント機能を追加』という記事が掲載されていた。
「コメントならブログで付けてもらえる」と思われたかも知れない。しかし、この記事を読むと、検索エンジンがかなり、系統的にコメントを解析していることが伺われる。今回の機能は、ブログの様にコメントを付ける機能のないページにもコメントがつけられるというものであるが、その奥には、ページの評価のためにグーグルはコメントの内容も考慮している、あるいは検討中であることが推察できる。
しかし、だからといって、一所懸命コメントをつけるのは、愚の骨頂だろう。また、きっと「好意的なコメントを貴社のページに大量につける自動化プログラム」などが開発され、売り込まれることになる。グーグルの公式ブログに最近掲載された記事「Google のインデックスやランク付けなどに関する、10 の誤解」にもあるように、検索エンジン最適化テクニックと称して公開されている”技”は、だんだん、都市伝説化さえしてきている。
ここで大切な事は、やはり、コンテンツの改善となるだろう。それなりに良いコンテンツにはそれなりに好意的なコメントがつけれら、そのページの評価は上がるだろう。経費が限られているなら、なおのこと、内容の充実に資源を集中すべきだろう。
ウェブサイト攻撃が急増
独立行政法人情報処理推進機構が、ホームページへの不正侵入が増えていることを警告している。(ZDNET記事;SQLインジェクションによるウェブサイト攻撃が急増、IPAが対策を呼びかけ)
SQLインジェクションなど聞いたこともなく、うちのサイトは関係ないなどと思っても、下記が当てはまれば、多少とも関係している可能性があるので、簡易検査を行って欲しい。
- ブログ、CMSなどを使用している
- ECシステムを利用している
- 自前の製品検索を付けている
- 問い合わせなどにデータベースを利用している
- 最後が”.php”のページがある(動的なページがある)
システムについて、知識が無ければ、以下の事を行って欲しい。
- オープンシステムを使用している場合は、開発元のサイトを調べ、最新バージョンに更新を行う。
- 自社用に開発したのであれば、制作部門、制作会社に確認して、対策をとる。もし、対応が取れないようなら、プログラムの使用は控え、別の会社に対応を依頼するのが望ましい。
SQLインジェクションでは、顧客データの漏洩や、サーバーの機能が奪取されかねない。放置すれば、自社サイトだけでなく、サーバー管理会社やインターネット社会全体にも被害が広がる。対岸の火事と思わず、確認をしてほしい。
SQLインジェクションは非常に簡単に分かることがありますが、その方法は、ホームページで紹介されていません。悪用される恐れがあるからです。IPAの簡易検査が難しい場合は、ノーブに御連絡ください。簡単なテストであれば、無償で確認いたします。(問題がある場合は、はっきり分かりますが、簡単なテストが通っても、安全とは言い切れませんのでご了承ください。)
descriptionタグ
SEOを勉強している方は一度は耳にしたことがある単語であろう。
descriptionタグはMETAタグとよばれる、ページの属性を決めるデータの一種である。英文の論文や科学雑誌を見たことがあれば、abstract(要約)とキーワードが掲載されているのをご存じであろう。このブログでも何度かとりあげているが、ページの要約を知らせる為のものである。
検索エンジンの黎明期には、全文を検索エンジンがチェックせず、ここだけを読み込むものもあった。その為、今で言うスパムに悪用され、このタグの信用は失墜した。ヤフーなどでは、読まれない。しかし、グーグルでは利用されている。(グーグルのウェブマスターツールに診断項目がある。)
理由はなにか?
