2026年1月,GA4で中国・蘭州市(都市ID: 1003629)からの不自然なDirectトラフィックが急増.通常表示されないURLを読み込む悪質なスパムと判明しました.調査時のAI検索の誤情報に注意を促しつつ,正確なデータ分析を維持するために,言語や国を条件としたフィルタリングによる具体的な除外対策を解説します.
目次
1.はじめに
本サイトの2026年1月のGA4(Google Analytics 4)のアクセスデータを見ていると,トラフィックでセッションのメインチャネル(デフォルトチャネルグループ)の「Direct」が不自然に急増している日がありました(図1参照).
図1.トラフィックでセッションのメインチャネルの「Direct」が不自然に急増.
当初は本サイトでも何度か紹介した「urlumbrella.com」に関連するリファラスパム(下記の記事参照)かと思ったのですが,それらとは異なる特徴を持つ新たなスパムトラフィックであることが分かりました.
Google Analytics 4でリファラスパムを計測したので対策の設定を行ってみる
2.異常トラフィックの属性データ
このトラフィックに関係するGA4のデフォルトのディメンションのいくつかの情報を確認したところ,以下のような情報を持つことがわかりました.
- セッションのメインのチャネルグループ:Direct
- セッションの参照元/メディア:(direct) / (none)
- ユーザーの最初のメインのチャネルグループ:Direct
- 言語:English
- OSとバージョン:Windows 10
- 国:China
- 地域:Gansu
- 市区町村:Lanzhou
地域の「Gansu」とは中国の「甘粛省(かんしゅくしょう)」のことで,市区町村の「Lanzhou」は蘭州市(らんしゅう-し)で中華人民共和国甘粛省の省都のことです.
図2.蘭州市.
2.都市ID「1003629」を巡る検証
GA4には,「市区町村」と対応する「都市ID」なるものがあります.計測した上記のアクセスは都市IDが「1003629」からのもので,このIDが「Lanzhou」に対応することは,GA4の探索レポートやGA4と接続したLooker Studioなどでテーブルを作るなどして確かめられると思います.
ですが今回は,この都市ID「1003629」がどの都市を指すのかを,Googleで「GA4 都市ID 1003629」と通常検索して調べてみました.するとまともな検索結果が得られませんでした(図3参照).
図3.Googleでの「GA4 都市ID 1003629」検索結果.
それならとAIモードに切り替えると,「GA4 都市ID 1003629」に関して以下のような返答をしました(図4参照).
GA4(Googleアナリティクス4)やGoogle広告のジオターゲット(地域設定)で使用されるID「1003629」は、 日本の静岡県(Shizuoka)を指します。 Googleが提供する「地理的なターゲットのCSVデータ(Geotargets)」において、以下の通り定義されています。 Criteria ID: 1003629 Name: Shizuoka Type: Prefecture(都道府県) Country Code: JP(日本) GA4の「都市」ディメンションではなく、「地域(Region)」ディメンションでこのIDが該当する場所を示しています。
図4.GoogleのAIモードでの「GA4 都市ID 1003629」の返答.
明らかに違った返答をしています.
しかたないので,Geminiに「GA4の都市IDが「1003629」の都市はどこですか?」と聞いたところ,以下のようなちゃんとした情報が得られました(図5参照).
項目,内容 都市名,蘭州市(Lanzhou) 正式名称(Canonical Name),"Lanzhou,Gansu,China" 国コード,CN(中国) ターゲットタイプ,City(都市) 親地域のID,20190(甘粛省 / Gansu)
図5.Geminiの返答.
3.計測データの異常性と悪質性
上記の「国:China」&「市区町村:Lanzhou(都市ID:1003629)」のアクセスが,正当なアクセスならいいのですが,データを見る限りそうではないことがわかりました.
該当するセッションで閲覧されたページやランディングページの多くが明らかに,通常では表示されることがあり得ないページ(URL)なのです.普通にちゃんとした記事ページを表示したとされるセッションもありますが,通常では表示されないページ(例えば図6のようなサイトの構造から直接URLを打てば表示できる画像だけを表示した状態になるページなど)が数多く表示されていました.そしてこれらのページの表示回数は,たいてい1~2回と計測されているのです.
図6.通常のアクセスでは表示されることがないページの例.
このようなページビューが大量に計測されるので,このアクセスによって「ページとスクリーン」と「ランディングページ」の表示回数も跳ね上がってしまいます(図7と図8参照).
図7.該当するGA4のページとスクリーンのレポート.
図8.該当するGA4のランディングページのレポート.
何かしらの自動ツールを使ったアクセス(攻撃)だと考えられますが,目的は不明です.いずれにせよ,計測データを無価値にするような悪質な行為です.
4.検討される対策案
同様なアクセスが他でも計測されているのか気になりましたが,もしあるならば上記のアクセスに対する現時点での解決策は,計測されたデータに対してフィルタを使って該当アクセスを除外するしかないと思います.
以下のような条件を組み合わせたフィルタの適用が現実的だと思われます.
- 特定条件による除外:
「言語:English + 国:China + 市区町村:Lanzhou」の組み合わせをつかったフィルタで除外する.中国からの英語環境によるアクセスは,日本向けサイトでは通常考えにくいため,この組み合わせを使ったフィルタは有効だと考えます.
- 言語によるフィルタリング:
サイトが日本語のみの場合,言語設定を「Japanese」のみに絞るフィルタが最も手軽だと考えます.ただし,翻訳ツール経由の正当な海外ユーザーを排除するリスクがあります.
- 国・都市単位の除外:
「市区町村:Lanzhou(都市ID:1003629)」に該当するアクセスを除外するフィルタが使えます.ですが,攻撃元が場所を変えてくる可能性を考慮し,今後も続くようであれば「国:China」を丸ごと除外するのが運用面で最も効率的かとも考えます.
