manekineko倉金家ホームページ

趣味の部屋/ホームページ余話

トレンドマイクロなどの迷惑アクセスを蹴る!

2013年3月25日 検討開始 2013年4月1日 公開 2014年3月8日 最終更新 2018年6月17日 追記
 トレンドマイクロ(Trendmicro)というところからセキュリティー調査のためと称してページに頻繁な迷惑アクセスがあります。しかもページの表示制御に使用しているページパラメータをいきなり単独に持ってきたり、いろんなIPやホスト名で同じページに幾度もアクセスしたりで大変迷惑しています。このようなアクセスは拒否することにしました。
 トレンドマイクロのアクセスを拒否するとあやしいサイトとして警告されるなどの噂もありましたが特に問題もありませんし、さらには今まで気が付かなかった同様のあやしいアクセスも検出できるようになりました。

この記事はその昔、トレンドマイクロが身元を隠すようなホスト名あるいはホスト名なしで多数のアクセスをしてきた頃のもので、現在ではすでにかなり状況は変わっております。
現在の状況はこのページの終わりの方に記されていますので、どうぞ最後までご覧ください。

とにかく迷惑なアクセス
 ホームページを持っていて特にセキュリティーに気をつけてログをこまめにチェックしてる多くの方がご存じかとは思いますが、トレンドマイクロというところからとても迷惑なアクセスがあります。
ホスト名に".sjdc"、".iad1"といったありもしないトップレベルドメイン名を使ったり、あるいは逆引きできないIPアドレスを使ったりして、とにかく身元を隠そうとしているかのようなアクセスです。(…注記: ".sjdc"、".iad1" はあまりの非難の多さに ".trendmicro.com" に変更されたようです。後述。)
 それだけならまだいいのですが、ブラウザ内部で処理されて外部には出ないはずの、あるいは本来のアクセス下でのみブラウザとサーバー間でやりとりされるべきパラメータを持ってきたり、あるいは本来あるべきセッション情報がなかったりと、とにかくめちゃくちゃなアクセスをしてくるため多くのエラーログを残していきます。また通常のブラウザ名を名乗ってはいますが明らかに挙動がちがいます。
 これはウィルスバスターとかいうセキュリティーソフトをインストールしているユーザがホームページにアクセスすると、そのホームページの安全性を確認するためと称してウィルスバスターとやらがアクセス情報をトレンドマイクロに送信し、それをもってアクセスしてくるということのようですが、時にはこのアクセスが本来のアクセスではないのにそのパラメータをもってきたり逆に必要なものがなかったりでゲームやチャットなどのユーザとのデータのやりとりを含むサイトで動作を狂わされるなどの深刻な被害を受けるケースもあるようです。
(逆にパラメータをそのまま持ってくることを使ってページURLにアクセスカウンターを仕込むなどちょっとした細工をすることで、トレンドマイクロのアクセスからその人がウィルスバスターとやらを使っているということを確認することもできますが。)
 ついでに余計な心配をすれば、ウィルスバスターとやらから送られたデータが漏洩したり悪用されることのないようにと祈るのみです。

 さらには多数のIPアドレスでアクセスしてきますので、アクセスログの件数を増やしてとても見にくくしてくれますし、無駄にアクセスカウンターを回してしまいます。特に私のページではトップページでフレームを作り、その中にメニューページと記事ページの合計3ページを表示していますので、各ページごとにアクセスされてアクセス数は3倍になっています。
またごく直近に同じページへの本アクセスがあった場合でもその都度同じページにアクセスしてきます。一回見たら結果をキャッシュしておいてある時間アクセスしなくても済むようにもできるだろうに、はっきり言って鬱陶しいことこの上ありません!

