続:ウィルスバスター

 トレンドマイクロのURLフィルターの件では常連さんお二人に気を遣わせてしまいました。実際のところ .htaccess にてトレンドマイクロのIPすべて(今のところわかっている分)を弾き、このサイトに足を踏み入れられないようにしてますので、サイト自体に余計な負担はかかってません。システムのエラーログが膨れあがりますけど、それは私の契約容量外なんでだいじょうぶです。

 それに、「なかのさんち」は検索サイトから入ってくる一見(いちげん)さんが思いの外多いのです。考えられる理由は、ここは何かに特化したブログではなく、よく言えば話題が広範囲、悪く言えばそれこそ「取り留めもない」エントリーばかりなので、結果的により多くの検索キーワードに引っかかるということではないかと。

 きっと検索から入ってきた人、がっかりして帰るんだろなと思ってます。検索して見に行くときは深く狭くコアな情報を求めてますからね。行った先で関連エントリーを探したりすることが多い。けど、「なかのさんち」の話題はそれ一本かつ薄っぺらですから(^_^;)

 セキュリティソフトを検索すると「トレンドマイクロ」「ノートン」でほぼ市場を占めています。検索サイト経由で入ってくる人の二人に一人弱はウィルスバスターユーザーの可能性がある。三番目にマカフィーがいるくらい。だから常連さんがURLフィルター切っても実のところサイト全体的にはまだまだエラーログが増えていってます。

 しかし、何度でも書きますがこのトレンドマイクロの手法、自らが「スパイソフト」と定義して排除しようとしているまさにそれそのものなんですよね。やってないことをやってないと証明するのは「悪魔の証明」ですから難しい。これをやってる限りトレンドマイクロが顧客の個人情報を蓄積していないと証明するのは難しいわけで、企業として疑われるようなことをしてはいけない。

(リンク先消失のため削除)  ←に行くと冒頭に「概要」として、

 Webサイトを悪用して、ウイルスに感染させたり、個人情報を盗み取ったり、悪意ある情報を伝えたりと、さまざまな不正活動が行われています。不正な Webサイトをブロックしたくても、短期間にURLやIPアドレスなどが頻繁に変えられてしまうと、データベースへの登録が追いつきません。

「Webレピュテーション」は、Webサイトの運用履歴を常にモニタリングして、Webサイトの評価値をデータベース化します。このWebサイトの評価値をトレンドマイクロ製品が利用することで、危険なWebサイトのアクセスをブロックしたり、検索サイトの検索結果の安全性を評価したりします。

 そう書いてあります。だからユーザーの動きを追跡するんだと。でもですね、そこにそう書いてあるとおりであるならどんな方法を採ろうと結果は同じ。ユーザーについて行かないで他の検索ロボット(クローラー)のように独自にWEBを徘徊させ、データベースを構築するのとの差はないと思います。裏返しに言えば「ユーザーを追いかけて登録すれば、相手が煩雑にURLやIPアドレスを変えない」と言ってるのと同じです。詭弁でしょ? スパイソフトじゃないかと疑われ、難癖をつけられてまでしてユーザーのアクセスを追いかけたいとしたら、その理由はユーザーのWEBアクセス動向をデータベースに蓄積したいからしかあり得ず、蓄積したい理由は「自社でその情報を営業や開発に使いたいから」しか考えられないです。他人はしちゃダメだから俺が見張る。でも俺はしていいんだ、別格だからというジャイアン理論ですね。業界一位であるという驕りが見え隠れしてきませんか。

 ちなみに私は上記三大セキュリティソフトではなく、ソースネクストのウイルスセキュリティZERO を使ってます。各社製品を渡り歩いた結果これにたどりつきました。「安い・余計なことはしない・必要なことはかっちりやってくれる」、余計なことしないので軽いというのが決め手でした。


トレンドマイクロ(ウィルスバスター)、うざいです

 内容的にちと過激なので名指ししていいものか迷いましたけど、タイトルで名指ししちゃいます。

 まずは以下を見てくださいな。


[略 **:51:45 2009] [error] [client 216.104.15.138] 中略 /effects.js
[略 **:51:46 2009] [error] [client 216.104.15.134] 中略 /jquery.js
[略 **:51:48 2009] [error] [client 216.104.15.138] 中略 /calxml.php
[略 **:52:16 2009] [error] [client 216.104.15.134] 中略 /20**_10.xml
[略 **:52:16 2009] [error] [client 216.104.15.142] 中略 /wp-scriptaculous.js
[略 **:52:16 2009] [error] [client 216.104.15.130] 中略 /jquery.form.js
[略 **:52:16 2009] [error] [client 216.104.15.138] 中略 /lightbox.js
[略 **:52:16 2009] [error] [client 216.104.15.130] 中略 /w_calendar300.swf
[略 **:52:16 2009] [error] [client 216.104.15.130] 中略 /builder.js

 上記アクセスの引き金は、ウィルスバスターを使っているユーザーがアクセスしたとき、です。ウィルスバスターユーザーの誰かが「なかのさんち」にアクセスする。それだけで始まります。ブログのトップページを見るだけで、そこに関連したファイルをすべて個別爆撃状態でアクセスします。ちなみにアクセスしてきたのはどこの誰なのかというのはわかりません。それが WEB の匿名性です。

 それに気がついたので、 検索ロボット のエントリーで書いたようにトレンドマイクロからのアクセスを拒否設定しました。拒否したために当然アクセスエラーになり、システムのエラーログに積み重なっていきます。それが上記の一覧です。上記は「ユーザー一人の一回のアクセスから発生した分」です。拒否したからエラーログですが、拒否してなければ普通に解析のログに積み込まれていきます。

