Pages

Nov 17, 2007

IEMB3 (unknown User agent)

Webサーバ apacheを自宅とレンタルサーバの2カ所で動かしている。久しぶりにログを読むとMozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; IEMB3)という風に最後にIEMB3という謎のトークンが付くログがある。新手のWebクローラーか?Botか?と思って調べてみた。真相はまだ分からないけど分かったことをいくつか。

IEMB3はクローラーじゃない

ログのリファラーを見る限りyahooの検索結果やmixiを経由してWebサーバにアクセスしている。プログラムが自動でアクセスしてる形跡は無い。またRemoteHostも日本のISP中心にばらけている。『普通の人が普通にインターネットを見る』だけでもIEMB3は残るのだ。

IE関連の拡張機能である可能性高い

実はIEMB3が付くパターンはたくさんある。如何に一部を貼り付けた。すべてのUAのリストはHere

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; IEMB3)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; IEMB3; .NET CLR 1.1.4322; .NET CLR 2.0.50727; IEMB3)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; IEMB3; .NET CLR 1.1.4322; IEMB3)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; IEMB3; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; IEMB3)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; IEMB3; .NET CLR 2.0.50727; IEMB3)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; IEMB3; IEMB3)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; IEMB3; IEMB3) Sleipnir/2.5.15
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; IEMB3; InfoPath.1; IEMB3)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1; .NET CLR 1.1.4322; IEMB3; IEMB3)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1; .NET CLR 2.0.50727; IEMB3; .NET CLR 1.1.4322; IEMB3)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; MEGAUPLOAD 1.0; IEMB3; .NET CLR 2.0.50727; IEMB3)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; MEGAUPLOAD 1.0; IEMB3; IEMB3)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Q312461; InfoPath.1; IEMB3; IEMB3)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; InfoPath.1; IEMB3)

まるで一貫性がないのだが

  1. Windows + IE限定
  2. ほとんどがIE7、まれにIE6
  3. ”IEMB3; IEMB3)”のように2度繰り返されることも珍しくない。

というわけで、僕は最近のIEに後から追加される何かではないかと予想している。たとえば特定のウイルス対策ソフトとか。

今に始まったことじゃない

ログが残っている範囲でもっとも古いIEMB3を含んだアクセスは2006/12/27のもの。それ以前のログは捨ててしまっただけなので、それ以前から使用されていた可能性もある。

海外でも同じことが起きている

MSMVPの人のブログにもIEMB3ってなに?という投稿があった。掲示板にもIEMB3に関する質問が出ているのを何カ所か確認した。そして真相は未だ藪の中。

Can you help answer this question? - Spyware Sucks
http://msmvps.com/blogs/spywaresucks/archive/2007/08/07/1093312.aspx

Revisiting the mystery user agent string IEMB3 - Spyware Sucks
http://msmvps.com/blogs/spywaresucks/archive/2007/09/07/1173526.aspx

 

興味があったら皆さんも自分が管理しているWebサーバにIEMB3さんが来ていないかチェックしてみてほしい。

土曜の午前を無駄に使ってしまった。さぁ遊びに行こう。

No comments:

Post a Comment