本当に必要なアクセスなのだろうか
 ログを見ているとトレンドマイクロからのアクセスの多くは、通常のアクセスのあったしばらくあとに同じページにtrendmicro.comまたは例のあやしい".sjdc"や".iad1"、あるいはホスト名なしでやってきます。しかも短時間のうちに幾度も同じようなパターンで同じページにアクセスしてくることがあります。
次のようなことを考えるに、本当に必要なのか、さらには本当に意味があるのかはなはだ疑問です。
1.トレンドマイクロのセキュリティーソフトをインストールしているらしいユーザのアクセスのあと(概ね数分後)にページにアクセスしている。
 そのときはもうユーザはそのページにアクセスしてしまっている。
2.仮にアクセス先があやしいサイトであったとしても、迷惑ということでこれだけ知れ渡ってしまっているトレンドマイクロからのアクセスを騙す対策を講じるのは容易なのではないだろうか。
3.他のセキュリティーソフトでこのような行動を行うものは知らない。他のソフトは実際にダウンロードしたデータで判定しているのだろう。
 そのほうが確実にセキュリティーの保護になると思われる。
 そしてこのアクセスが、世の中全体のためになるというならまだしも許せます。でも大多数の人は迷惑を受けるばかりで、利益を受けるのはトレンドマイクロのセキュリティーソフトを買った人のみ、実際にはさらにその中でもごくごく一部の人だけでしょう。世の中に不要な迷惑の種をまき散らしているだけとしか思えません。

世のため人のため、健全なWEBの発展のために
 全くもってこのようなアクセスを歓迎する気にはなれません。せめてそのようなアクセスであることを正しく名乗って不要に多くのアクセスをしてくれなければいいのですが。
まったくもって世の中のためになりません。
 世のため人のため、また今後の健全なWEBの発展のためにはこうしたアクセスは拒否しなくてはならないでしょう。さっそくやりましょう。

アクセスの判定方法(概要)
 ただアクセスを拒否するにしても、トレンドマイクロからのアクセスだからという理由でIPアドレスなどをもって拒否するのはちとおとなげないように思われます。
 基本的には問題のある、あるいは信頼できないなどのアクセスを拒否するようにするのが本筋でしょう。ただトレンドマイクロのアクセスがもろにひっかかるのは目に見えてはいますが...。
で、まずどのようなアクセスを対象とするかを考えてみます。
1.自分のページのRefererがない(すなわち初回アクセスのはず)にもかかわらずいったんアクセスしなければ与えられないはずのリクエストパラメータなどを持ってくる。
 スパムあるいはアタックアクセスと判断されても仕方ない。
2.本当に通常のブラウザならばリクエストパラメータと一緒にCookieも持ってくるはずのところでCookieをもってこない。
 これは通常のブラウザを騙っている可能性が高い。
3.アクセスの正引きができない。これは考えられない非常識。嘘の住所を言うのと同じ。
 このアクセスを信用しろと言うほうがおかしい。
 以上を考慮し、まずは1、2のブラウザ(User Agent)、Referer、リクエストパラメータ、cookie等をもとに通常とは思われないアクセスを抽出するスクリプトを書いて専用のログに記録するようにしてみました。

 結果、約36時間ログを記録してみましたがほとんどすべてトレンドマイクロからのアクセスでした。
1件だけトレンドマイクロ以外からのアクセスが抽出されましたが、これも同様のセキュリティー会社 Blue Coat Systems というところからのアクセスで、時折この近隣のIP("103.246.36.213", "103.246.38.196", "103.246.39.212", "103.246.39.213" など)からアクセスしてきます。企業向けにトレンドマイクロと似たようなセキュリティーサービスをやっているところのようで、こちらは本アクセスとほとんど同時にアクセスしてきます。本アクセスは sony.co.jp(ソニー)、canon.co.jp(キャノン)、isid.co.jp(電通国際情報サービス)、ctc-g.co.jp(伊藤忠テクノ)といったそうそうたる超大手の企業からですが、この Blue Coat Systems のアクセスもやはり身元を隠すようにホスト名が設定されていないのでとても目につきます。(嘘のホスト名を設定するよりはだいぶましだけど。)

 一方、まともなアクセスを迷惑アクセスと誤判定したと思われるものはありませんでした。アクセスの判断基準はどうやら上記のものでよさそうです。
ただちゃんとしたトップページへの初回アクセスは判定OKとなりますが、このトップページは単にフレームを定義しCookieやページリクエストパラメータ等を設定しているだけのページで実質内容はないし、ログに記録されてまた来たなというくらいの参考情報にもなるのでよしとしましょう。(これはフレームを使うメリットだな。)

