ブログのアクセスログを見る

ブログのアクセスログを見て気づいたこと。最近「Jakarta Commons-HttpClient/3.0.1」というユーザーエージェント(UA)でのアクセスが増えてきました。1日に数十件のアクセスがあり、そのすべての発信元IPが203.190.60.3。このIPをグーグルで検索したところ楽天ダイナミックアドAPI別ウィンドウでリンクを開きますのページがヒットしました。

楽天ダイナミックアドとは、ブログやホームページの内容に合った楽天の商品を表示するアフィリエイトシステム。サイトの内容を取得するロボットのIPが203.190.60.3で、UAが「Jakarta~」となっているようです。私のサイトはこのアフィリエイトを利用しているのでロボットが見にきているのですね。

「あれ?たしか楽天のロボットのUAは楽天のものと分かりやすかったはずでは?」と思いさらにログを調べてみました。以前は同一IPでUAが
「Mozilla/5.0 (compatible; Rakutenbot/1.0; +http://dynamic.rakuten.co.jp/bot.html)」
だったものが、10月18日の午後6時頃より「Jakarta~」に変更となっているようです。システムの変更か何かでUAも変わったのかな?まぁどうでもいいですけどね・・・
ちなみにUAに記載されている http://dynamic.rakuten.co.jp/bot.html にアクセスしても、ダイナミックアドAPIのページ http://webservice.rakuten.co.jp/api/dynamicad/ へとリダイレクトされるようです。

もう一件気づいたこと、それはトレンドマイクロサーバからのアクセスIP。
以前から128.241.20.xxのIPからのアクセスについては、xxの部分が80番台、加えて夏頃からは210番台のものがログに残されていました。しかしここ最近から160番台のアクセスが増えてきたのを確認しました。(現在のところ128.241.20.167のみ)160番台で初めてアクセスがあったのは10月19日の夜9時頃で、この日はウイルスバスター2008のダウンロード版の発売日。単純に確認用サーバが増えたのか、それともウイルスバスター2008使用時のみのサーバなのか・・・どちらにしても私にとって迷惑な存在なのは変わりないです

現在はカウンタスクリプトのみ 66.180.82.xx と 128.241.20.xx からのアクセスを弾くようにしています。ページそのものは拒否していないので、もしURLフィルタの対象になる内容を含んでいたら、ウイルスバスターがしっかりと守ってくれることでしょう

今回トレンドマイクロサーバについて検索していたところ、各種ロボットのUAやIP、それらの拒否方法などを公開しているサイトを発見しました。

白いはインターネット
http://putih.xrea.jp/別ウィンドウでリンクを開きます

トレンドマイクロサーバについてはこちらのページ
非巡回系のロボットたち
http://putih.xrea.jp/robots/noindex/robots7a.php別ウィンドウでリンクを開きます

上記ページを読んで「あぁ、そういえば・・・」と気づかされたのがアクセス時のUA。
「Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)」
一般的なブラウザを装うのは何か隠したいことでもあるの?堂々と「トレンドマイクロがサイトチェックのために来てやったぞ!」と分かるようなUAにすればよいのに。といってもすでにトレンドマイクロのロボットであることはバレバレですが

ウイルスバスター2008をインストール

自宅のパソコンにトレンドマイクロのセキュリティソフト「ウイルスバスター2008」をインストールしました。ホームページからセットアップファイルをダウンロードし2007年版からアップグレード。インストールは数分で終了し設定画面を確認してみました。画面構成や設定項目は2007とほとんど変わりないかな。

各種設定を行いネットに接続することに。私の環境では2007で動作が重くなる症状が出ただけに、今回は少しドキドキしながらの接続です。インターネットエクスプローラを立ち上げたところ、ヤフーのトップページは正常に表示。しかし、そこからリンクをクリックしてもページが読み込まれず移動できない状態に。Firefoxでも確認したところ、ページの読み込みにかなり時間がかかるものの一応表示されますが、ページの切り替え時にブラウザ内が一瞬真っ黒に。

「トレンドマイクロぉ~、またやってくれたな」と思いつつ再起動してみると、今度はどちらのブラウザも正常にページが表示されます。もしかしてセットアップ後再起動が必要な場面があり、それを忘れていて一時的に動作がおかしかったのかも・・・その後は異常無く普通に使えてるって感じです。「メモリ使用量を50%削減した」らしいので、動作は軽くなったのかな?