まだ、コンピュータにホームページを読ませて、内容を要約できるほどの性能はないからである。筆者自身の要約の方が遙かに適切だろう。スパムの問題は、ここに出てくるキーワードの重みを調整することで、検索エンジン側で解決できる。それより、検索結果に表示することで、検索者の便宜を計ったと言うことであろう。
ブログでは注意が必要である。システムによっては付かなかったり、同じものが使用されたりする。ブログの最初の数文字を自動で引用するものもあるが、これでは要約の意味がない。プラグインやデザインひな形を良くチェックして、自分の言葉で書き込むのが重要である。
CAPTCHA続報
スパムを防止するCAPTCHAが新しい技術開発を進めるかも知れないなどと考えていたが、もっと泥臭い話であった。(ZDnet記事:GoogleのCAPTCHA実験が的外れな理由)
CAPTCHAは人間にしか解読できないような画像をみせて、その答えを入力させ、機械による自動登録を防止するシステムであるが、なんと、この記事によれば、画像の解読には、開発途上国のオペレータが人海戦術で解読を行っているというのである。人間が判断できる仕掛けは、解読されてしまうと言うのである。逆に、人間に、より易しくなれば、人海戦術はもっと効果を上げてしまう。
この記事では、人海戦術を仲介するシステムに大量の解読依頼をおくり、料金体系を壊してしまう対策が考えられるとしていたが、人間が行っているとなれば、対策は考えられる。 “CAPTCHA続報” の続きを読む
スパム対策の進化
グーグルがスパム対策の一つCAPTCHAの新技術をテストしている。(CNET記事:グーグル、ボット対策で新たなCAPTCHA技術をテスト)
CAPTCHAというのは、ブログのコメント投稿や無料メールアカウントの登録などに、人間が操作していることを確認するシステムだ。皆さんも遭遇したことがある、あのゆがみやノイズの混じった文字の画像の事である。その画像中の文字を入力させ、機械による自動登録を防止するシステムだ。
しかし、既に、画像解析ソフトウェアを駆使することにより、文字によるCAPTCHAは破られてしまっている。今回は、写真の上下などの向きを判定するもので、機械には難しいとされている。例えば、普通の水平線の写真を見れば、人間ならどちらが空か海か判定できるが、ソフトウェアでこれを判定するのは大変だ。しかも、写真の種類は、風景の他、顔、花(植物)、乗り物など幾つも考えられる。例えば、風景を判定することができるようになっても、どんどん、別の種類の写真の判定するソフトウェアを開発していかなければならず、今度こそ、究極のスパム対策となるかもしれない。
なぜ、グーグルがスパム対策に力を入れているか?それは、グーグルメールがスパム対策としては優れており、グーグルメールアカウントでスパムを送る必要があるからである。通常のホームページにこのような対策を施すのは、すこしオーバースペックであろう。費用対効果を考える必要がある。
さて、スパム発信業者も生き残りをかけて、技術開発をおこなっている。鍵と錠の歴史にも似ている。矛盾という言葉があるように、最強の盾と矛が同時に存在することは論理的には間違いでも、実世界では良くある状況だ。いつかは、この新技術も破られる時が来るであろうが、そのときは、ソフトウェアの技術が進んだと思えば気も楽である。
送信メールを取り消す
よく相談を受ける案件だが、普通の状態では無理である。送信先を間違えたファックスを取り消せないのと同じである。しかし、グーグルの提供するGmailが実験的に実現している。(Gmail Labs が日本語に対応しました)ただし、取消ができるのは数秒間だけと言うことなので、やはり良くチェックしなければいけない。
この機能を本格的に対応するには、メールの規格自体を変えなければならない。特定のメールを削除指示するメールを決めて、それにメールソフト、OutlookExpressなどが対応する必要がある。
仕事のメールは送信先を良く確認するしか、しばらく、特効薬はなさそうである。
Gmailは、今、使っているメールアドレスでも利用することができる。メールアドレスはそのままで、ウェブメールやGmailの迷惑メールフィルターが使える。助かるのは、一生使い切れないような大きな容量をもらえることで、数ヶ月前に削除したメールを探し出すことも可能である。もちろん、メールの内容はグーグルのシステムによってスキャンされる。SFホラー映画の様に自分のプライバシーがすべて明かされると思う方は、止めた方がよい。