怪しいVPNコメントを調べてみたら――人間の「違和感」とAIで見抜くコメントスパム

スパムコメントと偽サイトを見抜け! セキュリティ
スパムコメントと偽サイトを見抜け!

論文紹介ブログにコメントが付きました。
一見すると読者からの質問のようにも見えますが、よく調べてみると、その実態は「危険なVPNサイトへ誘導する可能性のあるコメントスパム」でした。

今回は、どのような観点で「怪しい」と判断したのか、そして人間とAIをどう組み合わせて調査したのかを解説します。

まず「違和感」があった

今回のコメントはロシア語で書かれていました。

危険サイト、新しい登録
危険サイト、新しい登録、そして同じ構造のサイトが1200も!

コメント内容をGoogle翻訳すると、

「この無料VPNブラウザ拡張は信頼できますか?」

という、セキュリティ相談のようにも見える文章でした。

しかし、日本語で活動しているNPOのブログに、突然ロシア語でVPNについて質問が投稿されるでしょうか。しかもリンク付きです。

もちろん、本当に困っている人が海外サイトに相談を書き込む可能性はゼロではありません。しかし、ロシア語圏にはロシア語で相談できるセキュリティコミュニティも数多く存在します。

この時点で、

  • 文脈に合わない
  • 言語が不自然
  • リンクが埋め込まれている

という点から、「質問を装った誘導型スパムではないか」という仮説が立ちました。

VirusTotalでリンク先を調査

最初に調べたのは、マルウェア・危険サイト調査で広く利用されている VirusTotal です。

調査したURLについて、複数のセキュリティベンダーが以下のような判定を出していました。

  • SecLookup:Malicious(危険)
  • alphaMountain.ai:Suspicious(疑わしい)
  • Fortinet:Spam(スパム)

VirusTotalでは、「検出されていない=安全」という意味ではありません。
多くの場合は「まだ十分な情報がない」「未評価」であり、新しく作られたサイトほど判定が追いついていないことがあります。

また、VirusTotalが使用している複数のツールのベンダーは、Virustotalが厳選したセキュリティベンダーです。その1つでも「怪しい」という判定をしていたら、疑ってかかるべきでしょう。

“一部でも危険判定が出ている”

という事実は重要なシグナルになります。

Whois情報を確認してみる

次に、ドメインの登録情報を確認しました。利用したのは Domain Dossier です。

調査結果では、このドメインは作成されたばかりでした。

  • 作成日:2026年4月21日
  • 状態:UNVERIFIED
  • 登録者:Private Person

新規取得されたばかりの匿名性の高いドメインは、フィッシングやスパムサイトでもよく見られる特徴です。

もちろん、「新しいサイト=危険」ではありません。
しかし、

  • 新規ドメイン
  • VPN配布
  • スパム投稿
  • 一部セキュリティ判定あり

という要素が重なると、リスク評価は高くなります。

IPアドレスも確認

投稿元IPアドレスも調査しました。利用したのは NordVPN IP Lookup です。

結果として、投稿元はオランダのIPアドレスでした。

ただし、VPN利用者がVPN経由で投稿している可能性も高いため、「投稿者が本当にオランダ在住」とは限りません。

しかし、

  • ロシア語コメント
  • オランダIP
  • VPN配布サイト

という組み合わせは、一般的な日本語ブログ読者としてはかなり不自然です。

urlscan.ioでサイト構造を分析

次に、urlscan.io を利用してサイト構造を分析しました。

このツールでは、

  • 通信先
  • 読み込まれるJavaScript
  • スクリーンショット
  • 類似サイト

などを確認できます。

特に注目したのは、「Similar Sites(類似サイト)」機能です。

結果として、このサイトと非常によく似た構造・概観を持つサイトが1200件以上存在していました。

1230 structurally similar hits on different domains, IPs and ASNs

これは、

  • 同じテンプレート
  • 同じフィッシングキット
  • 同じ配布基盤

が使われている可能性を示唆します。

実際、類似サイトをurlscan.io上で確認すると、言語だけが異なる同デザインのサイトが複数存在していました。

同じ構造概観
同じ構造概観

AIに「追加調査」をさせてみた

ここまでの段階でも、かなり怪しい状況でした。

しかし、

「もし本当に善意の質問だったら?」

という迷いが残る人もいると思います。

そこで、生成AIに追加調査を依頼しました。

AIに、

  • VirusTotal結果
  • Whois情報
  • urlscan.io結果
  • コメント内容

をまとめて渡したところ、AIはさらに横断検索を実施し、

「同じロシア語VPNコメントが、複数の無関係なブログやフォーラムにも投稿されている」

ことを確認しました。

つまり、このコメントは個別の相談ではなく、

“大量投下型の誘導スパム”

である可能性が極めて高いということです。

もちろんChatGPTやGeminiなどと直接チャットしてスクショなどを投げて調べさせるのも良いのですが、カスタマイズしたGPTを使うこともできます。👉🏻サイトを自分で調べた結果を判定してもらうGPT

AIが役立ったのは「大量確認」と「横断検索」

興味深かったのは、AIに

「私が自力で調べた情報は、全体の何割くらい重要だったか」

を聞いたことです。

すると、

  • 情報量ベース:約70〜80%
  • 判定への重要度ベース:約80〜90%

が、人間側の調査だったという回答でした。

つまり今回のケースでは、

人間が担った部分

  • 「違和感」を持つ
  • 文脈不一致を見抜く
  • スパムらしさを推測する
  • 必要な調査を始める

AIが担った部分

  • 類似投稿の横断検索
  • 大量データ確認
  • パターン比較
  • 情報整理とリスク評価

という役割分担になっていました。

AI時代のセキュリティ判断に必要なもの

AIは大量調査やパターン比較に非常に強力です。
しかし、

  • 「日本語ブログに突然ロシア語コメント?」
  • 「なぜVPNリンク?」
  • 「質問を装っていないか?」

といった“現場の違和感”は、人間だからこそ気づける部分でもあります。

セキュリティの現場では、

「おかしい」

と思える感覚が、最初の防御線になります。

その上で、人間が集めた情報をAIで補強し、最終判断につなげる――。

これからの時代は、そうした「人間+AI」の組み合わせが、実用的なセキュリティ対策になっていくのかもしれません。

コメント

タイトルとURLをコピーしました