Blog
2008/03/04のBlog
[ 23:40 ]
[ ブログの話題 ]
;)
最近、主に fc2 で、スパイウェアをダウンロードさせるコメントスパムが流行していたようだ。
過去形なのは、スパムの発信元に使われた fc2のブログが閉鎖されているからだが、そのうちDoblogにも流れてくるかもしれない。クリックしないように注意しよう。
(注:fc2にはこの記事の例とと異なる事例も報告されている。3/6本文末尾に追加した)
このスパイウェアスパムは、コメントの文言にいくつかパターンがあるが、機械翻訳のような「変な」日本語なのですぐわかる。例えば、
「時間があって私のBloggerまで(へ)見てみます」
のようなもの。
以下はリンク先をクリックしたらどうなるかの説明。<--真似しないのが安全。
入り口サイト
・中国にあるサイトに飛ばされる。
・そのサイトは、実はハックされており、HTMLにこそっと次のようなコードが入れてある。
<iframe src=<あるハックされたサイトのURL> width=30 height=0></iframe>
・これは以前 価格.com がハックされた手口と同じだ。
・通常ここで、ウィルス対策ソフトが iframeタイプのウィルスを検出したと警告を出すはず。
別サイト
・次に、上のコードで、<あるハックされたサイトのURL>のページを裏で(iframe内で)実行する。
・そのページは、すべてjavascriptで書かれており、<ハックされたサイトの別のURL>のページを再度実行するようコードが書いてある。
ダウンロードサイト
・飛び先ページも同様にすべてjavascriptで書かれており、スパイウェアの実行可能ファイル(xia.exe)をダウンロードするようになっている。
・javascriptのコードは「難読化」が施してある。
・この段階でもウィルス対策ソフトが警告を出すはず。
・exeのダウンロードは、ダイアログボックスが表示され、「保存」するか「実行」するかの選択になる。
・もちろん、間違っても「実行」してはいけない(泣)。
実行するとどうなるか
・xia.exeはダウンローダーであり、どこかからキーロガーのプログラムをダウンロードしインストールするようだ。
・キーロガーは、オンラインゲーム、リネージュのアカウントを盗むらしい。
・リネージュのサイトには、このような目的に使われている感染源サイトの膨大なリストが載っている。
--追加--
fc2では、この記事の例とは異なる事例も報告されている。それは、fc2のブログのテンプレートが改ざんされ スパイウェアをインストールする<iframe>タグが挿入されているというもの。スパイウェアのインストールはRealPlayerの脆弱性を利用しているらしい。また、テンプレートの改ざんは「推測しやすいパスワード」を設定しているブログがやられたのではないかとのこと。fc2へのアクセスは注意。
Doblogでは、仮にパスワードが盗まれたとしても、記事に<iframe>タグを挿入することはできません。
過去形なのは、スパムの発信元に使われた fc2のブログが閉鎖されているからだが、そのうちDoblogにも流れてくるかもしれない。クリックしないように注意しよう。
(注:fc2にはこの記事の例とと異なる事例も報告されている。3/6本文末尾に追加した)
このスパイウェアスパムは、コメントの文言にいくつかパターンがあるが、機械翻訳のような「変な」日本語なのですぐわかる。例えば、
「時間があって私のBloggerまで(へ)見てみます」
のようなもの。
以下はリンク先をクリックしたらどうなるかの説明。<--真似しないのが安全。
入り口サイト
・中国にあるサイトに飛ばされる。
・そのサイトは、実はハックされており、HTMLにこそっと次のようなコードが入れてある。
<iframe src=<あるハックされたサイトのURL> width=30 height=0></iframe>
・これは以前 価格.com がハックされた手口と同じだ。
・通常ここで、ウィルス対策ソフトが iframeタイプのウィルスを検出したと警告を出すはず。
別サイト
・次に、上のコードで、<あるハックされたサイトのURL>のページを裏で(iframe内で)実行する。
・そのページは、すべてjavascriptで書かれており、<ハックされたサイトの別のURL>のページを再度実行するようコードが書いてある。
ダウンロードサイト
・飛び先ページも同様にすべてjavascriptで書かれており、スパイウェアの実行可能ファイル(xia.exe)をダウンロードするようになっている。
・javascriptのコードは「難読化」が施してある。
・この段階でもウィルス対策ソフトが警告を出すはず。
・exeのダウンロードは、ダイアログボックスが表示され、「保存」するか「実行」するかの選択になる。
・もちろん、間違っても「実行」してはいけない(泣)。
実行するとどうなるか
・xia.exeはダウンローダーであり、どこかからキーロガーのプログラムをダウンロードしインストールするようだ。
・キーロガーは、オンラインゲーム、リネージュのアカウントを盗むらしい。
・リネージュのサイトには、このような目的に使われている感染源サイトの膨大なリストが載っている。
--追加--
fc2では、この記事の例とは異なる事例も報告されている。それは、fc2のブログのテンプレートが改ざんされ スパイウェアをインストールする<iframe>タグが挿入されているというもの。スパイウェアのインストールはRealPlayerの脆弱性を利用しているらしい。また、テンプレートの改ざんは「推測しやすいパスワード」を設定しているブログがやられたのではないかとのこと。fc2へのアクセスは注意。
Doblogでは、仮にパスワードが盗まれたとしても、記事に<iframe>タグを挿入することはできません。
2008/03/03のBlog
[ 23:11 ]
[ ネットの話題 ]
;)
Javaアプレットを使ったWebページを訪問することは少ないのだが、先日訪問したサイトでJavaのエラー頻発であった。
エラーの内容は、まず
「Java Runtime Environment をロードできません」
というメッセージが出て、次に、
エラーの内容は、まず
「Java Runtime Environment をロードできません」
というメッセージが出て、次に、
;)
「同じプロセスで実行中のいくつかの java 仮想マシンによってエラーが発生しました」
のメッセージが出る。
のメッセージが出る。
;)
このエラーが出たときは、IE(7.0)を終了するとき必ず
「xxxxxの命令がyyyyyのメモリーを参照しました。メモリーが"read"になることはできませんでした」
というメモリーエラーが出る。恐らくメモリー管理に関連する何らかのエラーが発生しているのではないかということは想像できる。
対処方法をいろいろ試してみたが、次の方法がうまくいく。
(ただし、何故うまくいくのか、理由はよくわからない)
「xxxxxの命令がyyyyyのメモリーを参照しました。メモリーが"read"になることはできませんでした」
というメモリーエラーが出る。恐らくメモリー管理に関連する何らかのエラーが発生しているのではないかということは想像できる。
対処方法をいろいろ試してみたが、次の方法がうまくいく。
(ただし、何故うまくいくのか、理由はよくわからない)
;)
.
