2006年末にトレンドマイクロ社(以下TM)のセキュリティソフト・ウイルスバスター2007(VB)に関して「ウイルスバスター2007とアクセスIP66.180.82.xx」「ウイルスバスター2007のURLフィルタについて実験してみた」の二つのエントリーを書きましたが、最近いくつかのサイトでこれらについて取り上げていただきました。
66.180.82.*からのアクセス (Nothing ventured, nothing gained.)
ウィルスバスター(トレンドマイクロ)からのアクセス (えむもじら)
私のエントリーでは、先にTMからアクセスがありその後ユーザーからのアクセスがあると書きましたが、上記サイトを読むと、先にユーザー・後からTMからのアクセスがあると書いてあり逆の動作になっているようです。私も最近のを確認してみると、apache(ウェブサーバ)のログとブログに組み込んでいるログ集計スクリプト共に、ユーザーの後にTMからのアクセスとなっています。
当時のログも確認したいのですが、apacheについてはすでに消去。ブログに組み込んでいるスクリプトのログも一部整理したためほとんど残っていないのですが、今年の2月28日のログには、先にTMからのアクセス、その2~3秒後にユーザーからのアクセスが記されています。
さらにapacheのログを確認しているとある事に気づきました。当時VBユーザーからアクセスがあるとカウンターが余計に回ると書きました。当ブログのカウンターはCGIスクリプトで作成されたもので、それをIMGタグで読み込ませてカウントアップしています。そのCGIにもVBサーバがアクセスしてきていたのですが、とても迷惑なため.htaccessでアクセスを拒否していました。しかし7月26日からアクセスは一切無くなりました。つまり、VBサーバはHTMLのみを読み込むようになったのです。サーバの読み込み順序もそうですが、何か動作環境に変更があったのでしょうか?
(9月初旬よりカウンタへのアクセスが再開されたのを確認しました。)
TMの製品Q&Aページにて「URLフィルタ」で検索してみたところ、関係のありそうな情報が2件ありました。詳細はそれぞれのリンクをクリックして確認してください。
1件目 「URLフィルタ」、ならびに「フィッシングチェッカー」によってトレンドマイクロへ送信される情報と扱いについて
URLフィルタ機能を有効にすると、アクセス先URLとアクセス先IPをTMサーバへ送信。TMサーバ上で妥当性を判断し、ユーザーへのアクセスの可否を決定しているようです。「TMサーバ上で妥当性を判断」とあることから、ユーザーがPC内にキャッシュしたデータをVBが判断するのではなく、やはりTMサーバがアクセス先の内容について判断しているものと思われます。しかし先に述べているとおり、最近のログにはユーザーの後にTMサーバのアクセスが記されています。判断するためのアクセス順序が逆になるのが謎ですね・・・
以前のエントリーでチャットや掲示板で2重書き込みになると書きました。その原因がこのQ&Aに該当すると思われます。「メッセージ送信時にgetメソッドを使用している場合に発生(postメソッドの場合発生しない)」とあります。2重書き込みになるサイトはgetメソッド・postメソッドの別を確認してみてはいかがでしょうか?
次に「該当のチャットサイトがTMサーバのデータベース(キャッシュ)に登録されている場合に本現象は発生しない」とあります。TMのデータベースで安全が確認されている場合は、TMサーバからのアクセスに関係なくユーザーへのアクセスが許可されるのかもしれませんね。当ブログのアクセスカウンタスクリプトにアクセスが無くなったのもこれが関係するのでしょうか?
あと、2重書き込みを回避する方法としてURLフィルタを無効にするようにとありますが、その都度切り替えるのは面倒だし、無効にしたのを忘れたまま他サイトを閲覧すると危険ではないでしょうか?
長々と書きましたが、トレンドマイクロが詳しい動作内容を公表してくれれば問題解決するんですけどね。
2008年1月10日追記
2007年12月末より、IPアドレス66.180.82.xxと128.241.20.xx以外の新たなトレンドマイクロサーバからのアクセスを確認しています。これについてブログに書いたので下記リンク先よりご確認ください。