新手のRefererスパムか？

最近、"単語+multicategory"という検索キーワードがやけに多いなと思っていてログを調べていたら、おそらくこれが新手のReferer spamであることが分かりました。試しにこのパターンのアクセスだけが引っかかるログを取ってみると、１日で2000PVくらいのアクセスがあります。ログに残ったアクセスのHTTPヘッダはこんな感じ。

GET /archive/1/2008-4-28 HTTP/1.1
Host: blog.cles.jp
Accept: image/jpeg, application/x-ms-application, image/gif, application/xaml+xml, image/pjpeg, application/x-ms-xbap, application/x-shockwave-flash, application/vnd.ms-xpsdocument, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Referer: http://search.yahoo.co.jp/search?p=%E3%83%80%E3%82%A4%E3%82%A8%E3%83%83%E3%83%88%20multicategory&search.x=1&fr=top_ga1_sa&tid=top_ga1_sa&ei=UTF-8&aq=&oq=
Accept-Language: ja-JP
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; MediaCenter PC 6.0; Media Center PC 5.0; SLCC1; InfoPath.2)
Connection: close
Cookie: B=1eh04195vvfbh&b=3&s=a4

このアクセス群の気になる点は下記のような感じ。

・RefererがspamサイトではなくYahooの検索結果であり、組み合わされる単語は固定されていない
・ウチのサイトからは送信していないCookieが送りつけられていること（値はランダムのようなので、クライアント側の何らかのIDの模様）
・User-Agentが全部のアクセスで上記固定
・IPアドレスは固定されていない（確認しているだけで約250IPに分散）
・当該のIPアドレスはほどんど逆引き(PTRレコード)が設定されていない（SOAレコードが一緒なので同一業者のホスティングかも。）
・当該のIPアドレスはApacheが起動していることが多く、アクセスすると403 Forbiddenページが下記のようなシグニチャと共に現れる

Apache/2.2.16 (Unix) mod_ssl/2.2.16 OpenSSL/0.9.8e-fips-rhel5 mod_bwlimited/1.4 Server at XXX.XXX.XXX.XXX Port 80 Apache/2.2.15 (Unix) mod_ssl/2.2.15 OpenSSL/0.9.8e-fips-rhel5 mod_bwlimited/1.4 Server at XXX.XXX.XXX.XXX Port 80

もしかしたら同一構成のマシンが何らかの方法で乗っ取られているのかもしれません。ひとまず特に実害はないのですが、昨日からRefererのパターンをhttpd.confに登録しエラーを返すようにしておいたところ、今日の夕方から不審なアクセスはひとまず収まったようです。引き続きこのような現象に注視していきたいと思います。