前回の記事「GA4でLanzhou(海外都市)が急増したら読む記事」では、中国・蘭州(Lanzhou)からの大量アクセスを調査した結果、サーバーログには一切の形跡がない「幽霊のようなアクセス」であることを解説しました。
「サイトを訪問していないのに、なぜGA4に記録が残るのか?」
この不気味な現象の正体は、「ゴーストスパム(Ghost Spam)」と呼ばれる手法です。
今回は、ボットがサイトを訪れずにデータを送りつける仕組みと、なぜ特定のサイトが狙われるのか、その裏側を詳しく解説します。
ゴーストスパムとは?「訪問者」のいないアクセス
通常のアクセスや一般的なボット(クローラー)は、あなたのウェブサーバーに対して「このページを見せてください」というリクエストを送ります。
そのため、必ずサーバーログに足跡が残ります。
しかし、ゴーストスパムはあなたのウェブサーバーを一切経由しません。
彼らが直接通信を送るのは、あなたのサーバーではなく、Googleの計測サーバーです。
サイトの入り口を通り抜けず、いきなり「計測完了の報告」だけをGoogle Analyticsに放り込むため、サーバー側では検知しようがないのです。
仕組みの鍵は「Measurement Protocol」
なぜサーバーを通さずにGA4へデータを送れるのでしょうか。
その鍵は、Googleが公式に提供している「Measurement Protocol(メジャメント プロトコル)」という仕組みにあります。
参考:Measurement Protocol(Google アナリティクス 4)
本来、これは「レジの決済システム」や「オフラインの店舗イベント」などのデータをGA4に統合するための便利な機能です。しかし、スパム業者はこれを悪用します。
- 測定ID(G-XXXXXXXX)を特定する:
サイトのソースコードから簡単に抜き出せます。 - 偽のデータを生成する:
ランダムなクライアントIDや地域情報(Lanzhouなど)を捏造します。 - HTTPリクエストを送信する:
Googleのサーバーにある特定のエンドポイントに、直接データを送りつけます。
これにより、ブラウザでサイトを開くというプロセスを完全に省略して、GA4のレポート画面にだけ「Lanzhouからのアクセス1,000件」といった数字を表示させることができるのです。
なぜ彼らはそんなことをするのか?
「サイトに来ないなら実害はないのでは?」と思うかもしれません。
しかし、彼らには明確な目的があります。
- リファラースパムによる誘導:
参照元(Referrer)に自分たちの宣伝サイトのURLを仕込み、サイト管理者が「どこからのアクセスだろう?」とクリックするのを待っています。 - SEOの実験や妨害:
大量の低品質なデータを送りつけることで、競合サイトの分析を混乱させたり、Googleのアルゴリズムに対する何らかのテストを行ったりしている説があります。 - リストの有効性確認:
収集した測定IDが現在も有効かどうかを、一斉送信によって確認しています。
「実際のボット」と「ゴーストスパム」の見分け方
前回の記事で紹介した「サーバーログとの突合」が最強の判別法ですが、GA4の画面上だけでも以下の特徴があればゴーストスパムの疑いが極めて濃厚です。
| 特徴 | 実際のボット(クローラー) | ゴーストスパム |
| サーバーログ | 記録あり(IPが残る) | 記録なし |
| ホスト名 | あなたのドメイン | (not set) や 見知らぬドメイン |
| スクリーン解像度 | 多様または特定のサイズ | (not set) が多い |
| ページ構成 | 存在するURLへのアクセス | 存在しないURLが含まれることも |
特に、GA4の「集客」レポートなどで、ホスト名が自分のサイトのドメインになっていない場合は、100%ゴーストスパムです。
根本的な対策:GA4で「ノイズ」を遮断する
サーバーログに届かない以上、WAFやサーバー設定(.htaccessなど)でブロックすることは不可能です。
対策は「GA4の中でいかに除外するか」に集約されます。
「データフィルタ」を活用する
GA4の「管理」>「データの収集と修正」>「データフィルタ」から、特定の国や、明らかにおかしいホスト名からのアクセスを除外するフィルタを作成します。
「測定プロトコルのAPIシークレット」を設定する
Measurement Protocolを正当に利用している場合、Google Analyticsで「APIシークレット」を発行し、それが一致しない外部からの直接送信を拒否するように設定できます。
ただし、これは通常のサイト閲覧による計測(gtag.js)には影響しないため、ゴーストスパム対策としては限定的ですが、セキュリティ強度は上がります。
レポートでの「比較」と「セグメント」
既に記録されてしまったデータについては、レポート機能の「比較を追加」を使って「国がJapanと一致する」ものだけに絞り込むのが、最も実務的で手っ取り早い解決策です。
まとめ:正体を知れば怖くない
Lanzhouなどの海外都市から身に覚えのないアクセスが急増しても、サーバーログに形跡がなければ、それはあなたのサイトが攻撃されているのではなく、「GA4の計測用ポストにゴミを投げ込まれている」状態です。
実害は「データの汚れ」だけですので、慌ててサーバーの設定をいじり回す必要はありません。
冷静にGA4側でフィルタリングを行い、正しいデータ分析を取り戻しましょう。