今回私が試してみたかったのは「Trendプロテクト」。Googleやヤフーの検索結果より、アクセスしようとしているページが安全かどうか、表示されているタイトルを色分けして教えてくれるもの。ただ自分のサイトが安全と評価されているかを確認したかっただけなんですけどね・・・

インターネットエクスプローラを使いヤフーで私のブログを検索。しかし機能そのものが有効になっていない様子で、ウイルスバスターの設定画面を開いてもそのような項目がありません。ダウンロード版のためマニュアルは無く、Readme.txtやヘルプファイルを見ても機能についての記述がありません。

トレンドマイクロのホームページで調べたところ、製品のCD-ROMかサイト上でプラグインをダウンロードしてインストールしなければいけないとのこと。最初からウイルスバスターに組み込んでおくか、別途インストールするにしても分かりやすいところに方法を記述してくれればいいのにな。

Trendプロテクトを組み込み再度当ブログを検索してみたところ、ちゃんと安全と評価されていました。
ウイルスバスター2008をインストール
URLフィルタで迷惑していると書いたのでトレンドマイクロに嫌われているんじゃないかと思っていましたが・・・安心しました

2008からタスクトレイ内のアイコンがトレンドマイクロのロゴに変更されていますね。
ウイルスバスター2008をインストール
これまでの青と白のカプセルのほうが好きだな。

トレンドマイクロサーバからの現在のアクセス

2006年末にトレンドマイクロ社(以下TM)のセキュリティソフト・ウイルスバスター2007(VB)に関して「ウイルスバスター2007とアクセスIP66.180.82.xx」「ウイルスバスター2007のURLフィルタについて実験してみた」の二つのエントリーを書きましたが、最近いくつかのサイトでこれらについて取り上げていただきました。

 66.180.82.*からのアクセス別ウィンドウでリンクを開きます (Nothing ventured, nothing gained.)
 ウィルスバスター(トレンドマイクロ)からのアクセス別ウィンドウでリンクを開きます (えむもじら)

私のエントリーでは、先にTMからアクセスがありその後ユーザーからのアクセスがあると書きましたが、上記サイトを読むと、先にユーザー・後からTMからのアクセスがあると書いてあり逆の動作になっているようです。私も最近のを確認してみると、apache(ウェブサーバ)のログとブログに組み込んでいるログ集計スクリプト共に、ユーザーの後にTMからのアクセスとなっています。

当時のログも確認したいのですが、apacheについてはすでに消去。ブログに組み込んでいるスクリプトのログも一部整理したためほとんど残っていないのですが、今年の2月28日のログには、先にTMからのアクセス、その2~3秒後にユーザーからのアクセスが記されています。

さらにapacheのログを確認しているとある事に気づきました。当時VBユーザーからアクセスがあるとカウンターが余計に回ると書きました。当ブログのカウンターはCGIスクリプトで作成されたもので、それをIMGタグで読み込ませてカウントアップしています。そのCGIにもVBサーバがアクセスしてきていたのですが、とても迷惑なため.htaccessでアクセスを拒否していました。しかし7月26日からアクセスは一切無くなりました。つまり、VBサーバはHTMLのみを読み込むようになったのです。サーバの読み込み順序もそうですが、何か動作環境に変更があったのでしょうか?

(9月初旬よりカウンタへのアクセスが再開されたのを確認しました。)

TMの製品Q&Aページにて「URLフィルタ」で検索してみたところ、関係のありそうな情報が2件ありました。詳細はそれぞれのリンクをクリックして確認してください。

1件目 「URLフィルタ」、ならびに「フィッシングチェッカー」によってトレンドマイクロへ送信される情報と扱いについて別ウィンドウでリンクを開きます

URLフィルタ機能を有効にすると、アクセス先URLとアクセス先IPをTMサーバへ送信。TMサーバ上で妥当性を判断し、ユーザーへのアクセスの可否を決定しているようです。「TMサーバ上で妥当性を判断」とあることから、ユーザーがPC内にキャッシュしたデータをVBが判断するのではなく、やはりTMサーバがアクセス先の内容について判断しているものと思われます。しかし先に述べているとおり、最近のログにはユーザーの後にTMサーバのアクセスが記されています。判断するためのアクセス順序が逆になるのが謎ですね・・・

