Google-proxy による Webページへのアクセス

以前、トレンドマイクロのアンチウィルスソフトを使っていると、自分がアクセスしたページをトレンドマイクロからもトレースされる;つまりスパイされていると書きました。

今も、トレンドマイクロからのアクセスは続いていますが、前と違って名前解決できない怪しいドメインのアクセスポイントからではなく、はっきりトレンドマイクロとわかるアクセスポイントからのアクセスで、しかもウィルスが含まれているかも知れない、.zip ファイルだけ持って行っているので、仕方ないかという気分になりました。サーバーと回線負荷が上がるので、ありがたくないのは以前と同じ。

同じようなことをやっているのが、Bluecoat。

私は、MacOSバージョンの関係から Chrome を使わざるを得ないので使っているのですが、google Chrome を使うと、どうもユーザーがアクセスしたページへトレースアクセスが発生しているらしいことがわかりました。

新しいWordPress ページをテストするために、サーバーの隅っこ、上位とリンクされていないURL へ新しいWordPress とテーマをインストールして、使い勝手やレスポンススピードはどうかな?と、ブラウズしながらHTTPアクセスログを見ていたら、入れたばかりのページへ google からアクセスが発生しました。なぜ?と思うものの、誰も知らないはずの URL ですから、Chrome がスパイしているとしか考えようがありません。パスは編集してありますけど、以下のようなログが残っています。

google-proxy-66-102-7-166.google.com - - [12/Feb/2017:20:23:15 +0900] "GET /private/url/path/ HTTP/1.1" 404 - "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.75 Safari/537.36 Google Favicon"

google-proxy からのアクセス頻度は、私が自分でアクセスした その後だけで、常時クロールしているわけではありませんからクロール目的とは思えません。エージェントは 64bit Linux になっている。

今までも google-proxy-xx-xx-xx-xx.google.com からのアクセスは、HTTP ログに大量に含まれているので、Android 端末から検索してアクセスして来た方々だろうと勝手に推測していたのですけど、トレースアクセスには気づいていませんでした。自分で自分のサイトへアクセスすることは多いのですけど、そこへトレースアクセスされても、訪問者によるアクセスなのか、google からなのか区別が付きません。プライベートURLへアクセスが発生したので気づいたわけです。

それとも、google-proxy  という名のとおり、誰かの Proxy として動いていて、犯人は別にいるの?
背景がわからないと気持ち悪いというのが、今の気持ち。

このほか、知人にテストサイトを確認してもらおうと、メールにURLを添付して送ったら、その直後に別のドメインからのトレースアクセスが発生しました。調べてみると、またまた悪名高い proofpoint.com からのアクセスでした。

lb-vip.sc4.proofpoint.com - - [07/Feb/2017:22:07:00 +0900] "GET /shop/wp-login.php HTTP/1.1" 200 2656 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"

不思議なことに、この前に知人が加入しているプロバイダーアクセスポイントからのアクセスは発生していませんでした。
Proofpoint.com に迷惑掛けられるのは、使い物にならない迷惑メールフィルターだけかと思っていたら、Webページに対しても何か余計なことをやっているのね。
それとも、URLを受け取った知人が、proofpoint に関係する何かのソフトを入れていたのか?ユーザーへ送ったメールに含まれるURLを icloud.com は全部スキャンしているのか?

何かしっくり来ません。

Comments

  1. 初めまして
    まったく同じユーザーエージェント情報でアクセスがあり、見た事がなかった表示(LINUXや、Google Favicon等)でしたので検索してみたところ、こちらのページに辿りつきました。
    何故このような偽装になるのか調べておりまして、宜しければ投稿主さんのアクセス環境を教えて頂きたいと思いましてコメントを残させて頂きます。
    宜しくお願い致します。

    1. 青さん、

      残念ながら2年以上前の記録ですので、ログを残していません。私がその時にWebサイトをアクセスするのに使ったOSとブラウザーの情報は分かりません。

      MacとWindowsからアクセスしているはずですが、当時どの環境からアクセスしていたかは分かりません。
      ただし、Chromeを使っていた可能性が高く、Macの場合はChromeのはず。Windowsの場合は、IE, Edge, Chromeあたりだと思いますが、バージョンは不明。googleアカウントでログインしていると思います。

      私は、googleにログインして使っている人が、
      1. 直接インターネットをアクセスしていると思っていても、実際にはgoogleがproxyとして機能している。または、機能しているタイミングがある。
      2. 同じアカウントで複数のPCを使っている人、例えば自宅と会社で双方googleにログインして使っている場合、設定で履歴を共有するようにできるため、こういうケースで google proxy が使われているのではないかと推測しています。

      本当のところはどうかは分かりませんが。

      時間さえ空けてくれれば、公開ページへのトレースアクセスは構わないんですが、非公開ページへのトレースアクセスは気分が悪いので、今は、.htaccess でブロックするようにしています。

      こういう情報でいいですか?

コメントを残す