アクセスログ解析レポート 2026年4月

解析対象: /202604_access/access_log.20260401.gz 〜 access_log.20260430.gz(30ファイル)  |   生成日: 2026-05-10  |   ログ形式: Apache Combined Log Format

目次

  1. サマリー
  2. HTTPステータスコード分布
  3. 日別リクエスト数
  4. 時間帯別リクエスト数
  5. アクセス上位IPアドレス
  6. アクセス上位URL
  7. HTTPメソッド分布
  8. ユーザーエージェント
  9. ボットトラフィック
  10. エラーページ詳細
  11. セキュリティ分析
  12. 対策・推奨事項
📊
サマリー
総リクエスト数
426,470
2026年4月(30日間)
正常応答 (2xx)
252,540
59.2%(200: 250,767 / 206: 1,641 / 304: 132)
リダイレクト (3xx)
107,443
25.2%(301: 68,790 / 302: 38,521 / 304: 132)
クライアントエラー (4xx)
65,501
15.4%(404: 56,714 / 403: 8,091 他)
サーバーエラー (5xx)
1,118
0.3%(500: 111 / 503: 888 / 507: 119)
404エラー
56,714
全体の13.3%
WordPress攻撃リクエスト
154,286
全体の36.2% — wp-login / xmlrpc / wp-admin
ボットトラフィック(推定)
≈43,500
UA識別済みのクローラー合計
UA未設定リクエスト
35,995
自動攻撃ツールの疑い
ピーク日(4/2)
30,933
最少: 7,167件(4/27)
🔢
HTTPステータスコード分布
ステータスコード 説明 件数 割合 バー
200 OK 250,767 58.8%
301 Moved Permanently 68,790 16.1%
404 Not Found 56,714 13.3%
302 Found (Redirect) 38,521 9.0%
403 Forbidden 8,091 1.9%
206 Partial Content 1,641 0.4%
503 Service Unavailable 888 0.2%
405 Method Not Allowed 270 0.06%
499 Client Closed Request 205 0.05%
400 Bad Request 200 0.05%
507 Insufficient Storage 119 0.03%
304 Not Modified 132 0.03%
500 Internal Server Error 111 0.03%
409 Conflict 20 <0.01%
408 Request Timeout 1 <0.01%
📅
日別リクエスト数
2026年4月 日別リクエスト数
4/1 (水)
17,423
4/2 (木) ★
30,933
4/3 (金)
13,797
4/4 (土)
12,893
4/5 (日)
10,738
4/6 (月)
13,545
4/7 (火)
12,552
4/8 (水)
16,918
4/9 (木)
16,590
4/10 (金)
17,444
4/11 (土)
12,074
4/12 (日)
12,191
4/13 (月)
8,738
4/14 (火)
17,060
4/15 (水)
23,375
4/16 (木)
14,377
4/17 (金)
15,364
4/18 (土)
14,580
4/19 (日)
12,101
4/20 (月)
13,354
4/21 (火)
14,004
4/22 (水)
12,947
4/23 (木)
16,477
4/24 (金) ▼
7,803
4/25 (土)
16,261
4/26 (日)
9,333
4/27 (月) ▼
7,167
4/28 (火)
13,109
4/29 (水)
13,022
4/30 (木)
10,300
★ 最多: 4/2 (30,933件) ▼ 最少: 4/27 (7,167件) 日平均: 14,216件
時間帯別リクエスト数(JST)
時間帯分布(全30日合計)
00時
19,022
01時
15,419
02時
17,222
03時
17,498
04時
9,540
05時
13,758
06時
12,160
07時
12,564
08時
13,406
09時
23,005
10時
19,081
11時
20,462
12時
17,906
13時
17,130
14時
16,318
15時
29,497
16時
23,247
17時
18,783
18時
17,663
19時
11,355
20時
17,023
21時
21,377
22時
22,260
23時
20,774
ピーク: 15:00(29,497件) 最少: 04:00(9,540件) ※攻撃トラフィックは24時間均等に分布(自動化の特徴)
🌐
アクセス上位IPアドレス(Top 20)
# IPアドレス リクエスト数 バー(最大比) 備考
1141.98.11.1688,720
⚠ WordPress総当たり攻撃 (141.98.11.x クラスタ)
291.224.92.1208,396
⚠ WordPress総当たり攻撃
3202.224.76.2006,903
