倉金家ホームページ趣味の部屋/ホームページ余話
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
この記事はその昔、トレンドマイクロが身元を隠すようなホスト名あるいはホスト名なしで多数のアクセスをしてきた頃のもので、現在ではすでにかなり状況は変わっております。 現在の状況はこのページの終わりの方に記されていますので、どうぞ最後までご覧ください。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
とにかく迷惑なアクセス ホームページを持っていて特にセキュリティーに気をつけてログをこまめにチェックしてる多くの方がご存じかとは思いますが、トレンドマイクロというところからとても迷惑なアクセスがあります。
ホスト名に".sjdc"、".iad1"といったありもしないトップレベルドメイン名を使ったり、あるいは逆引きできないIPアドレスを使ったりして、とにかく身元を隠そうとしているかのようなアクセスです。(…注記: ".sjdc"、".iad1" はあまりの非難の多さに ".trendmicro.com" に変更されたようです。後述。) それだけならまだいいのですが、ブラウザ内部で処理されて外部には出ないはずの、あるいは本来のアクセス下でのみブラウザとサーバー間でやりとりされるべきパラメータを持ってきたり、あるいは本来あるべきセッション情報がなかったりと、とにかくめちゃくちゃなアクセスをしてくるため多くのエラーログを残していきます。また通常のブラウザ名を名乗ってはいますが明らかに挙動がちがいます。 これはウィルスバスターとかいうセキュリティーソフトをインストールしているユーザがホームページにアクセスすると、そのホームページの安全性を確認するためと称してウィルスバスターとやらがアクセス情報をトレンドマイクロに送信し、それをもってアクセスしてくるということのようですが、時にはこのアクセスが本来のアクセスではないのにそのパラメータをもってきたり逆に必要なものがなかったりでゲームやチャットなどのユーザとのデータのやりとりを含むサイトで動作を狂わされるなどの深刻な被害を受けるケースもあるようです。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
(逆にパラメータをそのまま持ってくることを使ってページURLにアクセスカウンターを仕込むなどちょっとした細工をすることで、トレンドマイクロのアクセスからその人がウィルスバスターとやらを使っているということを確認することもできますが。)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
さらには多数のIPアドレスでアクセスしてきますので、アクセスログの件数を増やしてとても見にくくしてくれますし、無駄にアクセスカウンターを回してしまいます。特に私のページではトップページでフレームを作り、その中にメニューページと記事ページの合計3ページを表示していますので、各ページごとにアクセスされてアクセス数は3倍になっています。 またごく直近に同じページへの本アクセスがあった場合でもその都度同じページにアクセスしてきます。一回見たら結果をキャッシュしておいてある時間アクセスしなくても済むようにもできるだろうに、はっきり言って鬱陶しいことこの上ありません! | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
本当に必要なアクセスなのだろうか ログを見ているとトレンドマイクロからのアクセスの多くは、通常のアクセスのあったしばらくあとに同じページにtrendmicro.comまたは例のあやしい".sjdc"や".iad1"、あるいはホスト名なしでやってきます。しかも短時間のうちに幾度も同じようなパターンで同じページにアクセスしてくることがあります。
次のようなことを考えるに、本当に必要なのか、さらには本当に意味があるのかはなはだ疑問です。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
そしてこのアクセスが、世の中全体のためになるというならまだしも許せます。でも大多数の人は迷惑を受けるばかりで、利益を受けるのはトレンドマイクロのセキュリティーソフトを買った人のみ、実際にはさらにその中でもごくごく一部の人だけでしょう。世の中に不要な迷惑の種をまき散らしているだけとしか思えません。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
世のため人のため、健全なWEBの発展のために 全くもってこのようなアクセスを歓迎する気にはなれません。せめてそのようなアクセスであることを正しく名乗って不要に多くのアクセスをしてくれなければいいのですが。
まったくもって世の中のためになりません。 世のため人のため、また今後の健全なWEBの発展のためにはこうしたアクセスは拒否しなくてはならないでしょう。さっそくやりましょう。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
アクセスの判定方法(概要) ただアクセスを拒否するにしても、トレンドマイクロからのアクセスだからという理由でIPアドレスなどをもって拒否するのはちとおとなげないように思われます。
基本的には問題のある、あるいは信頼できないなどのアクセスを拒否するようにするのが本筋でしょう。ただトレンドマイクロのアクセスがもろにひっかかるのは目に見えてはいますが...。 で、まずどのようなアクセスを対象とするかを考えてみます。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
参考に、下の表は上記1、2の条件で36時間抽出した該当アクセスです。トレンドマイクロのアクセスということで抽出したわけではありませんが、予想通りほとんどすべてトレンドマイクロのアクセスになってしまっています。たった36時間でトレンドマイクロ46件、その他2件。
この間のアクセスカウントは103、内トレンドマイクロのアクセスカウントは30。 ただしアクセスカウントはIP+Agentごとに記録し、30分以内のアクセスは同一と見なしているので必ずしも上記のアクセス件数とは一致はしません。またウィルスバスターとかをインストールした人が一つの記事にアクセスするとフレーム定義のトップページ、メニューページ、記事ページの3ページにアクセスするのでトレンドマイクロからもこれら3ページにアクセスがきます。このことからおよそ十人に一人くらいがウィルスバスターを使っているものと推定されます。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