・ 「スタート」ボタンをクリックして「コントロールパネル」を開く。
・ コントロールパネルの湯気が出ているコーヒーアイコンの「Java」をダブルクリック。
・ 「Java」タブをクリック。
・ 「Javaアプレットのランタイム設定]の「表示」をクリック。
・ 「Javaランタイムパラメータ」は通常空白になっているが、ここに
-Xmx64M -Xms64M
と入力。
・ 「了解」「了解」とクリック。
OKかどうかのチェック
・ http://java.com/ja/にアクセスし、
・ 「Javaソフトウェアの無料ダウンロード」ページの「Javaの有無のチェック」をクリック。
・ 「インストールの確認」をクリックして確認してみる。
・ 「正常な設定です」となればOKだ。
-Xms64Mは、初期ヒープサイズおよび最小ヒープサイズ(64M)
-Xmx64Mは、最大ヒープサイズ(64M)
最小と最大は同じ値を設定すればよい。エラーが出れば 64Mという値を変更してみる。
実機の環境では、128Mではだめで、64Mで上手く行った。この値はガベージコレクション(GC)に関係する。エラーが出ない範囲で大きな値が良いだろう。
これでもダメなこともある。そのときは、一旦ブラウザ(IE)を閉じ、再度アクセスすればOKになる。
・ コントロールパネルの湯気が出ているコーヒーアイコンの「Java」をダブルクリック。
・ 「Java」タブをクリック。
・ 「Javaアプレットのランタイム設定]の「表示」をクリック。
・ 「Javaランタイムパラメータ」は通常空白になっているが、ここに
-Xmx64M -Xms64M
と入力。
・ 「了解」「了解」とクリック。
OKかどうかのチェック
・ http://java.com/ja/にアクセスし、
・ 「Javaソフトウェアの無料ダウンロード」ページの「Javaの有無のチェック」をクリック。
・ 「インストールの確認」をクリックして確認してみる。
・ 「正常な設定です」となればOKだ。
-Xms64Mは、初期ヒープサイズおよび最小ヒープサイズ(64M)
-Xmx64Mは、最大ヒープサイズ(64M)
最小と最大は同じ値を設定すればよい。エラーが出れば 64Mという値を変更してみる。
実機の環境では、128Mではだめで、64Mで上手く行った。この値はガベージコレクション(GC)に関係する。エラーが出ない範囲で大きな値が良いだろう。
これでもダメなこともある。そのときは、一旦ブラウザ(IE)を閉じ、再度アクセスすればOKになる。
2008/03/01のBlog
[ 22:14 ]
[ ブログの話題 ]
;)
Akismetというサーバーベースのスパムフィルタリングサービスがある。APIベースでフィルタリングサービスを受けることができる。コメントやトラックバックされたデータをAPIでAkismetに問い合わせる。Akismetからはそれがスパムかどうかの返答がある。スパムのルールは、利用ユーザがスパムを報告することにより学習させる。GoogleのGmailやYahooのWebメールのスパムフィルターも同じような仕組みだと思うが、利用者が増え、報告が多くなるほど精度が上がってくる。現在、Akismetは現時点で最強のコメントスパム対策プラグインだと、かなり評判が良いようだ。
このグラフは、Akismetがリアルタイムで公表しているスパムの統計データだ。毎日ほぼ1,500万件ほどのブログのコメントやトラックバックを処理しており、そのうち91%がスパムだという。今日の統計でも、12時間でスパムが667万件、本来のコメントが79万件、スパム率は89%だ。
これは主に欧米の例だが、ブログでいかにスパムが大流行しているか、よくわかる。これに比べれば、日本なんかまだまだおとなしいほうだと言えるかもしれない。
このグラフは、Akismetがリアルタイムで公表しているスパムの統計データだ。毎日ほぼ1,500万件ほどのブログのコメントやトラックバックを処理しており、そのうち91%がスパムだという。今日の統計でも、12時間でスパムが667万件、本来のコメントが79万件、スパム率は89%だ。
これは主に欧米の例だが、ブログでいかにスパムが大流行しているか、よくわかる。これに比べれば、日本なんかまだまだおとなしいほうだと言えるかもしれない。
2008/02/29のBlog
[ 20:47 ]
[ ブログの話題 ]
;)
(2/28にスパム探検隊として記事をアップしていましたが、コメントスパムの最終的誘導サイトを追跡する過程でURLの文字を1文字間違えて追跡してしまい、別の出会い系サイトに到達していました。再度追跡をやり直し改訂版としました。スパム関連サイトのアドレスやホスト名、サイト名などすべてわかっていますが、業者の宣伝になっても悔しいので記事には書きませんでした。)
-------------------------------------
現在流行のコメントスパムに対しては、Doblogが3月中に新しい対策をとるようだ。待てば甘露の日和ありで、楽しみに待ってみよう。そこで、これまで調べたことをまとめておこう。
スパムの発信元
・スパムの発信元は、so-netやinfoweb(NIFTY)、mesh(BIGLOBE)、odn(日本テレコム)、yournet(フリービット)、vectant(ヴェクタント)など多くのプロバイダを利用している大阪在住の一般ユーザだ。いずれも光回線だ。固定したサーバーなどから発信されているのではない。恐らく他のプロバイダも利用していると思うが、わかっている範囲では上のプロバイダ。同じプロバイダ内でもIPを次々と変えている。またプロバイダも次々と変えている。