フィードクロール(/feed/ 反復)
462.60.130.2106,901
⚠ WordPress総当たり攻撃 (62.60.130.x クラスタ)
5122.222.16.2076,484
要調査
662.60.130.2285,161
⚠ 62.60.130.x クラスタ
7141.98.11.1204,900
⚠ 141.98.11.x クラスタ
8141.98.11.1694,549
⚠ 141.98.11.x クラスタ
945.154.98.784,028
⚠ xmlrpc.php 攻撃特化
1045.135.193.1713,842
要調査
1120.48.232.1783,834
Microsoft Azure IP
12141.98.11.233,801
⚠ 141.98.11.x クラスタ
13147.224.199.2163,626
要調査
14157.245.59.313,347
DigitalOcean IP
1562.60.130.2243,324
⚠ 62.60.130.x クラスタ
1631.57.184.1073,140
要調査
17192.109.200.1013,088
要調査
18124.37.31.1342,905
日本国内IP
19176.227.240.942,799
⚠ xmlrpc.php 攻撃
20140.245.46.1652,312
要調査
攻撃IPクラスタを検出
141.98.11.x(4IP合計: 22,970件)と 62.60.130.x(3IP合計: 15,386件)は同一脅威アクターによる分散攻撃と推測されます。ASN/組織調査を推奨します。
🔗
アクセス上位URL(Top 20)
# URL / パス リクエスト数 評価
1/42,065正常
2/wp-login.php27,080CRITICAL — 総当たり攻撃
3//xmlrpc.php17,223CRITICAL — 攻撃 (二重スラッシュ)
4/wp-admin/index.php12,803HIGH — 不正アクセス試行
5/xmlrpc.php12,644CRITICAL — XML-RPC 攻撃
6/wp-admin/plugins.php9,384HIGH — 不正アクセス試行
7/wp-admin/edit.php9,383HIGH — 不正アクセス試行
8/wp-admin/profile.php9,379HIGH — 不正アクセス試行
9/feed/7,208正常(RSSフィード)
10/wp-admin/admin-ajax.php6,965MEDIUM — 要確認
11/robots.txt4,860正常
12/wp-content/uploads/2021/02/0d40a5e4a645fc6b96e767d64ac0878e.png4,408404エラー(削除済み)
13/wp-content/themes/cocoon-child/keyframes.css?...3,507正常
14/wp-content/plugins/yyi-rinker/css/style.css?...3,192正常
15/wp-content/themes/cocoon/keyframes.css?...3,097正常
16/wp-content/plugins/contact-form-7/css/styles.css?...3,053正常
17/wp-content/themes/cocoon/webfonts/icomoon/style.css?...3,038正常
18/wp-content/themes/cocoon/plugins/highlight-js/highlight.min.js?...3,012正常
19/wp-content/themes/cocoon/style.css?...3,010正常
20/wp-content/themes/cocoon/plugins/baguettebox/...2,985正常
📡
HTTPメソッド分布
メソッド件数割合
GET354,54083.1%
POST59,83314.0%
HEAD11,8862.8%
OPTIONS2110.05%
POST 59,833件のうち、wp-login.phpへのPOSTが約19,582件(全体POST数の32.7%)を占め、クレデンシャルスタッフィング攻撃を示しています。xmlrpc.phpへのPOSTも29,561件確認されています。
🤖
注目ユーザーエージェント
UA(抜粋)件数
⚠ UA未設定(空)35,995
Chrome 146 / Edge 146 (Win10)25,897
Chrome 120 (Win10)16,481
Chrome 147 / Edge 147 (Win10)16,366
Chrome 78 (Win10) ← 旧版11,290
bingbot/2.010,803
Firefox 149 (Win10)7,856
Edge 12.246 (旧版)7,955
curl/8.7.13,003
Go-http-client/2.02,714
🕷️
ボットトラフィック(識別済み)
ボット名リクエスト数分類
bingbot (Microsoft)10,983正規クローラー
Googlebot (全バリアント)4,204正規クローラー
ClaudeBot (Anthropic)3,731AI学習クローラー
AhrefsBot3,188SEOツール
GPTBot (OpenAI)2,655AI学習クローラー
Bytespider (ByteDance)2,802TikTok関連
