トレンドマイクロによる嫌がらせなWEBアクセス

まず以下のホスト名(FQDN)を見てください。このサイトにトレンドマイクロからアクセスがあったホスト(FQDN)とそのIPアドレスです。

アクセスがあったホスト名(FQDN) ホスト名のIPアドレス
wtp-g4-maya7.sjdc 150.70.97.38
wtp-gs-maya3.sjdc 150.70.75.161
sjdc-wtp-gb-maya1.sdi.trendnet.org 150.70.64.193
iad1-wtp-gd-maya4.sdi.trendnet.org 150.70.64.196
sjdc-wtp-g3-maya5.sdi.trendnet.org 150.70.64.197
sjdc-wtp-gb-maya9.sdi.trendnet.org 150.70.64.201
sjdc-wtp-gb-maya10.sdi.trendnet.org 150.70.64.202

続いて名前解決の一例です。( NXDOMAINとは、そんな名前はありませんって意味です。)

# nslookup wtp-gs-maya3.sjdc
Server:         127.0.0.1
Address:        127.0.0.1#53

** server can't find wtp-gs-maya3.sjdc: NXDOMAIN

# nslookup 150.70.97.38
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
38.97.70.150.in-addr.arpa       name = wtp-gs-maya3.sjdc.

Authoritative answers can be found from:
70.150.in-addr.arpa     nameserver = tmns5.trendmicro.com.
70.150.in-addr.arpa     nameserver = tmns6.trendmicro.com.
tmns6.trendmicro.com    internet address = 150.70.93.8
tmns5.trendmicro.com    internet address = 150.70.93.7

あれ?と思いませんか?

IPアドレスを逆引きしたホスト名の名前解決が出来ません。わざとかどうかは判りませんが、トレンドマイクロは自分の身元を隠蔽しているのです。しかも、「sjdc」という現時点では存在しないトップレベルドメインを使っています。
RFCで厳密に定義してあるかは調べていませんが、一般的にはマナー違反で、情報系を取り扱う企業として疑うレベルです。

しかも、これらのIPアドレスはWEBレピテーションといわれるシステムで使用していて、閲覧意思のないアクセス数を増やしてくれているようです。トレンドマイクロが使用しているアドレスレンジは把握しましたが、どうやら単にブロックしてしまうと不正なサイトとして利用ユーザに通知される可能性があるという厄介な仕様のようで、対処をどうしようか思案中です。
トレンドマイクロからのアクセスが来たら、トレンドマイクロのWEBサイトに誘導するようにしたら問題ないかな?

参考までにトレンドマイクロからWEBアクセスが来るアドレスレンジを記載しておきます。

  • 216.104.15.0/24
  • 150.70.0.0/16 

自分が利用しているWEB解析ソフトでは逆引きをしてホスト名で一覧を作成するため、アドレスの特定に時間がかかりました。。。

関連記事

人気記事のランキング

トラックバックURL

このエントリーのトラックバックURL:
http://or2.to/mt/mt-tb-mt.cgi/42

コメント(12)

私も上記アドレスからアクセスがありました。それに加え海外のトレンドマイクロからもアクセスがありました。なんなのでしょうねあそこは。。。

yutiさんコメントありがとうございます。
トレンドマイクロのアクセスの直前に、ユーザがアクセスしているはずなので、ログから誰がトレンドマイクロのサービスを利用しているか確認することが出来ますよ。

分かりやすい内容でとても参考になりました。
私も、トレンドマイクロのコールセンターに電話して確認しました。
やはり、有害なサイトかどうかの判定の情報収集で行っているとのことでした。
センター側でも特定のサイトへのアクセスを止めることができないらしく、有害なサイトではないと判定されたらそのうちにアクセスもされなくなるみたいなことを言われていました。???。取り合えず、アクセス解析の設定で、除外ホストに入れました。

soraさんコメントありがとうございます。
トレンドマイクロに電話で確認されるとは、すごい行動力ですね。
このブログでは未だトレンドマイクロからアクセスが来ています。
まーこんな記事を乗せているので、無害と判定される日は来ないかも知れませんが(苦笑