いったいこのスパムはどこに誘導されるのか、気になるところだ。スパムコメントのURLを辿ってみた。
まず準備
・探検専用のコンピュータを使う。いつも使っているコンピュータがウィルスに感染したり、大切なファイルを壊されたりすると目も当てられない。
・内部LANに専用のプライベートアドレスを用意し、そこに探検専用コンピュータを接続。
・同じサブネット内には他のコンピュータは接続しない。もし1台がやられても他に被害が拡大しないように。
・OSなどのパッチをあて最新の状態に更新しておく。
・ウィルス対策ソフトも最新の状態に更新しておく。
・不審な挙動があればリアルタイムでブロックするように設定。
・イベントログなど採れるログはすべて採るように設定。
・すべての通信データをモニターできるようパケットモニターを起動。ログを採る。
・外につなぐときは、外部の公開プロキシ経由とする(内緒)
---これで準備完了---
---さて探検開始---
入り口URL
・スパムのURLをクリック。
・パケットモニターでどんなデータがやり取りされるのか見ながら順に操作を進めていく。
・レスポンスがHTMLで返ってくるものは、ソースを眺めながら次にどうするか考える。
・クッキーやGET, POSTのパラメータに注意しながら進む。
・スパムのURLは、単に入り口となるアドレスだ。このサイトを調べても何も得られない。
・入り口URLをクリックすると、301 Moved Permanentlyで別のサイトにリダイレクトされる。URL偽装用にこのようなサービスを利用しているのだ。
宣伝サイト
・ある宣伝サイトにリダイレクトされる。
・画面構成は、いかにも出会い系サイトのような画面だ。
・このサイトは、内部に41種類の出会いパターンをもっている。今回調べたのは「逆援」パターンなど。
・どの出会いパターンの画面を表示するかは、どの入り口URLからやってきたかで決まる
・このWebサイトを運営している者が、今回のスパマーあるいは、その胴元と思われる。
・スパムの発信はこのスパマーが直接やっているか、バイトを雇ってやっているのであろう。
・クッキーがセットされた。リファラや何かしらの暗号のようなデータをセットしている。どこからやってきたのか見ているのだろう。
・「しのびの忍者ツール」を使ってアクセス解析をやっている。
・「ACRWEB」のClickTrackを使ってこのページのリンクのクリック状況を記録している。
・サーバーは国内大手のレンタルサーバー(Apache/2.2.2 (Fedora))。
・whoisで調べてもこのドメインの本当の運営者は出てこない。出てくるのはドメイン登録業者デジロックの名前だ。
登録処理サイト
・さて、この宣伝サイトに出会い系への新規登録フォームがある。
・スパマーの狙いはここに出会い系サイトへの新規会員登録をしてもらうことだ。
・新規会員登録フォームからは、いくつかの登録処理サイトに飛ばされる。
・登録処理サイトは、多くは国内の大手、中小レンタルサーバー上にある。
・1箇所だけ、シンガポールのサーバー上にある。
・国内で、めずらしくMicrosoft-IIS/5.0を使っているところが1箇所ある。
・登録処理が完了すると、本物の出会い系サーバーにつながる。
・実際の登録は、宣伝サイトの出会いパターンとは関係の無いサイトに登録される。
・そのため、ユーザは勝手に別の出会いサイトに登録されたと感じるだろう。
・登録は無料となっているが、登録料が無料であるという意味で、利用料は有料、前払いポイント制だ。後払い制というのもある。これは怖い。
出会いサイト
・登録先の出会い系サイトは数種類あるが、同一の運営と思われる。
・同じサーバーを使っているのもあるし、別のサーバー上のものもある。
・ほとんど中小のレンタルサーバーを使っているが、一部大手のレンタルサーバーも使っている。
・Microsoft-IIS/5.0もある。
・ドメインの登録は、適当なウソか、ドメイン登録業者の名前になっている。
・特商法の表記も、ほぼウソと思われる。大阪と東京となっている。
・大手の出会いサイトではない。小規模、あるいは個人の運営によるサイトのようだ。
・ネットで評判を検索してみると、「有名悪質有料サイト」となっている。
・あるいは「詐泣サイト」となっている。詐欺で泣かされるという意味か。
・また一般的に完全無料とか書いてあっても、有料サイトに同時登録される仕組みになっているところがほとんどだ。
・利用規約に次のような文句があれば同時登録されるという意味だ。
また、本サービスに登録した会員は、提携サイトのサービスに登録されることを承諾するものとします。 (一例 )
・こう書いてあるのは親切なほうで、規約には何も書いてないものも多い。
・「提携サイトのサービスに登録」とはどういうことか。
・これは「ここに登録すると、別の有料出会いサイトに同時に登録しますよ」ということなのである。
・確かにこの出会いサイト(A)は無料だが、同時に有料サイト(B)に登録されてしまう。
・体験談によると、無料の(A)サイトでは何も起きない。何の反応も無い。会員もいなければサクラもいない。誰とも出会えないそうである。