proximic (Comscore)1,896広告計測
MJ12bot (Majestic)2,170SEOツール
DotBot (Moz)1,332SEOツール
meta-externalagent (Meta)1,161Meta/Facebook
Applebot1,142正規クローラー
ボット合計 ≈ 43,500件 / 全体の約10.2%
bingbot
10,983
Googlebot
4,204
ClaudeBot
3,731
AhrefsBot
3,188
GPTBot
2,655
Bytespider
2,802
MJ12bot
2,170
proximic
1,896
エラーページ詳細
404 Not Found 上位(全56,714件)
URL件数
/wp-login.php19,608
/wp-content/uploads/2021/02/0d40a5e4...4,408
/.well-known/traffic-advice280
/wp-content/plugins/hellopress/wp_filemanager.php202
/app-ads.txt190
/admin.php166
/about.php160
/inputs.php151
/ioxi-o.php150
/info.php144
/chosen.php / /adminfuns.php / etc.各130〜142
/1.php / /aa.php / /edit.php 他多数各100〜130
wp-loginへの19,608件は「ページが存在しない状態でも攻撃が継続」していることを示します。ランダムPHP名(1.php, aa.php, info.php)はWebシェル/バックドア設置確認の典型的パターンです。
500 Internal Server Error(全111件)
URL件数
/wp-config-sample.php70
/wp-comments-post.php37
/wp-config-sample.php?p=4
/wp-config-sample.php へのアクセスで500エラーが発生しています。設定ファイルのサンプルへのアクセスはセキュリティリスクです。アクセス禁止設定を確認してください。
503 Service Unavailable(全888件)
503エラーが888件発生。攻撃トラフィックによるサーバー負荷増大、またはバックエンドの一時的な障害の可能性があります。タイムスタンプと照合し、攻撃ピーク時との相関を確認してください。
🛡️

セキュリティ分析レポート

2026年4月のアクセスログに対する脅威・攻撃パターンの詳細分析

⚔️
検出された攻撃・脅威
1. WordPress ログイン総当たり攻撃(Credential Stuffing / Brute Force)
CRITICAL
攻撃件数: 154,286件(全リクエストの36.2%)
内訳:
  • /wp-login.php への合計リクエスト: 106,268件(GET: 86,686件 / POST: 19,582件)
  • /xmlrpc.php + //xmlrpc.php: 29,943件(POST: 29,561件)— XML-RPC経由の一括認証試行
  • /wp-admin/* 配下: 59,283件(index.php: 12,803件、plugins.php: 9,384件 他)
主要攻撃元IP:
  • 141.98.11.168 / .120 / .169 / .23 — 同一サブネット4IPで計22,970件(分散型攻撃)
  • 62.60.130.210 / .228 / .224 — 同一サブネット3IPで計15,386件
  • 91.224.92.120 — 8,344件(wp-login.php 集中)
  • 45.154.98.78 — 4,004件(xmlrpc.php に特化)
  • 176.227.240.94 — 2,751件(xmlrpc.php)
特徴: 複数IPからの分散攻撃は、ボットネット利用または複数VPSからの攻撃を示唆。wp-login.phpが404を返しても攻撃が継続していることから、攻撃ツールはエラーを無視して継続する設定になっています。
2. 環境設定ファイル(.env)大量スキャン
CRITICAL
攻撃件数: 1,687件
主要攻撃元IP:
  • 185.177.72.38 — 611件(最多)
  • 185.177.72.50 — 175件
  • 185.177.72.70 / .52 / .49 — 各23〜26件(185.177.72.x サブネット集中)
  • 104.23.239.x — 複数IPで各25〜34件(Cloudflare IP帯)
探索パス例:
  • /.env, /.env.local, /.env.production, /.env.backup
  • /%252fwww%252f%252eenv(ダブルエンコード回避試行)
  • /%252fwp-config%252ephp
リスク: .envファイルにはデータベース認証情報・APIキー・シークレットキー等が含まれることが多く、漏洩した場合は完全な侵害につながります。ダブルエンコードによるWAF回避試行も検出されています。
3. パストラバーサル攻撃(ディレクトリトラバーサル / LFI)
HIGH
攻撃件数: 88件
検出パターン:
  • /?template=....//....//....//....//etc/passwd — 複数パラメータ名で試行(template / src / path / page / doc)
  • /wp-content/plugins/wp-file-upload/wfu_file_downloader.php?file=../../../wp-config.php — プラグイン脆弱性悪用(CVE既知)
  • /?__kubio-site-edit-iframe-classic-template=../../../../wp-config.php — Kubio Builder プラグイン脆弱性
  • /%252fwp-config%252ephp — ダブルエンコード
狙われたターゲット: /etc/passwd(OSユーザー情報)、wp-config.php(WordPressDB認証情報)
4. Webシェル/バックドア設置確認スキャン
HIGH
攻撃件数: 数百件(404を返す汎用PHP名への大量リクエスト)
検出URL例:
  • /1.php, /aa.php, /info.php, /admin.php, /file.php
  • /chosen.php, /adminfuns.php, /classwithtostring.php
  • /ioxi-o.php(ランダム文字列 — カスタムWebシェル確認)
  • /wp-content/plugins/hellopress/wp_filemanager.php(ファイルマネージャープラグイン悪用)
意味: これらのランダム・汎用PHP名へのアクセスは、事前に別の手段でWebシェルを設置した攻撃者がその所在を確認しているパターン、または複数サイトに仕掛けた既知Webシェルを一括スキャンしているパターンを示します。
5. 機密ファイルへの直接アクセス試行
HIGH
攻撃件数: 合計2,053件
対象ファイル件数リスク
.env 系1,687DBパスワード・APIキー漏洩
wp-config.php 系392WordPressDB認証情報漏洩
phpinfo.php 系311サーバー情報漏洩
/etc/passwd(パストラバーサル)10OSユーザー情報漏洩
wp-config-sample.php へのアクセスで500エラーが70件発生しており、サーバー内部エラーが露呈しています。
6. XSSファジング(SVG/confirm()インジェクション)
MEDIUM
攻撃件数: 5件(URLエンコードされたペイロードを数百のGETパラメータに同時注入)
攻撃元IP: 156.146.60.70, 156.146.60.160, 135.136.23.214, 135.136.23.188, 103.159.255.205
ペイロード例: %3Csvg%20onload%3Dconfirm%28...%29%3E(<svg onload=confirm(...)> のエンコード)
評価: 自動化ツールによる網羅的なパラメータスキャン。反射型XSSの探索が目的。件数は少ないが、成功した場合のリスクは高い。
7. OS/シェルコマンドインジェクション試行
MEDIUM
攻撃件数: 7件
検出URL: /wp-json/wp/v2/posts?cmd=system(6件)
WordPress REST APIにcmdパラメータを付加し、PHP system()関数の呼び出しを試みるもの。WordPress REST APIがPHPコードを直接実行しないため影響は限定的ですが、バックエンドの別コンポーネントへの攻撃の可能性もあります。
8. UA未設定リクエスト(自動攻撃ツール)
MEDIUM
件数: 35,995件(全体の8.4%)
User-Agentが空("-")のリクエストは、標準のブラウザや正規クローラーからは発生しません。カスタム攻撃スクリプト・スキャンツール・不正なHTTPクライアントからの送信を強く示唆します。このトラフィックの遮断だけで約36,000件のリクエスト削減が可能です。
9. 旧バージョンUA使用(なりすましの疑い)
LOW
検出:
  • Chrome 78(2019年リリース): 11,290件 — 現在は116+が一般的
  • Edge 12.246: 7,955件 — EdgeHTML時代の非常に古いバージョン
正規ユーザーがこれほど古いブラウザを使用している可能性は低く、スキャンツールが古いUAを偽装しているか、または既知ツールのデフォルトUAを使用していると判断されます。
10. Log4j(Log4Shell)攻撃 — 未検出
INFO
${jndi: および ${env: パターンは0件。Log4j攻撃は検出されませんでした。
また、sqlmap・nikto・nmap等の有名スキャナーツールのUAも0件。攻撃者はブラウザ風UAを使用してツール検出を回避しています。
🎯
主要攻撃元IPリスト(セキュリティ関連)
WordPress 総当たり攻撃
IP件数主な攻撃先
141.98.11.1688,352/wp-login.php
91.224.92.1208,344/wp-login.php
62.60.130.2106,878/wp-login.php
141.98.11.120~4,900/wp-login.php
45.154.98.784,004/xmlrpc.php
176.227.240.942,751/xmlrpc.php
.env・機密ファイルスキャン
IP件数主な攻撃