 参考に、下の表は上記1、2の条件で36時間抽出した該当アクセスです。トレンドマイクロのアクセスということで抽出したわけではありませんが、予想通りほとんどすべてトレンドマイクロのアクセスになってしまっています。たった36時間でトレンドマイクロ46件、その他2件。
 この間のアクセスカウントは103、内トレンドマイクロのアクセスカウントは30。
ただしアクセスカウントはIP+Agentごとに記録し、30分以内のアクセスは同一と見なしているので必ずしも上記のアクセス件数とは一致はしません。またウィルスバスターとかをインストールした人が一つの記事にアクセスするとフレーム定義のトップページ、メニューページ、記事ページの3ページにアクセスするのでトレンドマイクロからもこれら3ページにアクセスがきます。このことからおよそ十人に一人くらいがウィルスバスターを使っているものと推定されます。
あやしいアクセスを集計。2013年3月24日6:00〜3月25日18:00、36時間
IPHOSTAGENT回数
150.70.64.213150-70-64-213.trendmicro.comMozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)1
150.70.75.161wtp-g4-maya7.sjdcMozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)3
150.70.75.164wtp-g4-maya10.sjdcMozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)7
150.70.97.114150-70-97-114.trendmicro.comMozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)2
150.70.97.115150-70-97-115.trendmicro.comMozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)1
150.70.97.116150-70-97-116.trendmicro.comMozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)1
150.70.97.117150-70-97-117.trendmicro.comMozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)2
150.70.97.119150-70-97-119.trendmicro.comMozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)2
150.70.97.120150-70-97-120.trendmicro.comMozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)1
150.70.97.122150-70-97-122.trendmicro.comMozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)2
150.70.97.124150-70-97-124.trendmicro.comMozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)4
150.70.97.126150-70-97-126.trendmicro.comMozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)4
150.70.172.204wtp-g8-maya5.iad1Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)1
150.70.172.235wtp-g9-maya4.iad1Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)7
150.70.172.236wtp-g9-maya5.iad1Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)2
150.70.196.114- Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)5
150.70.197.215- Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)1
(上記以外)   
103.246.38.196- Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322; MS-RTC LM 8; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)2
今回は来ていませんがトレンドマイクロのアクセスについて言えばその他に
150.70.64.194(150-70-64-194.trendmicro.com)
150.70.64.208(150-70-64-208.trendmicro.com)
150.70.64.214(150-70-64-214.trendmicro.com)
150.70.75.32(wtp-g3-maya6.sjdc)
150.70.75.33(wtp-g3-maya7.sjdc)
150.70.75.37(wtp-g3-maya11.sjdc)
150.70.75.38(150-70-75-38.trendmicro.com)
150.70.97.40(wtp-gs-maya5.sjdc)
150.70.97.41(wtp-gs-maya6.sjdc)
150.70.97.43(wtp-gs-maya8.sjdc)
150.70.97.88(150-70-97-88.trendmicro.com)
150.70.97.112(150-70-97-112.trendmicro.com)
150.70.97.113(150-70-97-113.trendmicro.com)
150.70.97.114(150-70-97-114.trendmicro.com)
150.70.97.118(150-70-97-118.trendmicro.com)
150.70.97.121(150-70-97-121.trendmicro.com)
150.70.97.123(150-70-97-123.trendmicro.com)
150.70.97.125(150-70-97-125.trendmicro.com)
150.70.97.127(150-70-97-127.trendmicro.com)
150.70.172.110(iad1-wtp-gd-maya10.sdi.trendnet.org)
150.70.172.101(wtp-gd-maya1.iad1)
150.70.172.106(iad1-wtp-gd-maya6.sdi.trendnet.org)
150.70.172.107(iad1-wtp-gd-maya7.sdi.trendnet.org)
150.70.172.125(150-70-172-125.trendmicro.com)
150.70.172.205(wtp-g8-maya6.iad1)
150.70.172.209(150-70-172-209.trendmicro.com)
150.70.172.237(wtp-g9-maya6.iad1)
150.70.172.238(wtp-g9-maya7.iad1)
150.70.173.42(150-70-173-42.trendmicro.com)
150.70.173.43(150-70-173-43.trendmicro.com)
150.70.173.44(150-70-173-44.trendmicro.com)
150.70.173.46(150-70-173-46.trendmicro.com)
150.70.173.47(150-70-173-47.trendmicro.com)
150.70.173.48(150-70-173-49.trendmicro.com)
150.70.173.50(150-70-173-50.trendmicro.com)
150.70.173.52(150-70-173-52.trendmicro.com)
150.70.173.54(150-70-173-54.trendmicro.com)
150.70.173.55(150-70-173-55.trendmicro.com)
150.70.196.105(-)
150.70.196.173(-)
150.70.196.176(-)
150.70.196.177(-)
などなど、これはほんの一例ですが、とにかく多数のアドレスからアクセスしてきますので、むやみにログの件数が増えたいへん迷惑しています。(いちおう訪問者のアクセスをIPごとにすべてログに記録してるんだわ。)