・一方有料の(B)サイトからは、矢継ぎ早に山ほどのメールが到着し、居るのはサクラばかりで、出会えないうちにどんどんポイント(料金)を消費し、あとで請求書を見て一気に奈落の底に突き落とされるというパターン。
・サクラといっても女性とは限らない。バイトの男が多いという。甘い言葉に酔い、まあ誰と話しているのかわからない不思議な世界に迷い込むのだ。
・出会い場所に行くとそこに男が立っていたという笑えない体験談もある。
・そしてそのうちのめりこみ、給料の何倍もの金を注ぎ込んでしまうという破滅型人生を歩むことになる。
・ネットには、こうした出会いサイトで失敗した体験談、サクラのバイト体験談があちこちにある。
まとめ
・今回のスパムは、あちこちのサイトに飛ばし、複雑な手を使って誘導している。スパマーとして後ろめたい思いがあるのか、何か痕跡を消したいのか。
・今回のスパムコメント誘導先の出会い系サイトは、悪質サイトとみていいだろう。
・明々白々の怪しいサイトで、こんな手には誰も乗らないだろうと思うのに、多くの人がだまされ泣いている、という体験談がネットにはいっぱいある。
・クリックしないのが一番。
・当初は大手業者のアフィリエイトをスパマーがやっているのかと思っていたが、そうではなく案外出会い業者そのものがスパムをやっているのかもしれない。
-------------------------------------
現在流行のコメントスパムに対しては、Doblogが3月中に新しい対策をとるようだ。待てば甘露の日和ありで、楽しみに待ってみよう。そこで、これまで調べたことをまとめておこう。
スパムの発信元
・スパムの発信元は、so-netやinfoweb(NIFTY)、mesh(BIGLOBE)、odn(日本テレコム)、yournet(フリービット)、vectant(ヴェクタント)など多くのプロバイダを利用している大阪在住の一般ユーザだ。いずれも光回線だ。固定したサーバーなどから発信されているのではない。恐らく他のプロバイダも利用していると思うが、わかっている範囲では上のプロバイダ。同じプロバイダ内でもIPを次々と変えている。またプロバイダも次々と変えている。
いったいこのスパムはどこに誘導されるのか、気になるところだ。スパムコメントのURLを辿ってみた。
まず準備
・探検専用のコンピュータを使う。いつも使っているコンピュータがウィルスに感染したり、大切なファイルを壊されたりすると目も当てられない。
・内部LANに専用のプライベートアドレスを用意し、そこに探検専用コンピュータを接続。
・同じサブネット内には他のコンピュータは接続しない。もし1台がやられても他に被害が拡大しないように。
・OSなどのパッチをあて最新の状態に更新しておく。
・ウィルス対策ソフトも最新の状態に更新しておく。
・不審な挙動があればリアルタイムでブロックするように設定。
・イベントログなど採れるログはすべて採るように設定。
・すべての通信データをモニターできるようパケットモニターを起動。ログを採る。
・外につなぐときは、外部の公開プロキシ経由とする(内緒)
---これで準備完了---
---さて探検開始---
入り口URL
・スパムのURLをクリック。
・パケットモニターでどんなデータがやり取りされるのか見ながら順に操作を進めていく。
・レスポンスがHTMLで返ってくるものは、ソースを眺めながら次にどうするか考える。
・クッキーやGET, POSTのパラメータに注意しながら進む。
・スパムのURLは、単に入り口となるアドレスだ。このサイトを調べても何も得られない。
・入り口URLをクリックすると、301 Moved Permanentlyで別のサイトにリダイレクトされる。URL偽装用にこのようなサービスを利用しているのだ。
宣伝サイト
・ある宣伝サイトにリダイレクトされる。
・画面構成は、いかにも出会い系サイトのような画面だ。
・このサイトは、内部に41種類の出会いパターンをもっている。今回調べたのは「逆援」パターンなど。
・どの出会いパターンの画面を表示するかは、どの入り口URLからやってきたかで決まる
・このWebサイトを運営している者が、今回のスパマーあるいは、その胴元と思われる。
・スパムの発信はこのスパマーが直接やっているか、バイトを雇ってやっているのであろう。
・クッキーがセットされた。リファラや何かしらの暗号のようなデータをセットしている。どこからやってきたのか見ているのだろう。
・「しのびの忍者ツール」を使ってアクセス解析をやっている。
・「ACRWEB」のClickTrackを使ってこのページのリンクのクリック状況を記録している。
・サーバーは国内大手のレンタルサーバー(Apache/2.2.2 (Fedora))。
・whoisで調べてもこのドメインの本当の運営者は出てこない。出てくるのはドメイン登録業者デジロックの名前だ。
登録処理サイト
・さて、この宣伝サイトに出会い系への新規登録フォームがある。
・スパマーの狙いはここに出会い系サイトへの新規会員登録をしてもらうことだ。
・新規会員登録フォームからは、いくつかの登録処理サイトに飛ばされる。
・登録処理サイトは、多くは国内の大手、中小レンタルサーバー上にある。
・1箇所だけ、シンガポールのサーバー上にある。
・国内で、めずらしくMicrosoft-IIS/5.0を使っているところが1箇所ある。
・登録処理が完了すると、本物の出会い系サーバーにつながる。