2件目 チャットサイトで発言が2重に登録される別ウィンドウでリンクを開きます

以前のエントリーでチャットや掲示板で2重書き込みになると書きました。その原因がこのQ&Aに該当すると思われます。「メッセージ送信時にgetメソッドを使用している場合に発生(postメソッドの場合発生しない)」とあります。2重書き込みになるサイトはgetメソッド・postメソッドの別を確認してみてはいかがでしょうか?

次に「該当のチャットサイトがTMサーバのデータベース(キャッシュ)に登録されている場合に本現象は発生しない」とあります。TMのデータベースで安全が確認されている場合は、TMサーバからのアクセスに関係なくユーザーへのアクセスが許可されるのかもしれませんね。当ブログのアクセスカウンタスクリプトにアクセスが無くなったのもこれが関係するのでしょうか?

あと、2重書き込みを回避する方法としてURLフィルタを無効にするようにとありますが、その都度切り替えるのは面倒だし、無効にしたのを忘れたまま他サイトを閲覧すると危険ではないでしょうか?

長々と書きましたが、トレンドマイクロが詳しい動作内容を公表してくれれば問題解決するんですけどね。

2008年1月10日追記

2007年12月末より、IPアドレス66.180.82.xxと128.241.20.xx以外の新たなトレンドマイクロサーバからのアクセスを確認しています。これについてブログに書いたので下記リンク先よりご確認ください。

IPアドレス 150.70.84.xx からのアクセス

ウイルスバスター2007のURLフィルタについて実験してみた

先日トレンドマイクロ(以下TM)からのアクセスがサーバのログに残っていることをブログに書きました。ブログに設置しているカウンターにもアクセスされ、その都度不要なカウントアップが行われるため、何らかの対策を行ってみようと思っていました。

そこでウイルスバスター2007(VB)をインストールしURLフィルタ機能を有効にしている知人に、アクセス実験に協力してもらいました。当ブログを設置してあるサーバでTMからのアクセスを.htaccessを利用しすべて拒否するように設定、その状態でVBをインストールしたPCからアクセスするとどのようになるかの実験です。結果は「ブログの閲覧には問題なし」です。

知人にアクセスしてもらった時、TMへは「403 Forbidden」を返しアクセス拒否、その数秒以内に知人のPCでブログが正常に表示されました。エラーログを確認したところ、アクセス拒否したのは表示させたいページ、アクセスカウンター・オンラインステータス・現在の閲覧者数を表示するIMGタグで読み込ませる各CGIスクリプト、カレンダーとフォトリーダーを表示させるために読み込ませるXMLファイルで、どれもブログの動作に関わるファイルのようです。

URLフィルタ機能についてヘルプを確認すると「Webサイトが安全かどうかの判定のためにのみ、お客さまがアクセスしたURLの情報を暗号化してトレンドマイクロのサーバに送信します。」とあります。具体的にどのような動作をしているのか分かりませんが、閲覧しようとしているページを先読みして、その中に危険な情報が含まれていないか確認していると予想できます。TM側は「Forbiddenで危険な内容ではないから問題なし」としてユーザーへのアクセスを許可したのだと思います。

しかしこのようなシステムだと危険な気がします。実際にはフィッシングサイトやURLフィルタの対象となる情報を含んでいるにも関わらず、TMからのアクセスを拒否している場合、ユーザーは閲覧できる状態で危険にさらされることになります。

チャットの二重書込み防止のためにTMのアクセスを拒否しているところは見かけたのですが、危険なサイトがこの方法を悪用しないか心配です。

2008年1月10日追記

2007年12月末より、IPアドレス66.180.82.xxと128.241.20.xx以外の新たなトレンドマイクロサーバからのアクセスを確認しています。これについてブログに書いたので下記リンク先よりご確認ください。