ちなみに 150.70.0.0/16(150.70.0.0 - 150.70.255.255) と 60.32.133.240/28(60.32.133.240 - 60.32.133.255) はすべてトレンドマイクロ所有のIPアドレスです。

参考に、ページリクエスト、cookie、refererであやしいアクセスがわかる訳は、ごく簡単に言うと、
1.このサイトのトップページは(別名でもアクセスできるようにしてあるページもあるが)基本的にindex.html。
2.このトップページでブラウザを判定し、PC用ブラウザについてはまずフレームを表示。
 このときcookieを与える。
3.フレーム内にメニューページmenu.htmlと記事ページmain.htmlを読み込む。
 このとき両方のページのURLにページリクエスト(page=)やアクセスカウント(ac=)を付加する。これはフレーム内のみのデータで外部には出ない。
4.ちゃんとしたブラウザからのアクセスならば、このページリクエスト等に加えcookieとindex.htmlからのrefererがあり整合しているはず。(これらをチェックするのはセキュリティー上当然のこと。)
5.したがって、PC用ブラウザを名乗っているのにcookieも親ページのrefererもなしにページリクエストをしてきたり、さらにはどう見ても別のアクセスのアクセスカウントをもってきたりするのはあやしい。
ということになるわけ。ただブラウザによってはrefererを返さななかったりcookieを無効にしている人もまれにいるかもしれないので、cookieもrefererも両方おかしい場合のみあやしいと判断している。

アクセスへの対処:もちろん拒否!
 この迷惑アクセスをどうやってお断りしようか考えましたが、当面ログを記録した上でHTTPエラーコード403(アクセス拒否)を返してやることにしました。
さらにホスト名が正引きできるかどうかの判定も追加しました。
拒否の理由もちゃんと言ってあげます。(英語で。これでいいのかな?)
<?php

// 通常のブラウザを名乗っているのにページパラメータ、Cookie、Refererに整合性がないアクセス。
if(is_browser() // 通常のPC用ブラウザを名乗って、(アクセスの判定と表示の振分参照)
&& isset($_REQUEST['page']) // ページパラメータをもってくる。
&& empty($_COOKIE['id']) // でもCookieはもってこない。
&& (empty($_SERVER['HTTP_REFERER']) // Refererもないか、
|| !preg_match('%'.quotemeta($_SERVER['SERVER_NAME']).'%', $_SERVER['HTTP_REFERER'])) // このサイトのものでない。
{
my_access_log(); // とりあえずしばらくは(自前の)アクセスログへ記録。
header('Forbidden', TRUE, 403);
header('Content-type: text/html; charset=UTF-8');
echo('Error 403 : Access Forbidden.<br>
Parameters of Request, Cookie, Session or Referer are not completed.');
exit;
}

// 正引きができないアクセス。
if(!empty($_SERVER['REMOTE_HOST'])
&& preg_match('%not found%', shell_exec('timeout 10 host "'.$_SERVER['REMOTE_HOST'].'."')))
{
my_access_log(); // とりあえずしばらくは(自前の)アクセスログへ記録。
header('Forbidden', TRUE, 403);
header('Content-type: text/html; charset=UTF-8');
echo('Error 403 : Access Forbidden.<br>
Could not get IP adress of hostname '.$_SERVER['REMOTE_HOST'].'.');
exit;
}