まだお試し期間で、引っ越し途中で、誰にも言っていないのに、アクセスカウンターに、自分以外のアドレス(私は、150.70.75.161でした)が、しょっちゅうアクセスしていたのでびっくりして、サーバーに問い合わせても、「うちではありません」との事で、怖かったのですが、
こちらを拝見して、少し安心しました。
ありがとうございます。
無視して、様子をみてみます。

chiyaさん
コメントありがとうございます。
今までの傾向を見ると、時期は判りませんがトレンドマイクロからアクセスが来るIPアドレスは変わるようです。
この記事を書いてから時間が立っていますので、サイトに載っていないアドレスからアクセスが来てるかもしれませんね。
今度ログを追いかけてトレンドマイクロのIPアドレスのアップデートしたいと思います。

私は、このIPをブロックしたところ、「未確認サイト扱い」され、客を失いました。トレンドマイクロにそこまで影響力があるとは・・・。「論外扱い」が常識かと思っていましたが。

やっぱり未確認サイト扱いされてしまいましたか。
トレンドマイクロが勝手に人サイトの評価をしているようで、あまり気分が良くないですね。
トレンドマイクロでキャッシュしてアクセスを減らしてくれれば嬉しいですが、その気はないでしょうね。。。

はじめまして
上記アドレスは弾いていたのですが
さきほど wtp-g9-maya6.iad1
が拙宅のウエブ拍手を押していきました。
新しいドメインでしょうか、上で言われているように
マナーが悪くてしつこくて嫌です。。。

みやさん

コメントありがとうございます。
wtp-g9-maya6.iad1ですが、ホスト名のルールからトレンドに間違いなさそうですね。WEBレピテーションだとしたら、直前のユーザが拍手をしてくれたのを追いかけてきたのかもしれませんね。
今、PCが壊れて使えない状態なので、復活したらiadのIPとか調べてみます。

ご返信ありがとうございます。userが2分前に拍手していました。

サーバーに生成された生ログを見ましたら、wtp-g9-maya6.iad1は
150.70.172.237で150.70.0.0/16に含まれていました。

それで自分でも忘れていたのですが以前上記の
「トレンドマイクロがきたらトレンドマイクロのサイトに誘導するよう」
を見させて頂いて、なるほどと思い(勝手に申し訳ありません)
サイト全体には無理だけど、ウエブ拍手にはsjdcがきたら
トレンドマイクロwebに403を返す.htaccessを入れてみたのです。

ネットマスク表記でなくドメイン表記にしてしまったのが
突破された原因のようです。ネットマスクで書いていた別のフォルダは
同じiad1でもエラーが出ていました。
推測ですがsjdcが駄目だったのでiad1が来たのかなと。
存在しないドメインはsjdcだけではないのではと思いました。

*もしこの書き込みが不都合でしたら削除して下さって大丈夫です。

みやさん

トレンドのIPをブロックされているようですが、トレンドのIPをブロックすると「未確認サイト扱い」にされ、ユーザに警告されるようです。
自分自身が確認したわけではないですが、そういうコメントも頂いています。

アクセス数を減らさないためには、単純にアクセスをブロックするのではなく、ログに残さない又は何かしらの応答を返してあげる必要があるかなと考えています。
トレンドに正常なサイトと確認された場合、アクセスが来なくなるようですが、未だこのサイトにも大量にアクセスが来ています。
(この記事を閲覧してくれている人が結構多いので、あえてトレンドの傾向を見るためにアクセス制御はやめています。)

後、sjdcはブロックしていませんが、このサイトでもiad1からのアクセスは来ていました。確認が出来ているホストは以下の4つでした。

wtp-g9-maya7.iad1
wtp-g8-maya7.iad1
wtp-g9-maya3.iad1
wtp-g8-maya3.iad1

#貴重なご意見なので、コメントは消さずに残させてもらいますね。

コメントする