・実際の登録は、宣伝サイトの出会いパターンとは関係の無いサイトに登録される。
・そのため、ユーザは勝手に別の出会いサイトに登録されたと感じるだろう。
・登録は無料となっているが、登録料が無料であるという意味で、利用料は有料、前払いポイント制だ。後払い制というのもある。これは怖い。
出会いサイト
・登録先の出会い系サイトは数種類あるが、同一の運営と思われる。
・同じサーバーを使っているのもあるし、別のサーバー上のものもある。
・ほとんど中小のレンタルサーバーを使っているが、一部大手のレンタルサーバーも使っている。
・Microsoft-IIS/5.0もある。
・ドメインの登録は、適当なウソか、ドメイン登録業者の名前になっている。
・特商法の表記も、ほぼウソと思われる。大阪と東京となっている。
・大手の出会いサイトではない。小規模、あるいは個人の運営によるサイトのようだ。
・ネットで評判を検索してみると、「有名悪質有料サイト」となっている。
・あるいは「詐泣サイト」となっている。詐欺で泣かされるという意味か。
・また一般的に完全無料とか書いてあっても、有料サイトに同時登録される仕組みになっているところがほとんどだ。
・利用規約に次のような文句があれば同時登録されるという意味だ。
また、本サービスに登録した会員は、提携サイトのサービスに登録されることを承諾するものとします。 (一例 )
・こう書いてあるのは親切なほうで、規約には何も書いてないものも多い。
・「提携サイトのサービスに登録」とはどういうことか。
・これは「ここに登録すると、別の有料出会いサイトに同時に登録しますよ」ということなのである。
・確かにこの出会いサイト(A)は無料だが、同時に有料サイト(B)に登録されてしまう。
・体験談によると、無料の(A)サイトでは何も起きない。何の反応も無い。会員もいなければサクラもいない。誰とも出会えないそうである。
・一方有料の(B)サイトからは、矢継ぎ早に山ほどのメールが到着し、居るのはサクラばかりで、出会えないうちにどんどんポイント(料金)を消費し、あとで請求書を見て一気に奈落の底に突き落とされるというパターン。
・サクラといっても女性とは限らない。バイトの男が多いという。甘い言葉に酔い、まあ誰と話しているのかわからない不思議な世界に迷い込むのだ。
・出会い場所に行くとそこに男が立っていたという笑えない体験談もある。
・そしてそのうちのめりこみ、給料の何倍もの金を注ぎ込んでしまうという破滅型人生を歩むことになる。
・ネットには、こうした出会いサイトで失敗した体験談、サクラのバイト体験談があちこちにある。
まとめ
・今回のスパムは、あちこちのサイトに飛ばし、複雑な手を使って誘導している。スパマーとして後ろめたい思いがあるのか、何か痕跡を消したいのか。
・今回のスパムコメント誘導先の出会い系サイトは、悪質サイトとみていいだろう。
・明々白々の怪しいサイトで、こんな手には誰も乗らないだろうと思うのに、多くの人がだまされ泣いている、という体験談がネットにはいっぱいある。
・クリックしないのが一番。
・当初は大手業者のアフィリエイトをスパマーがやっているのかと思っていたが、そうではなく案外出会い業者そのものがスパムをやっているのかもしれない。
2008/02/28のBlog
2008/02/26のBlog
[ 18:39 ]
[ 日々の暮らし ]
血液検査のため採血。いつも左腕から採血してもらうのだが、今回は失敗。
「ちょっとチクリとしますからね~」
針を刺す
「あれ?・・・あった」
血液を吸引、途中で止まる。
「逃げた・・・・」
血管がどっかに逃げて針先が抜けてしまったようだ。
「すみません、反対側の腕で・・・」
というわけで2度痛い目をした。
検査結果。今まで問題になっていた血液関係5項目のうち、4項目をクリア。
あと一つはまだしばらく様子をみないといけない。
人間ドッグで宣告された17の病名等が、これで13になった。
別の3件はおそらく直っているから、あと10かな。
4件ほどは直りそうに無いからつきあおう。
「ちょっとチクリとしますからね~」
針を刺す
「あれ?・・・あった」
血液を吸引、途中で止まる。
「逃げた・・・・」
血管がどっかに逃げて針先が抜けてしまったようだ。
「すみません、反対側の腕で・・・」
というわけで2度痛い目をした。
検査結果。今まで問題になっていた血液関係5項目のうち、4項目をクリア。
あと一つはまだしばらく様子をみないといけない。
人間ドッグで宣告された17の病名等が、これで13になった。
別の3件はおそらく直っているから、あと10かな。
4件ほどは直りそうに無いからつきあおう。
2008/02/25のBlog
[ 21:44 ]
[ ブログの話題 ]
;)
最近「姫路キリト」というスパムがつきます。これまでのスパム同様、出会い系サイトに誘導されます。「洋二郎」や「閣下」と同じ業者です。でも、このスパムはちょっと悪質です。
このスパムは、ある出会い系サイトに接続後、1秒間に約10回程度、別のランキングサイトに接続し、出会い系サイトへの投票行動を行うように<iframe>タグを使ってプログラムされています。これは裏で行われますのでブラウザの画面をみていてもわかりません。しかし、裏ではかなりのハイペースでネットアクセスを行います。約2,400回、ランキングサイトに接続します。数えた(笑)。回線が細い場合はバンド幅がかなり圧迫されるでしょう。利用しているプロバイダによっては不審なアクセスの発生源とみなされるかもしれません。 クリックしないのが一番です。注意。