 トレンドマイクロがなんのためにそんなことをやってるかはここ参照(リンク先消失のため削除)してください。書いてあることを読むと、ほほぉ、そりゃすごい、頼もしい、安全になるのか、と思うでしょ? でもね、どんなに高尚なことを書き並べてもそれをするためにアクセス時にUA(ユーザーエージェント、ブラウザのこと)を偽装したんでは話しになりません。ごまかしのあるところに正義はないです。きちんと自分を名乗って「検査のためのアクセスだよ」としてくれればアクセスは許して解析からだけ外すということできます。嘘をついて入り込んでくるので外せません。

 さらに上記ページには「メリットのみ」しか書かれてませんし、強調されてます。デメリットについては一言も触れてません。

 でもいいですか。これを使うということは「使ってる方は WEB での挙動をすべて民間会社一社に把握されている(かもしれない)」ということなんです。どこにいつ何回アクセスしてどんな画像や情報を見ているか。趣味嗜好性癖思想等々細かに細かにすべてトレンドマイクロに把握されてる可能性があります。そんなことはしないと安心できる会社だから許しますか? 事故で個人情報流出が絶対無いと信じますか? ユーザーのアクセスを逐一追跡して安全なサイト(ファイル)かどうかチェックしてるだけで個人情報は蓄積してない、と言われたら信じますか? 怖くないですか? WEB での匿名性もここにはありません。ユーザー登録しているでしょうから、単なる匿名オンラインデータの蓄積ではなく、「どこの誰がどこにアクセスした」をトレンドマイクロという一民間会社に把握できてしまう。メリットのみ強調してそういうデメリット(可能性があること)を表示していない会社ですよ。信じろと言われてもね。

 アクセスされる側のデメリットもある。ページビューだのヒット数だのの解析がめちゃくちゃになってしまうこと。IP を微妙に変えてしつこく来ますから、ユニークIP扱いでカウントされてしまう。さらに、アクセス拒否したことでトレンドマイクロのデータベースに「なかのさんちは悪質サイト」として登録されてしまうかも知れない。定期的に来てくれる人はいいとして、検索などで始めてくるときにウィルスバスターが「そこは危険」とか表示しちゃったら誰も来てくれなくなっちゃう。悪質サイト扱いになるかどうかはわかりません、想像です。でもそうなりそうな気はする。

 第一ね、一般サイトである私のところですらこうやってアクセス拒否できちゃうんです。チェックできないようにね。ほんとの悪質サイト、意識して悪質なことをしてるサイトでアクセス拒否してないなんてことはないでしょうに。つまり、このやり方で悪質サイトのチェックなどできないです。チェック出来るのはなんの罪もない普通の個人サイトだけ。効果ないじゃないですか。


検索ロボット

 「ボット」と称する検索サイトから派遣されてくるデータ収集の自動アクセスがあります。これは自サイトを公開している以上、多くの人に見てもらうためにはいろいろなキーワード検索で「なかのさんち」が引っかかってくれたほうがいいわけですから、嫌うわけにはいきません。

 アクセス解析ツールなどはこの正規のボットはちゃんと解析から外すような設定があります。一日程度「ボットを無視しない設定」にして試してみると想像以上のアクセスがあって驚きます。常に「無視する」設定にしておけば気になりません。

 たまに「正規じゃない」とは言わないのかな、大手じゃないというのか、解析ツールが想定してないボットが来ると解析に引っかかりますが、まあたまになのでこれもいいです。

 最近になって変なことに気がつきました。うちは日本語しかサポートしてませんので、アクセスはほとんど日本からだけ、のはずです(UKユナイテッドキングダムもあるけど、それはわかってるから別)。さらに、Internet Explorer6の場合はバナーを出したりして注意を促してるのに、連日一日何回もInternet Explorer6でアクセスしてきます。解析ツールの設定で国旗を出せるのに気がついて出してみたんですけど、アクセス元が米国なんですよ。こりゃ変だおかしいとチェックしてみました。

 [aguse] ←ご存じかしら。危なそうなサイトを見に行く前に、必ずそこ経由でチェックしてから行くのが無難です。url だけでなく、ip でもチェックできます。知らなかった方、お気に入りにでも入れて活用してください。

 そこでチェックしたら、その変なアクセスはトレンドマイクロからでした。でも、そういうアクセスは普通はブラウザとかOSとか出ないんですけど、ここのは Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1 と普通に WinXP(NT5.1)で IE6 を使ってのアクセスってことになってる。

 情報を得ようと検索してみました。

 ヲレサイト(トレンドマイクロのボットがウザい件) に詳しく書いてありました。そこに書いてあることにほぼ同感です。詐称せずにボット名さえきちんと名乗ってくれれば、robots.txt で弾くのではなく、解析から外すだけの処理で私は我慢しますのに。でもいまのアクセスのされ方では .htaccess で弾いてしまうしかありません。うちは危ないサイトじゃないですからそれでいいでしょうけど、危ないサイトはこういうのにもっと敏感ですから、おそらくとっくに弾いちゃってると思います。つまり、トレンドマイクロのやりかたは何の役にも立たない可能性が高い。危ないとこの調査は出来ず、危なくないところからはうざがられるだけの拙策。

 ヲレサイトに載っていた4種のipに加え、うちにはもう一カ所(もちろんトレンドマイクロです)から来てたのでそれも加えて5種にしてアク禁の刑に処しました。これによって他のアクセスに影響はないと思いますが、影響がありそうな気配を感じたらまた元に戻します。

order allow,deny
allow from all
deny from 150.70.0.0/16
deny from 66.180.80.0/20
deny from 66.35.255.0/24
deny from 128.241.0.0/16
deny from 216.104.15.0/19