?>
…説明のためのコードで実際のコードそのものではありません。
 実際のコードはもう少し他の条件が入っており多少セキュリティーにもからむので堪忍!
 最初リダイレクトですべてこのページに飛ばしてやろうかとも思いましたが、その後しばらくログをとっているうちトレンドマイクロのほかにもさらにあやしい該当アクセスが思いのほかあることがわかり、ばっさり拒否することにしました。

その結果は?
 上記のアクセス拒否を施して一週間たちましたが、トレンドマイクロからのアクセスは本アクセスとセットで従来通り続いています。ということは、特にあやしいサイトとして判定されているということはなさそうです。
(2013.5.2 追記)
 アクセス拒否の実施から1ヶ月経ちましたが、トレンドマイクロからのアクセスは以前と全く同じパターンで続いています。思うにトレンドマイクロのロボットはあまり頭がよくないようです。
おそらくただ単に送られたデータから該当ページをクロールしてその中にある設定されたパターンが検出されれば判定のためのデータを出力するというぐらいのもので、拒否されて問題が検出されなければそれきりといった程度のものはないでしょうか。

 さらにトレンドマイクロ以外にもホスト名の正引きができないことによる拒否が思いのほかたくさんありました。いずれもあやしい情報収集ロボットやスパムボットのようです。
"hn.kd.ny.adsl"などといったこれもありえないドメインを始め、ネットで調べてみると今までこんなあやしいやつにアクセスされていたのかと思うと腹がたつようなものばかり。一見それらしいホスト名が通知され通常ブラウザを名乗っているのも多く、うっかりすると全く気がつきません。
そもそも偽りのホスト名を名乗るなどはまともでないことをやっていると言ってるようなもので、正引きできないホストを蹴るというのは正解のようです。

 拒否したアクセスをログに記録するのもやめてみるとログがずいぶんすっきりしました。ホスト名なしとちゃんとしたホスト名".trendmicro.com"などからのトップページへのアクセスは拒否されせんのでログに記録されますがもうさほど目障りでもありませんし、通常ブラウザを名乗っているためjavascriptを使った単なるフレームの定義ページが提示されるだけで、どうせ記事内容は読めてはいません。

何か問題があるか
 このトレンドマイクロからのアクセスを拒否すると「あやしいサイト」としてセキュリティーソフトの利用者に通知されるという噂の可能性は全く否定はできませんが、ずいぶん期間がたってからではそもそもセキュリティー上間に合わずソフトの実効性が疑われる話だし、もう特に問題はないと判断してもいいでしょう。問題のある、あるいは信頼できないアクセスに対しちゃんと理由を言って403アクセス拒否を返してやる分には問題なさそうです。
 もしこのようなアクセスを拒否されたぐらいで「あやしいサイト」と判断してしまうようなら、それは全くまともなセキュリティー会社のやることではありません。...でもドメインを偽るなどあくどいことを平気でやるところですから、今後どうなるかはわかりませんが...。
 ついでにいろいろ検索してみるとトレンドマイクロのアクセスを拒否したというサイトがいくつかあったので、それらのサイトのURLをかたっぱしからトレンドマイクロの「トレンドマイクロによるWebサイトの安全性の評価」確認フォームに打ち込んで調べてみましたが、問題ありと判定されているところは一つもありませんでした。

 一方まともなアクセスを蹴ってしまったという形跡は全くありませんし、何ら問題はなさそうです。
(2013年5月3日 追記)
 1ヶ月の間に一度だけ正引きできないがまともなアクセスと思われるものがありました。設定のちゃんとできていない中小企業からのアクセスのようでした。
あやしいbotなどは幾度も継続的にアクセスしてくるのでそれらは登録して拒否、それ以外はひとまずログに記録のみしてしばらく様子を見て拒否登録するか否か決めることに変更しました。

最後に
 もしトレンドマイクロから「あやしいサイト」とされてそのためこのサイトへのアクセスが減ったとしても私はかまいません。多少わが身を犠牲にしても世の中全体のためにこのようなアクセスを放っておくわけにはいかないのです。
 しかしたった一人のアピールでは効果はないかもしれません。多くの皆さんが同様のアピールをしてくださるよう希望してやみません。
ただ単に迷惑だ迷惑だなどと言っておらずに行動を起こしましょう!