IPアドレス 150.70.84.xx からのアクセス

ウイルスバスター2007とアクセスIP66.180.82.xx

当ブログのアクセスログを見ていたところ、今月初旬よりIPアドレス66.180.82.xx(xxは80番台の数値)からのアクセスが増えていることを確認しました。これについて調べてみたところ、トレンドマイクロ社(以下TM)のウイルスバスター2007(VB2007)に搭載されている機能が関係していることが分かりました。

VB2007には「URLフィルタ」という機能が搭載されていて、有害な情報を含むウェブサイトや偽装サイトへの接続を防いでくれます。この機能を有効にしていると、ユーザーが閲覧しようとしているサイトに対し先にTMのサーバがアクセス、問題の無いサイトと判断されれば次にユーザーへのアクセスが許可されるようです。そのTMの確認用サーバのアドレスが66.180.82.xx。他に128.241.20.xxと66.35.255.xxがあるようようです。

あらためてログを確認すると、上記アドレスからのアクセスの後数秒以内に、VBをインストールしているであろうユーザーからのアクセスが確認できました。私もVB2007ユーザーですがURLフィルタ機能は無効にしているため、このような動作を行っているとは知りませんでした。

この機能のおかげで一部の掲示板やチャットでは障害が出ているようです。TMのサーバは、ユーザーが閲覧しようとしているサイトのアドレスと全く同じものを確認しにいきます。チャットの場合、チャットルーム入室時に名前や入室するためのパラメータを含んだアドレスを送信します。そのため、TMのサーバがアクセスした時点で最初の入室処理、続いてユーザーからのアクセスで再度入室処理が行われてしまいます。同じ理由でコメントの投稿や退室も二重で処理され、同じ内容の書き込みが二度行われることになります。サイト管理者は原因を究明するために苦労するかもしれませんね。

送信するアドレスにパスワード等を含んでいる場合、それも一緒に送信されてしまいます。TMは当然外部には漏らさないことを前提としているのでしょうが、何だか抵抗があるな・・・

ブログのアクセスログとは別にカウンターのログも調べてみました。こちらにもTMサーバのアクセス記録が残っていて、カウント処理が行われていました。つまり一人のVBユーザーが当ブログにアクセスした場合、カウンタが2つ上がってしまうのです。できるだけ正確なアクセス人数を調べたいのに、TMは意地悪なことをしてくれますね

私の場合はVB2007のスパイウェア対策機能でかなり苦労しましたが、このソフト、いろいろと余計なことをしてくれるようです・・・

2008年1月10日追記

2007年12月末より、IPアドレス66.180.82.xxと128.241.20.xx以外の新たなトレンドマイクロサーバからのアクセスを確認しています。これについてブログに書いたので下記リンク先よりご確認ください。

IPアドレス 150.70.84.xx からのアクセス

ウイルスバスター2007をインストールしたら・・・

私のパソコンにはウイルス対策としてトレンドマイクロの「ウイルスバスター」をインストールして使用しています。先日新バージョンの「ウイルスバスター2007」が発表されたので、これまで使用してきた2006年度版からアップグレードしました。

インストール後に普段使用しているアプリケーションを立ち上げたところ、起動に掛かる時間が長くなったのと、作業中のマウスクリックの反応が遅くなるなどの症状がでました。ウイルスバスターが悪さをしているとは思ったのですが、タスクマネージャで確認したところ、PcScnSrv.exeというプログラムのCPU使用率が時々60~80%ほどになっていました。

PcScnSrvについてネットで調べたところ、2007年度版より新たに導入されたリアルタイムでスパイウェアを監視するための関連プログラムのようです。パソコンにはスパイウェア対策として Spybot をインストールしているのですが、どうやら共存させると不具合が出るようです。

解説サイトを参考にSpybotとウイルスバスターをアンインストールし、再度ウイルスバスターをインストールしてみました。ところが、アプリケーション操作の重さは変わらず、PcScnSrvのCPU使用率も高くなることが多いです。ウイルスバスターの設定で「スパイウェアの監視」と「不審ソフトウェア警戒システム」を無効にしてみたところ、正常に戻ったような気がします。

しかしこの状態だと、せっかく搭載されているスパイウェア対策の機能が使えず、セキュリティに不安が残ることになります。トレンドマイクロさん、プログラムの修正で普通に使えるようにしてくださ~い