アクセスログ解析レポート

サマリー

総リクエスト数

268,991

28日間合計

200 OK (正常)

182,961

全体の 68.0%

404 Not Found

24,785

全体の 9.2%（スキャン多数）

403 Forbidden

18,577

全体の 6.9%（攻撃ブロック）

wp-login.php へのアクセス

12,627

ブルートフォース攻撃

xmlrpc.php へのアクセス

2,825

XMLRPCインターフェース攻撃

総転送量

13.97 GB

全期間合計

Webシェルスキャン検出パス

30+

マルウェア設置試行

日別トラフィック

日別リクエスト数 / wp-login.php 攻撃数

時間帯別・ステータスコード分布

時間帯別リクエスト数（JST）

HTTPステータスコード分布

トップIP・アクセスパス

アクセス数 Top 15 IP アドレス

IP アドレス	分類	リクエスト数
133.175.194.166	管理者 / 内部	8,697
202.224.76.200	ヘビーユーザー	7,673
110.135.141.90	管理者 / 内部	7,131
118.27.100.216	WordPress Cron / 内部	5,859
74.7.243.251	外部クローラー	2,619
74.7.241.9	外部クローラー	2,155
40.113.19.56	Bingbot (Microsoft)	1,615
66.249.73.66	Googlebot	1,294
20.89.235.135	Microsoft/Azure	1,076
66.249.73.67	Googlebot	976
140.245.124.234	⚠ ブルートフォース攻撃	866
161.118.219.168	⚠ ブルートフォース攻撃	866
195.178.110.109	⚠ 不審なアクセス	819
216.73.216.159	⚠ 不審なアクセス	801
45.148.10.247	AhrefsBot	764

アクセス頻度 Top 15 パス

パス	件数
/wp-login.php	12,627
/wp-admin/admin-ajax.php	11,656
/feed/	7,962
/	4,612
/robots.txt	3,653
/wp-content/themes/cocoon/lib/analytics/access.php	3,449
/xmlrpc.php	2,825
/wp-content/themes/cocoon-child/keyframes.css	2,429
/wp-content/themes/cocoon/style.css	2,216
/wp-content/themes/cocoon/keyframes.css	2,211
/wp-content/themes/cocoon/skins/skin-momoon-aqua/style.css	2,203
/wp-content/themes/cocoon/webfonts/fontawesome/css/font-awesome.min.css	2,198
/wp-content/themes/cocoon/webfonts/icomoon/style.css	2,197
/wp-content/themes/cocoon-child/style.css	2,195
/wp-content/plugins/contact-form-7/includes/css/styles.css	2,190

HTTPメソッド・ユーザーエージェント

HTTPメソッド分布

主要ユーザーエージェント Top 10

ユーザーエージェント	件数
Windows Chrome (一般ユーザー)	109,696
空欄 / 未設定	30,672
bingbot/2.0	14,053
Firefox/147.0 (Windows)	9,821
AhrefsBot/7.0	6,826
GPTBot/1.3 (OpenAI)	6,426
Chrome (macOS)	5,695
WordPress/6.9.1 (内部Cron)	4,749
Safari (macOS)	4,552
meta-externalagent (Facebook)	3,467

セキュリティ分析

⚠ 総合評価: 高リスク

このサイトに対して複数の攻撃者による継続的なブルートフォース攻撃・Webシェル設置試行・XMLRPCインターフェースへの攻撃が確認されています。 2月18〜20日にかけて攻撃が急増しており、複数の海外IPから組織的な攻撃が行われた可能性が高いです。現時点では403により多くの攻撃がブロックされていますが、継続的な監視と対策強化が必要です。

HIGH

WordPress ブルートフォース攻撃

12,627件

wp-login.php への不正ログイン試行。2月19日だけで5,410件のアクセスが集中し、月間最大のスパイクを記録。攻撃元IPは全て403でブロックされているが、攻撃は28日間継続している。

攻撃元IP上位: 57.130.20.252 (452回 / 11日間継続)
攻撃元IP: 140.245.124.234 (429回 / 1日集中)
攻撃元IP: 50.6.7.129 (413回 / 10日間継続)
全て403 Forbiddenでブロック済み
ピーク: 2026-02-19 (5,410件/日)

HIGH

Webシェル設置スキャン

30種超のPHPファイルを探索

攻撃者が既知のWebシェルや管理ツールのパスを総当たりでスキャン。hellopress プラグインの既知脆弱性 (wp_filemanager.php) を狙った攻撃が最多。

/wp-content/plugins/hellopress/wp_filemanager.php (210件)
/about.php, /file.php, /info.php, /admin.php (各80〜119件)
/alfa.php, /alfa-rex.php (既知Webシェル)
/shell.php, /x.php, /xx.php, /sx.php
/phpinfo.php, /cgi-bin/
全て404（ファイルは存在しない）

HIGH

XML-RPC インターフェース攻撃

2,825件

xmlrpc.php を悪用したパスワードスプレー攻撃・コンテンツ投稿攻撃の試行。WordPress の XML-RPC を経由すると1リクエストで複数のパスワードを試行できるため、ブルートフォースより効率的な攻撃手段となる。

最多攻撃元: 118.27.100.216 (375件) ※内部IPの可能性
35.77.102.47, 35.78.119.136 (AWS系IP, 各120件超)
ピーク: 2026-02-08 (365件/日)
現状は403でブロック済み

