リファラースパム対策備忘録：発見から除外設定

はじめに

先日、Google Analyticsを眺めていると、参照元に見慣れないURLがいくつか表示されているのに気づいた。調べてみると、これは「リファラースパム」と呼ばれるもので、アクセス解析データに偽の参照元を送り込む迷惑行為らしい。

放置すると正確なデータ分析を妨げる可能性があり、場合によっては誤った判断につながることもある。今回は一時的な発生だったため調査のみにしたので、今後また同じような状況に遭遇したときのために、発見から対応までの手順を整理しておきたいと思った。

1. リファラースパムについて調べたこと

まず、リファラースパムが一体何なのかを調べた。

概要: ボットなどを使い、アクセス解析ツールに偽の参照元情報を記録させる行為。
目的: 主に、解析データを見たサイト管理者を不審なURLへ誘導するため。クリックした先はマルウェアや悪質サイトの可能性がある。
種類:

• ゴーストスパム: サイトにアクセスせず、GAの計測プロトコルに直接データを送るタイプ。今回遭遇したのも、ほとんどがこれだった。
• クローラースパム: 実際にボットがサイトを訪問して足跡を残すタイプ。

要するに、データだけを汚染する迷惑行為ということらしい。

2. 発見の経緯

実際にGA4のレポートでスパムを発見したときの手順。

1. GA4の [レポート] > [集客] > [トラフィック獲得] を開いた。
2. プライマリディメンションを「セッションの参照元/メディア」に変更して確認。
3. すると、以下のような特徴を持つ、明らかに不審な参照元が複数見つかった。
   • 無関係なドメイン名: free-traffic-xyz.com のような、見るからに怪しいもの。
   • エンゲージメント率0%: ほとんどのスパムトラフィックはエンゲージメント率が0%だった。
   • 平均エンゲージメント時間0秒: 当然、滞在時間もほぼゼロ。

これらの特徴から、リファラースパムであると判断した。

3. 対応策

レポートにスパムが表示されないようにするための対策を2つ整理しておく。

対策A：データフィルタで完全に除外する

トラフィック自体をレポートから除外する方法。

1. [管理] 画面から対象プロパティを選び、 [データの収集と修正] > [データフィルタ] へ移動。

2. [フィルタを作成] をクリックし、以下のように設定する。

   • フィルタ名: リファラースパム除外 など分かりやすい名前を付ける。
   • フィルタオペレーション: 除外
   • パラメータ: traffic_source.source
   • フィルタ式: マッチタイプを「正規表現に一致」にして、見つけたスパムドメインを | で区切って入力。

   入力に使用する正規表現例:

   spam-domain\.com|another-spam-site\.xyz|free-buttons-for-your-website\.com
   

   ※上記はダミー。実際に見つけたドメインをここに入れる。

3. フィルタを [有効] にして保存。これで、これ以降のデータにはこのスパムは含まれなくなるはず

対策B：「除外する参照のリスト」で参照元レポートを綺麗にする

もう一つの方法として、「除外する参照のリスト」を使う方法もある。これはトラフィックを(direct)として扱うことで、参照元レポートをクリーンに保つのが目的。

1. [管理] > [データストリーム] > 対象のWebデータストリームを選択。
2. [タグ設定を行う] > [既知のボットトラフィックを除外する] を選択。
3. マッチタイプを「参照ドメインが次を含む」などに設定し、スパムドメインを追加する。

注意点:

• どちらの対策も、過去のデータには効かない。あくまで未来のデータに対するもの。
• 新しいスパムが出てきたら、このフィルタやリストを更新する必要がある。

4. 今後のための再発防止策

これは一度やれば終わり、というものではないと理解した。スパムは新しいドメインでまたやってくる。そこで、今後のために以下の運用ルールを考えてみた。

1. 定期的なレポート確認: 月に一度は参照元レポートをチェックし、不審なトラフィックがないか確認する。
2. フィルタ／リストの随時更新: 新しいスパムを見つけたら、その都度、対策AかBの方法で追加していく。
3. GA4のボット除外仕様の理解: 以前は手動でON/OFFできた「既知のボットトラフィックを除外する」設定は、現在のGA4では自動的に適用される仕様になっていることを確認。特にこちらで操作する必要はない。

まとめ

今回リファラースパムに遭遇したことで、アクセス解析のデータをクリーンに保つ重要性を再認識した。

「定期的に確認 → 発見したらフィルタに追加」
このシンプルなサイクルを回していくことが、データをきれいに保ついちばん確実な方法だと感じた。
きっとまた忘れた頃に同じような状況に出会うと思うので、そのとき迷わないように今回はその備忘録として残しておく。

採用拡大中！

アシストエンジニアリングでは一緒に働くフロントエンド、バックエンドのエンジニア仲間を大募集しています！

少しでも興味ある方は、カジュアル面談からでもぜひお気軽にお話ししましょう！

お問い合わせはこちらから↓

https://official.assisteng.co.jp/contact/

調査にあたり参考にしたサイト

• [GA4] 既知の bot トラフィックの除外 - アナリティクス ヘルプ
  • https://support.google.com/analytics/answer/9888366?hl=ja
• [GA4] 除外する参照を設定する - アナリティクス ヘルプ
  • https://support.google.com/analytics/answer/10327750?hl=ja
• 【リファラースパム対策】GA4のアクセス解析から除外設定する方法 - 株式会社Rescube
• Google Analyticsスパムをブロックする方法（決定版ガイド） - Kinsta
• リファラースパムに対して思うこと - Funfair Fanfare
• 【GA4】リファラースパムの除外設定で消耗してませんか？ - N-works
• リファラースパムとは？確認方法やGA4での除外設定を解説 - SEM-LABO
• 不自然なアクセスが急増中。リファラスパムについて - あさのゆきのぶ