Movable Typeのコメントに書き込まれる"コメントスパム"への対策

　一度つかまると際限なく放り込まれるコメントスパム、その対策をご紹介します。

※Movable Type限定の対策です。なおかつMTのバージョンごとの違いについては考えてません。もしバージョンの違いでうまくいかない場合は、対策手段名とバージョンとでググるなどして探してみてください。
※理屈はいいからとにかく対策を知りたい！という方は「対策（1）」、「対策（2）」を直接ご参照ください。

コメントスパムの仕組みと対策の傾向

　コメントスパム（以下スパム）は大体プログラムによって自動投稿されているようです。ですから一度投稿され始めたら（サイトが捕捉されたら）、あとはどんだけ削除しても削除しても削除しても、コメントの投稿が止むことはありません。ただ黙々と投稿され続けます。
　そして重要なことは、スパムはCGIを直接叩いて実行されるということです。ですから、スパムされた記事のURLを変えたり削除したり、コメント投稿フォームを削除してもスパムが止むことはありません（フォームを介さず直接プログラムを実行する）。

　以上がスパムの大まかな仕組みですが、それではこのスパムへの対策にはどんな方法が考えられるのか。スパムへの対策が系統立てて紹介されているサイトがありますので、下記にご紹介します。

• MTコメントスパム対策 - Software Linkage（※文字化けする場合は手動でUTF-8指定）

　ここを読めば、どんな対策が考えられるのかを知り、そこから逆にスパムというものがどんな仕組みで動いているのか、というのを全体的に知ってもらえるかと思います。

　記事は、まずスパムの技術ごとにタイトルが設けられ、そしてそれぞれに複数の対策が紹介されています。

　例えば冒頭の「SPAMっ子の対策」というのは、スパムを仕掛けている対象そのものに対する対策の事です。ぶっちゃけるとURLレベルでの対策ですね。（ただし、自動スパムの場合URLはしょっちゅう変えられるし、ともすると害の無いURLを禁止しちゃうことになるかもしれないので、昔ならいざ知らず現在はあまり有効な対策ではありません。）

　次の「SPAM投稿内容での対策」というのは、URLやCGIでの対策はせず、投稿された内容をある条件で判別しスパムを防ぐ（はじく）、という対策です。（しかしこの方法も問題があります。最終的に記事をはじくことができるとはいえ、一度はBlogの投稿システムが動いてしまうという点です。つまり、自動スパムの場合、最終的にコメントが反映されたかどうかは判別せず次々とスパムの投稿を仕掛けてくるように出来ているので、Blogのシステムに負荷がかかってしまうのです。）

　それでは、以上コメントスパムの仕組みや対策の傾向を押さえた上で、私がオススメするスパム対策をご紹介します。

対策（1）：投稿ボタンクリック強制化により、CGI直打ちスパムをシャットアウト

• MT-Keystrokesプラグイン Movable Typeコメントスパム対策 - WEBデザイン　BLOG

　これは、コメントを投稿する（コメント投稿cgiを動作させる）にはブラウザ上で「クリック」をしないと投稿できないようにする、という対策です。これならCGIを直接叩くロボット型スパムは太刀打ちできません。

　ちなみに、CGIレベルの対策として「CGI実行モジュールの名前を変更する」という方法もありますが、環境を変更したくないのと、その手順がMTのバージョンごとに結構異なっててぶっちゃけ私の使ってるバージョンでの手順が分からなかったのもあって、採用しませんでした。あと名前変えただけだと、万が一変更後の名前にたどり着かれたときに対応できないなー、というのもあります（その可能性は実際低いと思いますが）。

対策（2）：日本語を含んだ投稿のみ受け付けるようにする

• Six Apart - Movable Type プラグインディレクトリ: NotJapaneseLookup

　これは、コメントの投稿後、その内容を判別し条件によって取捨選択をする対策です。
　キモはその条件ですが、ここで紹介するのは「日本語を（ある程度）含んだ文章の投稿のみ受け付ける」というものです。

　しかし、これだとスパムじゃない海外ユーザの投稿もはじいちゃうので、国際派のBlogには使えません。あ、でも一度はじいた分はストックされる（多分）ので、内容を確認した後に手動でコメントを掲載させる、っていうフォローが可能かも。

　ちなみに、はじく条件は下記のとおり。

• 全角文字をx文字以上含む
• ひらがなをx文字以上含む
• 句読点(。と、)をx文字以上含む

　文字数が指定できますので、様子を見て設定するといいでしょう。

対策のまとめ

　ここでは、傾向の異なる二つの対策を組み合わせることで、セキュリティ強度を上げています。しかし全てのサイトに通じる万能策、という訳ではありません。サイトによっては別の対策を講じた方がよい場合もあるでしょうから、その場合は、冒頭の「コメントスパムの仕組みと対策の傾向」を参考に、自分のサイトにあった対策を施してみてください。

対策後の結果、経過

　えーっと、もう2・3ヶ月はたったと思いますが、ピタリと止みました。ゼロです。コメントスパムはゼロになりました。
　以前は日に何十件とスパムされたりした事もありましたが、対策後はスパムがゼロになりました。おかげで安心してBlogを運用することが出来ています。

　それでは、本文にて紹介させていただいた各サイト様には感謝の意を表させて頂きます。
　そしてこの記事が皆様のお役に立てば幸いです。