---追加---
他のブログについている「姫路キリト」で上のような動作をしないものもありました。同じタイトルが同じ動作をするとは限らないようです。
このスパムは、ある出会い系サイトに接続後、1秒間に約10回程度、別のランキングサイトに接続し、出会い系サイトへの投票行動を行うように<iframe>タグを使ってプログラムされています。これは裏で行われますのでブラウザの画面をみていてもわかりません。しかし、裏ではかなりのハイペースでネットアクセスを行います。約2,400回、ランキングサイトに接続します。数えた(笑)。回線が細い場合はバンド幅がかなり圧迫されるでしょう。利用しているプロバイダによっては不審なアクセスの発生源とみなされるかもしれません。 クリックしないのが一番です。注意。
---追加---
他のブログについている「姫路キリト」で上のような動作をしないものもありました。同じタイトルが同じ動作をするとは限らないようです。
2008/02/24のBlog
[ 22:48 ]
[ ブログの話題 ]
アダルトサイト誘導のコメントスパムがかなりうるさい。Doblog編集部でもスパマーの属するIPアドレス範囲からのコメント書き込みを制限しているが、いたちごっこが続いているようだ。このIPアドレス範囲制限は、スパマーと同じプロバイダを使っているユーザもコメントを書き込めなくなるという副作用がある。そのため、長期に制限をかけることはできない。また、スパマーが利用プロバイダを変更してしまえば無効になる。実際、スパマーは制限がかけられるとすぐ別のプロバイダに変更しているようだ。これではいつまで経っても問題は解決しない。スパマーの自動コメント投稿を避けるには、CAPTCHA(画像認証)あたりの方法が一番確実だと思うがどうだろうか。
---------------------------
さて、ここではちょっと趣向を変えて、スパマーの立場になっていろいろと考えてみた。以下の記事はコメントスパムに苦慮している方には何の役にもたたないので注意。
Technoratiの調査によると、2007年4月の段階でBlogの一日当たりの投稿記事数は全世界で150万、そのうち日本語によるものが37%だという。日本語の記事数は一日当たり約55万になる。
一方、ブログファンのデータから、主要なブログの毎日のアクティブユーザ数を合計すると約56万になる。これらより、日本では、毎日55~56万の記事がアップされていると考えていい。一日平均にならすと毎秒6~7記事である。しかし、ユーザが記事を投稿する時間には波がある。大体夜の10~12時あたりが一番多いのではないかと思う。この時間帯だと時間当たりの投稿数が全投稿数の約1割になるので、大体毎秒15記事くらいになると考えられる。
毎秒15程度の記事に対してコメントスパムを送るとすると、アマチュアではかなりハード的に厳しいと思う。スパムのあて先はどこかのPingサーバーから得るとして、そこから得た55万すべてに対してスパムを送っているのだろうか。ちょっと調べてみた。
--------------------------
最近「洋二郎」というスパムが来る。これを調べた。Googleでブログ中の「洋二郎」スパムコメントを探すと、30万7000件ほどひっかかる。この数は、ブログの中でもGoogleのクローラがコメントへのリンクを辿れるものの数だ。Doblogのようにコメントへのリンクを辿れないブログはこの数の中に含まれていない。具体的には、Yahoo, fc2, Rakutenブログで30万件ほどのコメントが「洋二郎」に該当する。
この数字を使ってコメントへのリンクを辿れないブログも含めた「洋二郎」の数を推定する。先ほどの、ブログファンによれば、主だったブログの月間での総アクティブユーザー数は、約220万。そのうち、Yahoo, fc2, Rakutenで73万を占める。総アクティブユーザ数の1/3だ。
この数字を根拠に推定すると、すべてのブログのコメント中にある「洋二郎」スパムの数は、3倍の約100万件くらいだろうと推定できる。
では、一日あたりどれくらいだろうか。Googleの「洋二郎」数は1カ月以上のデータを保持しているが、時間が経つにつれインデックスから消えていると考えられる。そこで最近1週間の数を検索してみると、約3万になる。同様に3倍して全ブログで約10万だ。一日あたりに直すと、15,000程度になる。
つまり、「洋二郎」スパムは、毎日15,000件程投稿されているのではないか、というのが推定値だ。コメントを拒否するブログもあるから実際の送信数はもっと多いだろうが、これくらいの数だと、ゴールデンタイムの忙しいときでも2秒に1個程度で済む。普通のPCとxDSLでも十分可能だ。
ブログ記事数55万件に対してスパム数が1.5万件だから、適当にピックアップして全記事の3%程度だけにスパムを送っていることになる。
---------------------------
さて、ここではちょっと趣向を変えて、スパマーの立場になっていろいろと考えてみた。以下の記事はコメントスパムに苦慮している方には何の役にもたたないので注意。
Technoratiの調査によると、2007年4月の段階でBlogの一日当たりの投稿記事数は全世界で150万、そのうち日本語によるものが37%だという。日本語の記事数は一日当たり約55万になる。