今回は来ていませんがトレンドマイクロのアクセスについて言えばその他に 150.70.64.194(150-70-64-194.trendmicro.com) 150.70.64.208(150-70-64-208.trendmicro.com) 150.70.64.214(150-70-64-214.trendmicro.com) 150.70.75.32(wtp-g3-maya6.sjdc) 150.70.75.33(wtp-g3-maya7.sjdc) 150.70.75.37(wtp-g3-maya11.sjdc) 150.70.75.38(150-70-75-38.trendmicro.com) 150.70.97.40(wtp-gs-maya5.sjdc) 150.70.97.41(wtp-gs-maya6.sjdc) 150.70.97.43(wtp-gs-maya8.sjdc) 150.70.97.88(150-70-97-88.trendmicro.com) 150.70.97.112(150-70-97-112.trendmicro.com) 150.70.97.113(150-70-97-113.trendmicro.com) 150.70.97.114(150-70-97-114.trendmicro.com) 150.70.97.118(150-70-97-118.trendmicro.com) 150.70.97.121(150-70-97-121.trendmicro.com) 150.70.97.123(150-70-97-123.trendmicro.com) 150.70.97.125(150-70-97-125.trendmicro.com) 150.70.97.127(150-70-97-127.trendmicro.com) 150.70.172.110(iad1-wtp-gd-maya10.sdi.trendnet.org) 150.70.172.101(wtp-gd-maya1.iad1) 150.70.172.106(iad1-wtp-gd-maya6.sdi.trendnet.org) 150.70.172.107(iad1-wtp-gd-maya7.sdi.trendnet.org) 150.70.172.125(150-70-172-125.trendmicro.com) 150.70.172.205(wtp-g8-maya6.iad1) 150.70.172.209(150-70-172-209.trendmicro.com) 150.70.172.237(wtp-g9-maya6.iad1) 150.70.172.238(wtp-g9-maya7.iad1) 150.70.173.42(150-70-173-42.trendmicro.com) 150.70.173.43(150-70-173-43.trendmicro.com) 150.70.173.44(150-70-173-44.trendmicro.com) 150.70.173.46(150-70-173-46.trendmicro.com) 150.70.173.47(150-70-173-47.trendmicro.com) 150.70.173.48(150-70-173-49.trendmicro.com) 150.70.173.50(150-70-173-50.trendmicro.com) 150.70.173.52(150-70-173-52.trendmicro.com) 150.70.173.54(150-70-173-54.trendmicro.com) 150.70.173.55(150-70-173-55.trendmicro.com) 150.70.196.105(-) 150.70.196.173(-) 150.70.196.176(-) 150.70.196.177(-) などなど、これはほんの一例ですが、とにかく多数のアドレスからアクセスしてきますので、むやみにログの件数が増えたいへん迷惑しています。(いちおう訪問者のアクセスをIPごとにすべてログに記録してるんだわ。) ちなみに 150.70.0.0/16(150.70.0.0 - 150.70.255.255) と 60.32.133.240/28(60.32.133.240 - 60.32.133.255) はすべてトレンドマイクロ所有のIPアドレスです。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
参考に、ページリクエスト、cookie、refererであやしいアクセスがわかる訳は、ごく簡単に言うと、
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ということになるわけ。ただブラウザによってはrefererを返さななかったりcookieを無効にしている人もまれにいるかもしれないので、cookieもrefererも両方おかしい場合のみあやしいと判断している。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
最初リダイレクトですべてこのページに飛ばしてやろうかとも思いましたが、その後しばらくログをとっているうちトレンドマイクロのほかにもさらにあやしい該当アクセスが思いのほかあることがわかり、ばっさり拒否することにしました。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
その結果は? 上記のアクセス拒否を施して一週間たちましたが、トレンドマイクロからのアクセスは本アクセスとセットで従来通り続いています。ということは、特にあやしいサイトとして判定されているということはなさそうです。
