無用なパラメータは Google Analytics で必ず除外すること。

Google Analytics は、ページやリファラなどは URL ベースで集計を行います。URL が一文字でも違うと、別のページとしてカウントされていきます。

• デフォルトのページ（インデックスファイル）設定の不備
  「/」と「/index.html」が別々に集計されてしまいます。/ で呼び出されるインデックスページがある場合は、必ず設定しましょう
• 除外する URL クエリパラメータ設定の不備
  「/?a=1」と「/?a=2」が別々に集計されてしまいます。”パラメータが付いても同じ出力である”ならば、無視するパラメータ名を設定しましょう。

Google Analtyicsデフォルトページと除外クエリ設定

普通は上記を設定しておけば問題ありません。と、ここまでは誰でもご存知でしょう。
ただ、これだけですと、想像外のことをしてこられた場合に、問題が発生します。

たまに、ページ別集計のリスト（行動＞サイトコンテンツ＞すぺてのページなど）に、妙な異様に長い URL が記録されていたりしませんか？
その中には『アーカイブサイトからの参照』や、ものによっては『サーバに保存されている情報を不正に取得しようとしたりした結果』だったするものもあります。
しかし、これらは、極論を言えば、アクセス解析担当者には、Google Analytics に記録されていてもそれほど気にする必要はないでしょう。異常データとして集計から除外する程度で話は済みます。

実は他に、アクセス解析担当者、マーケティング担当者など、Google Analytics を閲覧する方を狙い撃ちにした攻撃があります。
それは、『Google Analytics に悪意のある URL を記録するためのアクセス』です。
Google Analytics に潜む思わぬリスク「リファラースパム」というコラムで説明したのと同じような考え方です。

URL がリクエストされる（ブラウザの URL 欄に入力される）と、その URL に対してサーバサイドで禁則処理等を適切に対処していなければ、当然ブラウザやサーバは命令の通りに動作します。
そして、クエリパラメータは、サーバに対して何かしらの動作を要求する部分であるため、パラメータ処理に隙があると、最悪の事態を招きます。例えば、URL のパラメータに、攻撃者が悪意のあるファイルを読み込むような命令を仕込んだとします。
そうすると、その悪意のあるパラメータ付き URL は、ひっそりと、Google Analytics に記録されます。最後にあなたが、その URL を見て、何気なくクリックしたら終わりです。URL に付随したパラメータが動作し、問題のあるファイルを読み込み、あなたのデバイス、あなたのネットワークに脅威を与えるでしょう。

詳しくは解説しませんが、これはリモートファイルインクルージョンという攻撃で、様々な条件が揃わないと成立しない攻撃なのですが、動的 CMS を無防備に使用していると、ハマることがあります。

案外、サーバ運用担当者も気づかない（管理業務範囲外である） Webアプリケーションの落とし穴だったりしますので、攻撃成立可能な状況が揃ってしまい、結果、システムが専門ではないマーケターが知らずのうちにトリガを引いてしまうことがたまにあります。

想定外のパラメータは、「除外する URL クエリパラメータ」には列挙することはできませんので、ビューのフィルタ（カスタム）で、正規表現を用いて使用しないクエリは除外しておきましょう。