トレンドマイクロさんもこの記事を読んだ! (2013年7月1日 追記)
 この記事を書いたあと、逆引き未設定ホストについてはwhois情報からIPアドレスの所有者を調べログに記録するようにしていました。(→逆引き未設定ホストを自動で調べる)
それで最近気がついたのですが、トレンドマイクロさんもけっこうこの記事を読んでいるのですね。これはロボットのアクセスではありません。またこのアクセスは身元隠しのつもりか逆引きが設定されていませんので、それなりに調べないと気がつきません!
←直近のトレンドマイクロさんのページ閲覧を抽出したアクセスログです。

リンク元として http://aletheia.sblo.jp/article/69949964.html さんから来たりもしていますが、そちらにも同様のことが書かれていますし、さらに深い考察もなされていますので是非ご参考に。

…これらの記事を読んでトレンドマイクロさんが考え直してくれるといいんですけどね!

.sjdcや.iad1は.trendmicro.comに修正された (2013年8月5日 追記)
 最近httpdの生ログを見ていて気がついたのですが、従来うっとうしいくらいあった ".sjdc" や ".iad1" というドメインでのアクセスがなくなっているのに気がつきました。
で、遡って調べてみると、7月11日のアクセスを最後にこの存在しないドメインはなくなり、従来 ".sjdc", ".iad1" を名乗っていたIPアドレスはすべて ".trendmicro.com" に変更されていました。(逆引き設定されていないIPはそのままでしたが。)

 まさか私が「そのような正引きできないアクセスは蹴る」と言ったからではないでしょうが、trendmicroさんが少し前にこの記事や同様のことを書いた記事 http://aletheia.sblo.jp/article/69949964.html さんを読んでいたのは確かなので、考えてくれたんですかね。
世の中こうしてだんだんと良くなっていくんだなあ。
でも多数のIPで頻繁にアクセスしてくるのは相変わらず変わってません。本当に迷惑しているのはこれなんですけどね。

ついにtrendmicro.com様に見放されたか (2014年3月8日 追記)
 ふと、ここしばらく.trndmicro.com様からアクセスが来ないなあと思い調べてみると、2月16日の(拒否も含め)74件のアクセスを最後にあれほどあった私のこのサイトへの.trendmicro.com様からのアクセスは全くなくなっていました。
. . . こんなこと書いたからついに嫌われてしまったのか、あるいは暇なオヤジの遊びには付き合ってられんと愛想をつかされたか? . . .

だからもうこれ以上何も書けません。

ひとまずこの記事はこれでおわりとします。

 ずいぶん長らくホームページ遊びにつきあってもらったし、さらにこの記事には検索サイトからとても多くの方々に来ていただき、おかげさまでGoogleやYahooなどの検索サイトでのこのサイトのランクがぐぐぐんと上がったようです。
その点ではトレンドマイクロさんにお礼を申さねばならないでしょう。

トレンドマイクロさんありがとう。


...と、ひとまずおわりとなったのですが、
最近同じようなアクセスがamazonaws.comからも... (2018年5月11日 追記)
別のサイトにはtrendmicro.comからのアクセスは続いていますが、最近これと同じようなアクセスが、これもまた迷惑アクセスで有名なamazonaws.comからもあります。
→ 迷惑なアクセス(その2) amazonaws.comの正体 (...この件に関してはそのページの最後のほうに記載)
どうも関連性がありそうですが詳細は不明です。

trendmicro.comからのアクセスはなくなった? (2018年6月17日 追記)
6月に入ってtrendmicro.comからのアクセスはなくなっています。
ただ同じUSER AGENTで同じようなアクセスはamazonzws.comからきています。
→ 迷惑なアクセス(その2) amazonaws.comの正体(...この件に関してはそのページの最後のほうに記載)
もしかすると移行しただけなのかもしれませんが、やはり詳細は不明です。