一方、ブログファンのデータから、主要なブログの毎日のアクティブユーザ数を合計すると約56万になる。これらより、日本では、毎日55~56万の記事がアップされていると考えていい。一日平均にならすと毎秒6~7記事である。しかし、ユーザが記事を投稿する時間には波がある。大体夜の10~12時あたりが一番多いのではないかと思う。この時間帯だと時間当たりの投稿数が全投稿数の約1割になるので、大体毎秒15記事くらいになると考えられる。
毎秒15程度の記事に対してコメントスパムを送るとすると、アマチュアではかなりハード的に厳しいと思う。スパムのあて先はどこかのPingサーバーから得るとして、そこから得た55万すべてに対してスパムを送っているのだろうか。ちょっと調べてみた。
--------------------------
最近「洋二郎」というスパムが来る。これを調べた。Googleでブログ中の「洋二郎」スパムコメントを探すと、30万7000件ほどひっかかる。この数は、ブログの中でもGoogleのクローラがコメントへのリンクを辿れるものの数だ。Doblogのようにコメントへのリンクを辿れないブログはこの数の中に含まれていない。具体的には、Yahoo, fc2, Rakutenブログで30万件ほどのコメントが「洋二郎」に該当する。
この数字を使ってコメントへのリンクを辿れないブログも含めた「洋二郎」の数を推定する。先ほどの、ブログファンによれば、主だったブログの月間での総アクティブユーザー数は、約220万。そのうち、Yahoo, fc2, Rakutenで73万を占める。総アクティブユーザ数の1/3だ。
この数字を根拠に推定すると、すべてのブログのコメント中にある「洋二郎」スパムの数は、3倍の約100万件くらいだろうと推定できる。
では、一日あたりどれくらいだろうか。Googleの「洋二郎」数は1カ月以上のデータを保持しているが、時間が経つにつれインデックスから消えていると考えられる。そこで最近1週間の数を検索してみると、約3万になる。同様に3倍して全ブログで約10万だ。一日あたりに直すと、15,000程度になる。
つまり、「洋二郎」スパムは、毎日15,000件程投稿されているのではないか、というのが推定値だ。コメントを拒否するブログもあるから実際の送信数はもっと多いだろうが、これくらいの数だと、ゴールデンタイムの忙しいときでも2秒に1個程度で済む。普通のPCとxDSLでも十分可能だ。
ブログ記事数55万件に対してスパム数が1.5万件だから、適当にピックアップして全記事の3%程度だけにスパムを送っていることになる。
;)
それを実際のデータで調べてみた。Doblogの新着記事のリストに載ったブログを順に調べ、記事をアップした時刻と、その記事に「洋二郎」スパムが付いた時刻を調べた。
約200件のブログを調べ、スパムが付いたのが12件だった。約6%のスパム粘着率である。数時間後に付くスパムもあるから、実際はもっと高い率になるかもしれない。コメントの投稿そのものを拒否しているブログもあり調査できないものもあるので正確な数字はわからないが、いずれにせよすべての記事にスパムがつくわけではないというだ。
ブログに記事を投稿してから「洋二郎」スパムが付くまで何分くらいかかるかが上のグラフである。これを見ると面白いことがわかる。
まず、スパムは投稿順に付くのではないということだ。スパムが送り込まれるまでの時間はかなりランダムだ。ほとんど規則性が無いといってもいいだろう。早いもので2分くらいから、(グラフには無いが)、数時間後というものもある。スパマーは、スパム対象をばらばらにかき混ぜた上でスパムを送っているようだ。
約200件のブログを調べ、スパムが付いたのが12件だった。約6%のスパム粘着率である。数時間後に付くスパムもあるから、実際はもっと高い率になるかもしれない。コメントの投稿そのものを拒否しているブログもあり調査できないものもあるので正確な数字はわからないが、いずれにせよすべての記事にスパムがつくわけではないというだ。
ブログに記事を投稿してから「洋二郎」スパムが付くまで何分くらいかかるかが上のグラフである。これを見ると面白いことがわかる。
まず、スパムは投稿順に付くのではないということだ。スパムが送り込まれるまでの時間はかなりランダムだ。ほとんど規則性が無いといってもいいだろう。早いもので2分くらいから、(グラフには無いが)、数時間後というものもある。スパマーは、スパム対象をばらばらにかき混ぜた上でスパムを送っているようだ。
;)
次のグラフは、あるスパムが送られてから、次のスパムが送られるまで何分かかったかを調べたグラフである。これも一見してランダムだ。30分以上間隔を空けているかと思えば、2分程度で送っているときもある。これはスパム行為をシステム側に悟られないためのランダム化だと思う。もし、一定の間隔で連続して送ると、システム側で検出することが容易に可能になるからだ。
スパマーはDoblogだけを相手にしているわけではないので、どのブログにおいても偏りがでないようスパム配送順をすべてのブログでランダムにかき混ぜて送っているようだ。敵は相当手ごわいのではないか。
以上はすべて何ら根拠の乏しい推定と推論であって、正確かどうか事実かどうかは保障できないし、これを信用してはならない。
