以前から、Webサーバーのログに「wtp-g9-maya5.iad1」というアドレスからアクセスが発生していたのに気が付いていましたが、DNSの逆引き設定をちゃんとしていないサイトだろうと、あまり気にしていませんでした。
しかし、本日、自分で自分のサイトを開いた後で、たまたまWebログをチェックしてびっくり。直後に wtp-g9-maya5.iad1 から同じページへのアクセスが発生していました。
wtp-g9-maya5.iad1 は正式なトップレベルドメインからのアドレスではないため、IPアドレスをチェック出来ません。そこでファイヤーウォールのログをチェックし、「150.70.172.236」がIPアドレスである事を突き止めました。nslookupした結果は以下の通り。
nslookup 150.70.172.236 Non-authoritative answer: 236.172.70.150.in-addr.arpa name = wtp-g9-maya5.iad1. Authoritative answers can be found from: 70.150.in-addr.arpa nameserver = ns1-155.akam.net. 70.150.in-addr.arpa nameserver = tmns4.trendmicro.com. 70.150.in-addr.arpa nameserver = tmns3.trendmicro.com. 70.150.in-addr.arpa nameserver = eur5.akam.net. 70.150.in-addr.arpa nameserver = ns1-72.akam.net.
犯人はトレンドマイクロらしいとわかりました。
今回Webブラウズに使ったのは、ウィルスバスタークラウド2011 がインストールされた知人のWindows7 PC。
サンプリングかどうかはわかりませんが、トレンドマイクロは 、ウィルスバスターユーザーがアクセスしたURLを自社サーバーで収集して、その情報を元にユーザーが参照したページをアクセスしていると思われます。
アンチウィルスインストール作業中に表示されるライセンスに同意したことにより、アクセス履歴をトレンドマイクロが利用する事に同意させられているのかもしれませんが、こういうホスト名解決出来ないアドレスから、エージェントとリファラーを偽ってアクセスするのはセキュリティーソフトを販売している企業の姿勢としてフェアじゃないと感じます。
wtp-g9-maya5.iad1 - - [28/Jun/2012:22:58:23 +0900] "GET /xxxx/xxxx/xxxx/ HTTP/1.0" 401 1361 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
検索エンジンのクロールと同様に、ホスト名かエージェントにトレンドマイクロと判別出来るように情報を付加すべきでしょう。URLだけじゃなく、アカウント情報までトレンドマイクロに収集されているんじゃないかと勘ぐってしまいます。
こういう事をされると、絶対にこの会社の製品を買うものかって思ってしまいます。実際使っていないし、今後も使う予定はありませんが。
目視によるログチェックは重要です!