翌日にもう一度波がやってきてやっぱりうちの天然書き込みフィルターを通過することができなかったのですが、どうして通過する事ができなかったのか知りたかったので POST があった時点で内容を別ファイルに記録してみました。

以下は記録をとってみてわかった事項。

1. hiddenで書いてある'ひみちゅのあんごう'がキッチリ入っている → スクリプトがいちおう解析をしている
2. submitのnameはなぜか入っていない → これがうちのサイトで書き込み出来ない原因

ということで、スクリプトがタコなので排除できてるようで一件落着・・・といいたいところですが、なんかこれスパムじゃないような気がします。というのも

3. お名前欄に書いている内容は「10桁の英数文字列」
4. 内容欄に書いてある内容は「スペースで区切られた3つの10～14桁の英数文字列」

となっており、規則性の無さそうな文字の羅列ですので どう考えても広告ではありません。

では何か? POSTしているIPアドレスは日本・タイ・韓国など多様ですのでウィルスに感染しているか、踏み台にされているといったところでしょう。書いてある内容についてはさすがに私には暗号解析能力はないので判りませんが、想像するに「キーロガーが読み出した内容」とか「バックドアを仕込んだプログラムが自分自身のアドレスを安全に伝達するために書き込んだ文字列」あるいは単純に「伝達に使える場所を探している」といったところでしょうか。アクセスログを見ていると、「GETした内容を元にPOSTしている部隊」と「GETだけしかしない部隊」がいるのが面白いです。書き込んだ内容で「何か」を伝達したがってるのは間違いなさそうですね。

正直スパムであれば書き込まれてから分析・対処したら良いと思っていましたが、こういうのはできれば書き込まれたくないですねー。うちのサイトが悪事に利用されるなどまっぴらごめんです。

□ 関連記事

• 2006/09/16 スパムコメントの足音
  • 2006/09/17 続コメントスパムの足音 ≪
  • 2006/09/18 終 コメントスパムの足音