スパマーはDoblogだけを相手にしているわけではないので、どのブログにおいても偏りがでないようスパム配送順をすべてのブログでランダムにかき混ぜて送っているようだ。敵は相当手ごわいのではないか。
以上はすべて何ら根拠の乏しい推定と推論であって、正確かどうか事実かどうかは保障できないし、これを信用してはならない。
2008/02/23のBlog
[ 17:34 ]
[ ブログの話題 ]
;)
コメントスパムの試験をした。
Doblogユーザ以外からのコメントを拒否する設定にしていたのだが、これが本当に効くのかどうかの試験だ。ちょっと疑問に思ったので。
結論:効かない。
コメントウィンドウで、一見、コメントが投稿できないようになっているが、これは子供だましのゴマカシですね。
実際、ログインしていなくてもいくらでもコメントが投稿できた。なんだ、こりゃ。
さらに、「表示項目の設定」で、「コメント」のチェックを外し、「コメントを一切表示しない」ように設定しても、スパムコメントが可能(ただしこの場合、スパムコメントが入っていても「コメントリスト」に表示されるだけなのでチェックしない限りわからない)。
下のコメント欄の「スパマーX」さんは、ログインせずに投稿したもの。
---- 2/26 追加 ----
その後、設定をいろいろ変えて試してみたところ、現在流行している「洋二郎」や「閣下」などのコメントスパムに対しては、「Doblogユーザ以外からのコメントを拒否する」設定が有効に働いているようです。(ただし、かといって上の記事が間違いというわけではありません。相変わらずログインしていなくてもコメントが投稿できます。ドブたん、根本的なところでチェックを。)
Doblogユーザ以外からのコメントを拒否する設定にしていたのだが、これが本当に効くのかどうかの試験だ。ちょっと疑問に思ったので。
結論:効かない。
コメントウィンドウで、一見、コメントが投稿できないようになっているが、これは子供だましのゴマカシですね。
実際、ログインしていなくてもいくらでもコメントが投稿できた。なんだ、こりゃ。
さらに、「表示項目の設定」で、「コメント」のチェックを外し、「コメントを一切表示しない」ように設定しても、スパムコメントが可能(ただしこの場合、スパムコメントが入っていても「コメントリスト」に表示されるだけなのでチェックしない限りわからない)。
下のコメント欄の「スパマーX」さんは、ログインせずに投稿したもの。
---- 2/26 追加 ----
その後、設定をいろいろ変えて試してみたところ、現在流行している「洋二郎」や「閣下」などのコメントスパムに対しては、「Doblogユーザ以外からのコメントを拒否する」設定が有効に働いているようです。(ただし、かといって上の記事が間違いというわけではありません。相変わらずログインしていなくてもコメントが投稿できます。ドブたん、根本的なところでチェックを。)
[ 00:00 ]
[ 花と昆虫 ]
;)
運動がてら近所を散策。歩き疲れて公園の藤棚のベンチに「よいっしょ」っと。
ここのフジは季節には綺麗な花を咲かせてくれる。ツルが「右巻き」きだからこれは「ノダフジ」。「左巻き」なら「ヤマフジ」になる。
植物の「右巻き」「左巻き」は、世間の常識と異なるから注意が必要だ。
一般にドライバで時計方向に回して進むネジを「右ネジ」という。特殊用途でない限り、世のほとんどのネジは右ネジだ。
右ネジのとき、ネジの溝、あるいは山の形は、右肩上がり、文字で表すと「Z」のような形になる。ところが植物業界では、「Z]のような巻き方を「左巻き」と呼んでいる。アサガオの巻き方が左巻きだ。
逆に左肩上がり、「S]字のような巻き方を「右巻き」という。この写真の場合、「S]字だから「右巻き」だ。
ここのフジは季節には綺麗な花を咲かせてくれる。ツルが「右巻き」きだからこれは「ノダフジ」。「左巻き」なら「ヤマフジ」になる。
植物の「右巻き」「左巻き」は、世間の常識と異なるから注意が必要だ。
一般にドライバで時計方向に回して進むネジを「右ネジ」という。特殊用途でない限り、世のほとんどのネジは右ネジだ。
右ネジのとき、ネジの溝、あるいは山の形は、右肩上がり、文字で表すと「Z」のような形になる。ところが植物業界では、「Z]のような巻き方を「左巻き」と呼んでいる。アサガオの巻き方が左巻きだ。
逆に左肩上がり、「S]字のような巻き方を「右巻き」という。この写真の場合、「S]字だから「右巻き」だ。
;)
ふと見上げると、「マメ」がいっぱいぶら下がっている。フジはマメ科なのだ。このマメ、もともとは青い(緑)が、今は乾燥して茶色くなっている。
乾燥すると種子を包んでいる2枚の鞘が互いに反対方向にねじれ、中から種子が勢い良く飛び散る。足元にはいっぱい豆が転がっていた。そのうちいくつかをGET。
乾燥すると種子を包んでいる2枚の鞘が互いに反対方向にねじれ、中から種子が勢い良く飛び散る。足元にはいっぱい豆が転がっていた。そのうちいくつかをGET。
;)
中には割れずに残っているのもあった。この中に種子が4個入っている。鞘はかなり硬い。
;)
種子の大きさはこんなもの。1.5mm程度だ。扁平でちょうど碁石のような感じだ。
これも硬くて乾燥している。
若く青いうちは食べることができる「らしい」が、食したことは無い。
実生でちょっと育ててみようかともくろんでいる。
これも硬くて乾燥している。
若く青いうちは食べることができる「らしい」が、食したことは無い。
実生でちょっと育ててみようかともくろんでいる。