以前はNortonAntiVirusを使用していましたが、スキャン中はクソ重くて話にならなかったので、2004年くらいから、ウィルスバスターを使用しています。
以前、こんな記事は読んだことがあったので「へぇ~」程度には思っていたのですが。
最近、動作検証用に立てたWebサーバでのこと
Apacheのアクセスログを見ると、自分がアクセスしたページに、なんとなく同じ順序でアクセスを試みたログが多数あることに気がつきました。
CMSの管理用ページで、認証しないとアクセスできない、どのCMSを使っているか解らない限り、知りえないURLへのアクセスです。
その瞬間「ヤバイ」と感じました。
絶対スパイウェアにヤラレてると思いました。
でも、Apacheのアクセスログでは、全てエラーステータスになっています。
スパイウェアなら、キーロガーなんかも仕組まれて、ID/PWも取られているように思えます。
それなのに、認証には成功していない様子。
とりあえず、アクセス元のIPアドレス(2アドレスあった)が何者か調べてみますが、普段使用しているwhoisサービスでは、情報が得られません。
とにかくヤバイと感じていたので{ごにょごにょ}して得た結果
使用者「TRENDMICRO」
え?
今までのサーバでは、そういうログ見たことなかったんだけど・・・
この時点でハッキリしていることは
・アクセス元のIPアドレスはTRENDMICROのもので、使用しているPCにはウィルスバスターが入っている。
・ログに残っているリクエストは、管理画面の認証後でなければ解らないはずのURL。
・自分がブラウザでアクセスした遷移と同じ順で、謎のIPアドレスからのアクセスが発生している。
これは「ウィルスバスターがTRENDMICROのサーバに、ユーザーがアクセスしたURLを送信していて、そのURLにTRENDMICROからもアクセスしている」としか、私には思えませんでした。
でも、ウィルスバスターのインストール時に、ユーザーがアクセスしたURLを送信するなんて注意喚起も見た記憶がありません。
ある意味「ユーザーのプライベート情報なんじゃないの?」と思える事なのに。
で、TRENDMICROの問い合わせ窓口(オンラインチャット)で質問してみました。
その結論として
・ウイルスバスターがインストールされている端末で、オンラインフィッシング詐欺判別機能が有効になっている場合
・ブラウザでアクセスしたURLを御社(TRENDMICRO)に自動的に報告する
・この動作は安全性を評価するためであり、外部への周知は行っていない
この3点について、間違いないとの回答をもらった。
この機能というか、動作について外部に周知しないって・・・どうなの?
この回答をもらうまで、結構話をそらされていた感はあり、どうも意図的に隠しているっぽい。
でも、それって世間一般の評価基準で「スパイウェア」と言うのではないだろうか?
※この現象の再現には、いくつかの条件が必要になってくると思う(想像はついてるけど)
実際、他のサーバではその様なことにはなっていなかった。(と思う)
----
追記(2011/2/16 22:58)
該当サーバは動作確認用に立てたサブドメインのサーバで、少なくともgoogleの検索には載っていませんでした。(立ててからの期間も短いし)
デモデータしか入っていないし、秘密のサーバでもないのでサーバへのアクセス自体は困ることではない。