MEDIUM

User-Agent 未設定リクエスト

30,672件

User-Agent が空のリクエストが全体の約11.4%を占める。自動スキャンツール・スクリプトによるアクセスの可能性が高い。正常なブラウザは必ずUA文字列を送信するため、これは異常なトラフィックを示す。

全リクエストの 11.4% が UA 未設定
自動スクリプト・ボットの可能性大
wp-login.php / xmlrpc.php とも相関あり

MEDIUM

不審な大量アクセス IP

202.224.76.200

7,673件のアクセスを記録した外部IP。主に /feed/ へのアクセス（約2分ごとに定期的にアクセス）。自動化されたフィード監視スクリプトと考えられるが、帯域の無駄遣いとなっている。

Mozilla/5.0 Windows Firefox を詐称している可能性
約2分間隔で /feed/ に定期アクセス
レート制限・reCAPTCHA 導入を検討

MEDIUM

wp-admin への多数アクセス

6,380件 (133.175.194.166)

wp-admin ディレクトリへのアクセスが多数確認される。上位2IPは内部管理者の可能性が高いが、1.113.1.233 (412件) など外部からの管理画面アクセス試行も見受けられる。

133.175.194.166: 6,380件（管理者の可能性）
110.135.141.90: 5,060件（管理者の可能性）
1.113.1.233: 412件（外部不審アクセス）

LOW

503 / 507 エラー

465件

503 Service Unavailable が301件、507 Insufficient Storage が164件。攻撃による高負荷でサーバーリソースが枯渇している可能性がある。

503: 301件（サービス一時停止）
507: 164件（ストレージ不足）
攻撃トラフィックとの相関調査が必要

LOW

AIクローラーによる帯域消費

6,426件

OpenAI の GPTBot が6,426件のアクセスを記録。Applebot、meta-externalagent 等も含めると AI・SNS系クローラーによるトラフィックが相当数を占める。

GPTBot/1.3 (OpenAI): 6,426件
ChatGPT-User: 複数件確認
meta-externalagent (Facebook): 3,467件
robots.txt での制御を検討

攻撃タイムライン（wp-login.php / xmlrpc.php）

日別攻撃リクエスト数の推移

ブルートフォース攻撃元 IP 詳細

IP アドレス	wp-login 試行数	継続日数	ステータス	備考
57.130.20.252	452	11日	全件 403 ブロック	長期継続型攻撃
140.245.124.234	429	1日	全件 403 ブロック	集中型攻撃 (2/19)
161.118.219.168	429	1日	全件 403 ブロック	集中型攻撃 (2/19)
50.6.7.129	413	10日	全件 403 ブロック	長期継続型攻撃
208.109.231.205	387	4日	全件 403 ブロック
176.31.224.40	329	7日	全件 403 ブロック
101.0.79.10	286	3日	全件 403 ブロック	xmlrpc 攻撃も実施
129.121.74.194	276	5日	全件 403 ブロック	xmlrpc 攻撃も実施
43.229.86.17	264	6日	全件 403 ブロック	アジア圏IP
50.6.229.148	244	4日	全件 403 ブロック
92.205.230.78	190	4日	全件 403 ブロック	欧州IP
142.93.120.13	188	9日	全件 403 ブロック	DigitalOcean
62.60.130.228	177	4日	一部 301 あり	要注意

推奨対策

wp-login.php へのアクセスをIPホワイトリストで制限する 管理者IP以外からの wp-login.php へのアクセスを .htaccess またはサーバー設定で完全にブロック。攻撃元IPが多岐にわたるため、ホワイトリスト方式が最も効果的。

xmlrpc.php を無効化する 使用していない場合は xmlrpc.php を完全に無効化（deny from all または WP プラグインで無効化）。2,825件の攻撃試行が確認されており、攻撃経路として悪用されるリスクが高い。

攻撃元IPをWAF・ファイアウォールでブロックする 判明している攻撃元IP（57.130.20.252, 50.6.7.129, 208.109.231.205 等）をサーバーレベルでブロック。Fail2Ban 等の自動ブロックツールの導入も推奨。

WordPress 管理画面に二要素認証（2FA）を導入する パスワードが漏洩した場合でもログインを防ぐため、Google Authenticator 等の 2FA プラグインを導入する。Wordfence, WP 2FA などのプラグインが利用可能。

ログインロック機能を強化する Limit Login Attempts Reloaded 等のプラグインでログイン試行回数を制限。5回失敗で一定時間ロックアウトする設定を導入し、ブルートフォースの効率を著しく低下させる。

User-Agent 未設定リクエストのレート制限を実施する UA が空のリクエスト（全体の11.4%）に対してレート制限またはブロックを適用。正常なブラウザは必ずUAを送信するため、空UAは自動スクリプトである可能性が極めて高い。

hellopress プラグインを確認・削除する /wp-content/plugins/hellopress/wp_filemanager.php (210件のスキャン) が標的にされている。このプラグインが不要であれば削除し、使用中であれば最新版へ更新する。

AIクローラーを robots.txt で制御する GPTBot, meta-externalagent 等の AI クローラーが大量のリクエストを送信。robots.txt に Disallow ルールを追加してクロール頻度を制御し、不要な帯域消費を削減する。

WordPress および全プラグインを最新版に更新する ログに WordPress/6.9 が確認されている。既知の脆弱性を修正した最新版へのアップデートを継続的に実施し、プラグインも定期的に更新する。

リアルタイム監視アラートを設定する wp-login.php へのアクセスが一定閾値を超えた際にアラートを発報する仕組みを構築。今回の2/19のような急増（5,410件/日）を早期検知して迅速に対処できる体制を整える。