• ドキュメント
• 全文検索

Keyword ReverseAccess

不正なカウントアップアタックを防御する

ReverseAccessのアクセス一覧はアクセス数の多いサイトほど上位に表示される機能があります。
結果的に上位にランクインされればそのサイトはＳＥＯ的に優位なわけです。この特性を利用して上位ランクインを狙ったReverseAccessへの不正アクセスが後を絶ちません。
特にReverseAccessは数少ない逆アクセスランキングとしてユーザ数も多くその影響ははかりしれません。

カウントアップアタックの実態

では不正カウントアップアタックはどのようにして行われるのでしょうか。

ReverseAccessにURLオプション付きでダイレクトに不正アクセスする方法

例えばブラウザのアドレス欄に

http://www.example.com/access/access.cgi?http://spam.com/

上記のようにスクリプト名の後ろにURLオプションを指定します。
これで www.example.com にアクセスすればReverseAccessは spam.com からのリンクと認識し spam.com のアクセス数に＋１を加えます。
今ではほとんど見かけなくなりましたが簡単な方法なので数年前まではこれが主流でした。

ページ内に仕掛けたIMGタグで不正アクセスする方法

例えばページ内に以下のようなIMGタグを仕掛けておきます。

<img src="http://www.example.com/access.cgi?http://spam.com/" width="1" height="1" border="0">
あるいは
<img src="http://www.example.com/" width="1" height="1" border="0">

上記IMGタグをページ内に貼り付けます。（攻撃するサイトが複数ならURLを変えて複数貼り付ける。）
タグが人目に触れぬようフレームに隠したり、あるいはJavaScript（最近はこれが主流）を使用している場合もあります。
この手口によりページにアクセスした人たちが知らず知らずのうちに不正アクセスに加担してしまったのと同じことになります。
いうなれば不正アクセスの自動化バージョンです。

上記は実際に今でも行われている不正アクセスの一例です。これ以外にも不正アクセスする方法は多数存在します。

不正アクセスを完全に防ぐには

正直の話これは無理です。
というのは ReverseAccess がリファラーを見てカウント処理を行っている限り不正アクセスは防ぎようがありません。
何故防げないかというとリファラーは偽装が可能だからです。もし仮にリファラーが偽装されていたとしも ReverseAccess の構造上の問題からリファラーを信用するしかないので結果的にいくらでも不正できます。

それでもできる限りの対策は行うべき

先ず最初にやることと言えば ReverseAccess を不正を行おうとする相手から見つかりづらくすることです。
相手（不正アクセスする側）は検索エンジンや専用ツールを使いインターネット上から ReverseAccess を見つけ出します。ですからなるべく見つからないようこちらでも工夫をしなければなりません。

ファイル名を変える

オリジナルのファイル名は access.cgi です。
このファイル名をそのまま使っていては検索で簡単に見つかります。ですからこのオリジナルのファイル名を別のファイル名に変えます。わたしはこの方法を一番にお薦めします。更に access というサブディレクトリ名を使っていたらこれも別のに変えます。

ReverseAccess が設置されているというのを隠す

検索されやすいのは ReverseAccess という文字列です。→googleで調べてみる
スクリプト内にはこの ReverseAccess という文字列が複数書かれていますから、この ReverseAccess を全て他の文字に変えてしまいます。（set.cgi の中でも使われています。）
手作業で変えるのは容易ではありませんからエディタの検索機能を使いながら変更するのがよいでしょう。
もし ReverseAccess という文字列をそのまま表示させたいなら、文字をエンティティ化することをお薦めします。

不正アクセスサイトを排除URLに地道に登録する

「排除URL設定モード」で登録されたサイトはランキングには記録されません。毎回同じURLで不正アクセスしてくるサイトに対してはこのモードは有効に機能します。
しかし昨今はURLを偽装するサイトも増えました。いわゆる転送URLというのを使ってくるのです。
転送URLサービスは日本のみならず世界中にそれこそ無数に存在します。こうなると排除URLに登録すること自体ほとんど意味がなく、また多数の排除URLを登録することによりその処理のためにスクリプトが重くなってしまいます。

最終手段は不正にアクセスしてきたサイトを表示させないこと

ReverseAccess には マッチングURLに登録されたサイトのみ表示(1=YES 0=NO) という設定があります。
これを YES にすれば、これに登録したサイト以外ランキングには表示されなくなるので、この方法が最も効果的な不正アクセス対策となります。わたしはこの方法を一番にお薦めします。
マッチングURLに登録するのが面倒と思うかもしれませんが、よっぽど人気サイトでない限り実際にリンクを張ってくれるサイトはそう多くありません。（アクセス支援サイトやランキングサイトは例外）

バージョンアップのお知らせ 2007/08/14
最新のReverseAccess v7.2にはこれまでに見つかったスクリプトのセキュリティーホールが修正されていますので旧バージョン（v7.1など）をお使いの方は早急にアップグレードしてください。最新バージョンはこちらから入手できます。
旧バージョンのまま使い続けますと不正アクセスだけでなく最悪サイト訪問者がアダルトサイトなどに強制転送されてしまう危険があります。

バグ修正のお知らせ 2008/01/03
最新バージョンReverseAccess v7.2に不具合が見つかりました。ダウンロードされた方はこちらを参考にプログラムの修正を行ってください。