以前、特定の企業・組織から、Webサーバーへの連続アクセスが発生した時、その直後にどんなコンテンツをブラウズしたのかそれを調べるかのように、コンテンツをトレースするアクセスが発生することをメモしました。一つは、トレンドマイクロのアンチウィルスソフトで、もう一つがHP社からのアクセスでした。
後者のアクセスパターンが、昨日のログに含まれており、それがsoumu.go.jp からのアクセスだったため、もう少し踏み込んで調べてみることにしました。
[07/Mar/2014:18:58:43] - - gw1.soumu.go.jp "GET /notes/2012/06/25/unknown-squid-serve-log/ HTTP/1.1" 200 42935 "http://www.google.co.jp/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CCUQFjAA&url=http%3A%2F%2Fwww.lifewithunix.jp%2Fnotes%2F2012%2F06%2F25%2Funknown-squid-serve-log%2F&ei=K5gZU4GuBIP7kAW3mIEw&usg=AFQjCNEey2691kCvV3tDIjSfE93G6u3wnQ&bvm=bv.62578216,d.dGI" [07/Mar/2014:18:58:49] - - gw1.soumu.go.jp "GET /notes/wp-includes/wlwmanifest.xml HTTP/1.1" 200 1045 "-" [07/Mar/2014:18:58:50] - - gw1.soumu.go.jp "GET /notes/2012/06/25/unknown-squid-serve-log/feed/ HTTP/1.1" 200 5482 "-" [07/Mar/2014:18:58:50] - - gw1.soumu.go.jp "GET /notes/2012/06/26/recover-of-note-pc-system-part2/ HTTP/1.1" 200 43705 "-" [07/Mar/2014:18:58:50] - - gw1.soumu.go.jp "GET /notes/comments/feed/ HTTP/1.1" 200 18892 "-" [07/Mar/2014:18:58:50] - - gw1.soumu.go.jp "GET /notes/feed/ HTTP/1.1" 200 55071 "-" [07/Mar/2014:18:58:55] - - gw1.soumu.go.jp "GET /notes/2012/06/21/recover-of-infected-note-pc-system-part1/ HTTP/1.1" 200 57403 "-" [07/Mar/2014:18:58:59] - - gw1.soumu.go.jp "GET /notes/2012/06/25/unknown-squid-serve-log/ HTTP/1.1" 200 47340 "-" [07/Mar/2014:18:59:12] - - gw1.soumu.go.jp "GET /notes/2012/06/27/recover-of-note-pc-system-part3/ HTTP/1.1" 200 41762 "-" [07/Mar/2014:18:59:17] - - 103.246.39.212 "GET /notes/2012/06/27/recover-of-note-pc-system-part3/ HTTP/1.1" 200 19661 "-" [07/Mar/2014:18:59:20] - - gw1.soumu.go.jp "GET /notes/2012/06/26/recover-of-note-pc-system-part2/feed/ HTTP/1.1" 200 860 "-" [07/Mar/2014:18:59:21] - - 103.246.39.212 "GET /notes/2012/06/26/recover-of-note-pc-system-part2/feed/ HTTP/1.1" 200 860 "-" [07/Mar/2014:18:59:42] - - gw1.soumu.go.jp "GET /notes/2012/06/21/recover-of-infected-note-pc-system-part1/feed/ HTTP/1.1" 200 6110 "-" [07/Mar/2014:18:59:44] - - gw1.soumu.go.jp "GET /notes/2012/06/19/abit-at8/ HTTP/1.1" 200 44488 "-" [07/Mar/2014:18:59:45] - - gw1.soumu.go.jp "GET /notes/2012/06/27/recover-of-note-pc-system-part3/feed/ HTTP/1.1" 200 860 "-" [07/Mar/2014:18:59:52] - - gw1.soumu.go.jp "GET /notes/2012/06/27/access-to-amazonaws-com/ HTTP/1.1" 200 41105 "-" [07/Mar/2014:19:00:45] - - gw1.soumu.go.jp "GET /notes/2012/06/19/abit-at8/feed/ HTTP/1.1" 200 798 "-" [07/Mar/2014:19:00:49] - - gw1.soumu.go.jp "GET /notes/2012/06/13/endomondo-and-mobile-device/ HTTP/1.1" 200 44104 "-"
前回は、企業が社員のWebアクセス状況を記録しているものと推測しましたが、gw1.soumu.go.jp ということは、総務省からのアクセスで、こちらも大規模組織のはず。
そして、103.246.39.212 というアドレスをwhoisで確認してみると、
inetnum: 103.246.39.0 - 103.246.39.255 netname: BLUECOAT-CS-AP descr: Blue Coat Systems Inc country: JP admin-c: DB381-AP tech-c: DB381-AP status: ASSIGNED PORTABLE mnt-by: APNIC-HM mnt-routes: MAINT-BLUECOAT-CS-AP mnt-irt: IRT-BLUECOAT-CS-AP
と、なっています。同じく Bluecoat systems inc という組織で、前回の所在地は香港でしたが、今回は日本になっています。google で社名を検索してみたところ、ビジネス用のセキュリティーを扱っている会社のようです。前回は見つからなかったんだけどな〜。調べなかったかも。と思いながら製品紹介をチェックしてみると、セキュアWebゲートウェイやWebセキュリティサービスなどがありますので、どうも犯人はこれのようです。
動作原理をイマイチ理解できませんが推測してみると、組織内のメンバーがブラウズするURLが、総務省のWeb proxyからブルーコートシステムズのサーバーにも転送されて、同じWebページをチェック。HTMLの健全性をチェックして、ユーザーのPCに表示させてもいいかどうかを瞬時に判定しているってことなのかな〜。そうだとしたら、ユーザーが見たいと思っているページとは違う、先読みしているページをスキャンしているように見えるんですけど。
一応スキャンと判断しましたけど、コンテンツを外部にキャッシュしている可能性も否定はできません。こんなサービス、やだ、やだ。
でもまあ、これで、うちのサーバーのWebサーバーに過剰負荷を掛けてくれている原因がわかりました。