185.177.72.38846.env(611) + パストラバーサル
185.177.72.50230.env スキャン
104.23.239.14134.env スキャン
104.23.239.4828.env スキャン
45.88.138.4418パストラバーサル(10)
93.123.109.21427機密ファイル探索
セキュリティ対策・推奨事項
1. WordPress ログイン保護の強化
最優先
  • wp-login.php を別URLに変更(WPS Hide Login 等)
  • XML-RPC を完全無効化(利用していない場合)
  • ログイン試行制限プラグイン導入(Limit Login Attempts Reloaded 等)
  • 二要素認証(2FA)の必須化
  • CAPTCHA の実装
  • wp-admin/ を特定IPのみ許可(.htaccess/Nginx設定)
2. 攻撃元IPのブロック
最優先
以下のIPレンジを即時ブロック推奨:
141.98.11.0/24 — WordPress総当たり攻撃クラスタ
62.60.130.0/24 — WordPress総当たり攻撃クラスタ
185.177.72.0/24 — .env大量スキャン
91.224.92.120 — 単体で8,344件
45.154.98.78 — xmlrpc.php 4,004件
WAF・Cloudflare・.htaccess/Nginx で実施。
3. 機密ファイルへのアクセス制限
最優先
Nginxまたは.htaccessで以下をブロック:
.env, .env.* — 全ての環境設定ファイル
wp-config.php, wp-config-sample.php
phpinfo.php, *.php.bak, *.php.old
.git/ ディレクトリ(存在する場合)
Webルート外への配置も検討してください。
4. WAF(Webアプリケーションファイアウォール)導入
HIGH
Cloudflare WAF または AWS WAF による以下のルール適用:
  • User-Agent が空のリクエストをブロック(35,995件削減可能)
  • パストラバーサルパターン(../、%2e%2e)の検出・ブロック
  • XSSペイロードパターンのブロック
  • レート制限(同一IPからの過剰リクエスト)
  • 既知悪意IPリスト(Threat Intelligence)の適用
5. WordPressプラグインの脆弱性対策
HIGH
ログで攻撃対象として確認されたプラグインを確認:
  • wp-file-upload — パストラバーサル悪用(CVE既知)→ 最新版更新または削除
  • kubio — wp-config.php読み取り試行 → 更新確認
  • hellopress(wp_filemanager.php)→ 使用中か確認し不要なら削除
  • 全プラグイン・テーマの定期アップデート実施
6. ログ監視・アラートの自動化
MEDIUM
以下の条件でリアルタイムアラートを設定:
  • 同一IPからのwp-login.php POST が5分間に10件以上
  • .envや wp-config へのアクセス(1件でも)
  • パストラバーサルパターンの検出
  • 503エラーの急増(DDoS兆候)
  • 500エラーの急増(攻撃成功の可能性)
Fail2ban + ELK Stack または Cloudflare Analytics の活用を推奨。
7. XMLRPCの無効化
HIGH
xmlrpc.php への攻撃が29,943件確認されています。JetpackやWordPress.comとの同期に使用していない場合、XML-RPCを完全に無効化することを強く推奨します。

.htaccess または functions.php に追加:
add_filter('xmlrpc_enabled', '__return_false');

または Nginx で直接ブロック。
8. セキュリティヘッダーの実装
MEDIUM
XSS攻撃への追加防御として以下のHTTPヘッダーを実装:
  • Content-Security-Policy — スクリプト実行元の制限
  • X-Frame-Options: DENY — クリックジャッキング防止
  • X-Content-Type-Options: nosniff
  • Referrer-Policy: strict-origin-when-cross-origin
  • Strict-Transport-Security (HSTS)
📋
総合リスク評価
総合リスク: 高(HIGH)
2026年4月の30日間で、全リクエストの36.2%(154,286件)がWordPress関連の攻撃トラフィックでした。.env/wp-config等の機密ファイルスキャンが2,053件、パストラバーサルが88件確認されています。現時点での侵害成功の証拠(Webシェルの200応答・機密ファイルの正常取得)はログ上では確認されていませんが、攻撃の規模・多様性・継続性から、継続的な標的型攻撃を受けていると判断されます。早急な対策実施を推奨します。
良好な点
Log4Shell(Log4j)攻撃の試みは0件。既知スキャナーツール(sqlmap、nikto)のUAは未検出。503/500エラーは低水準(0.3%)でサーバーは安定稼働中。wp-loginが404を返していることから、ログイン保護の一部は実装済みと推測されます。