(2013.5.2 追記) アクセス拒否の実施から1ヶ月経ちましたが、トレンドマイクロからのアクセスは以前と全く同じパターンで続いています。思うにトレンドマイクロのロボットはあまり頭がよくないようです。 おそらくただ単に送られたデータから該当ページをクロールしてその中にある設定されたパターンが検出されれば判定のためのデータを出力するというぐらいのもので、拒否されて問題が検出されなければそれきりといった程度のものはないでしょうか。 さらにトレンドマイクロ以外にもホスト名の正引きができないことによる拒否が思いのほかたくさんありました。いずれもあやしい情報収集ロボットやスパムボットのようです。 "hn.kd.ny.adsl"などといったこれもありえないドメインを始め、ネットで調べてみると今までこんなあやしいやつにアクセスされていたのかと思うと腹がたつようなものばかり。一見それらしいホスト名が通知され通常ブラウザを名乗っているのも多く、うっかりすると全く気がつきません。 そもそも偽りのホスト名を名乗るなどはまともでないことをやっていると言ってるようなもので、正引きできないホストを蹴るというのは正解のようです。 拒否したアクセスをログに記録するのもやめてみるとログがずいぶんすっきりしました。ホスト名なしとちゃんとしたホスト名".trendmicro.com"などからのトップページへのアクセスは拒否されせんのでログに記録されますがもうさほど目障りでもありませんし、通常ブラウザを名乗っているためjavascriptを使った単なるフレームの定義ページが提示されるだけで、どうせ記事内容は読めてはいません。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
何か問題があるか このトレンドマイクロからのアクセスを拒否すると「あやしいサイト」としてセキュリティーソフトの利用者に通知されるという噂の可能性は全く否定はできませんが、ずいぶん期間がたってからではそもそもセキュリティー上間に合わずソフトの実効性が疑われる話だし、もう特に問題はないと判断してもいいでしょう。問題のある、あるいは信頼できないアクセスに対しちゃんと理由を言って403アクセス拒否を返してやる分には問題なさそうです。
もしこのようなアクセスを拒否されたぐらいで「あやしいサイト」と判断してしまうようなら、それは全くまともなセキュリティー会社のやることではありません。...でもドメインを偽るなどあくどいことを平気でやるところですから、今後どうなるかはわかりませんが...。 ついでにいろいろ検索してみるとトレンドマイクロのアクセスを拒否したというサイトがいくつかあったので、それらのサイトのURLをかたっぱしからトレンドマイクロの「トレンドマイクロによるWebサイトの安全性の評価」確認フォームに打ち込んで調べてみましたが、問題ありと判定されているところは一つもありませんでした。 一方まともなアクセスを蹴ってしまったという形跡は全くありませんし、何ら問題はなさそうです。 (2013年5月3日 追記) 1ヶ月の間に一度だけ正引きできないがまともなアクセスと思われるものがありました。設定のちゃんとできていない中小企業からのアクセスのようでした。 あやしいbotなどは幾度も継続的にアクセスしてくるのでそれらは登録して拒否、それ以外はひとまずログに記録のみしてしばらく様子を見て拒否登録するか否か決めることに変更しました。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
最後に もしトレンドマイクロから「あやしいサイト」とされてそのためこのサイトへのアクセスが減ったとしても私はかまいません。多少わが身を犠牲にしても世の中全体のためにこのようなアクセスを放っておくわけにはいかないのです。
しかしたった一人のアピールでは効果はないかもしれません。多くの皆さんが同様のアピールをしてくださるよう希望してやみません。 ただ単に迷惑だ迷惑だなどと言っておらずに行動を起こしましょう! | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
トレンドマイクロさんもこの記事を読んだ! (2013年7月1日 追記)それで最近気がついたのですが、トレンドマイクロさんもけっこうこの記事を読んでいるのですね。これはロボットのアクセスではありません。またこのアクセスは身元隠しのつもりか逆引きが設定されていませんので、それなりに調べないと気がつきません! ←直近のトレンドマイクロさんのページ閲覧を抽出したアクセスログです。 リンク元として http://aletheia.sblo.jp/article/69949964.html さんから来たりもしていますが、そちらにも同様のことが書かれていますし、さらに深い考察もなされていますので是非ご参考に。 …これらの記事を読んでトレンドマイクロさんが考え直してくれるといいんですけどね! | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ついにtrendmicro.com様に見放されたか (2014年3月8日 追記) ふと、ここしばらく.trndmicro.com様からアクセスが来ないなあと思い調べてみると、2月16日の(拒否も含め)74件のアクセスを最後にあれほどあった私のこのサイトへの.trendmicro.com様からのアクセスは全くなくなっていました。
. . . こんなこと書いたからついに嫌われてしまったのか、あるいは暇なオヤジの遊びには付き合ってられんと愛想をつかされたか? . . . だからもうこれ以上何も書けません。 ひとまずこの記事はこれでおわりとします。 ずいぶん長らくホームページ遊びにつきあってもらったし、さらにこの記事には検索サイトからとても多くの方々に来ていただき、おかげさまでGoogleやYahooなどの検索サイトでのこのサイトのランクがぐぐぐんと上がったようです。 その点ではトレンドマイクロさんにお礼を申さねばならないでしょう。 トレンドマイクロさんありがとう。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
...と、ひとまずおわりとなったのですが、
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
trendmicro.comからのアクセスはなくなった? (2018年6月17日 追記)6月に入ってtrendmicro.comからのアクセスはなくなっています。
ただ同じUSER AGENTで同じようなアクセスはamazonzws.comからきています。 → 迷惑なアクセス(その2) amazonaws.comの正体(...この件に関してはそのページの最後のほうに記載) もしかすると移行しただけなのかもしれませんが、やはり詳細は不明です。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||