アクセスログ解析レポート

総エラー件数

2,259

30日間の全ログエントリ

ユニークIP数

129

アクセス元の異なるクライアント

最多エラー日

4/15

228件 (AH01276)

不審リクエスト

binance.com リファラー + Akismet不正アクセス

エラー種別数

AH01276 / AH01630

1日平均エラー

75.3

2,259 ÷ 30日

セキュリティアラート

⚠️

不審なリファラー "binance.com" — 55件

複数のIPから referer: binance.com を付加したリクエストが55件検出されました。送信元はすべてドイツ・オランダ等のホスティングサーバー (62.171.x.x / 31.220.x.x / 206.189.x.x 等) です。ディレクトリリスティングを試みるスキャン行為の疑いがあります。

🚫

Akismetプラグインへの不正アクセス試行 — 6件 (AH01630)

/wp-content/plugins/akismet/ に対してサーバー設定でアクセス拒否されたリクエストが6件記録されました。 4月4日・16日・19日・25日・28日に発生。送信元: 146.70.x.x, 94.198.x.x, 169.150.x.x, 149.88.x.x, 89.117.x.x。プラグインディレクトリの直接探索を目的とした自動スキャナーと推定されます。

🔍

大量スキャン IP — 20.48.232.178 (186件)

1IPから186件と突出したアクセスが確認されました (Microsoft Azure: 20.48.x.x)。 wp-admin・wp-includes 配下のサブディレクトリを網羅的にスキャンしており、WordPress構造の探索目的と考えられます。

日別エラー件数推移

エラーコード分布

エラーコード	モジュール	件数	説明
AH01276	autoindex	2,253	ディレクトリインデックス提供不可
AH01630	authz_core	6	サーバー設定によるアクセス拒否

アクセス上位ディレクトリ Top 10

アクセス上位クライアント IP Top 20

#	IP アドレス	件数	割合	備考

アクセス上位ディレクトリ Top 20 (詳細)

#	ディレクトリパス	件数	割合

セキュリティ分析

#	脅威タイプ	リスク	件数	関与IP数	期間
1	WordPress ディレクトリ列挙スキャン	CRITICAL	2,253	129	4/1 〜 4/30 (継続)
2	組織的協調スキャン (85.203.x.x グループ)	HIGH	450	4	4/4, 4/6, 4/15, 4/29
3	Akismet プラグインディレクトリへの不正アクセス試行	HIGH	6	6	4/4, 4/16, 4/19, 4/25, 4/28
4	スパムリファラー "binance.com" によるリファラー汚染	MEDIUM	55	5	4/4 〜 4/29 (断続)
5	長期低頻度スキャン (23.101.4.52)	MEDIUM	28	1	17日間にわたり継続
6	Azure クラウド発スキャナー群	MEDIUM	588	10+	4/1 〜 4/30 (断続)

CRITICAL

WordPress ディレクトリ構造の網羅的列挙スキャン

全エラーの 99.7% (2,253件) が AH01276（autoindex:error）です。これは攻撃者が WordPress の標準ディレクトリ構造（wp-admin / wp-includes / wp-content）を インデックスなしで直接ブラウズ しようとしたことを示します。アクセス対象は wp-includes (1,342件 / 59.4%)、wp-admin (582件 / 25.8%)、wp-content (326件 / 14.5%) の順に多く、プラグイン・テーマ・ライブラリのバージョン情報やファイル構成を外部から把握するための 情報収集フェーズ と判断されます。

サーバー設定（Options -Indexes）によりディレクトリリスティングは すべて遮断済み であり、現時点でファイル内容は漏洩していません。しかし攻撃者は対象ディレクトリの存在確認と WordPress バージョン推定を目的としている可能性があり、後続の脆弱性スキャンや認証試行のための踏み台となるリスクがあります。

アクセス集中ディレクトリ（上位5）
119件 — wp-content/uploads/ ← アップロードファイルへの直接列挙試行
88件 — wp-admin/css/           ← 管理画面スタイルシート探索
75件 — wp-admin/images/          ← 管理画面リソース探索
62件 — wp-includes/PHPMailer/        ← メールライブラリのバージョン特定試行
58件 — wp-includes/ID3/           ← メディア処理ライブラリ探索

HIGH

組織的協調スキャン — 85.203.x.x グループ（合計 450 件）

同一 /16 サブネット (85.203.21.x / 85.203.23.x) に属する 4つの IP が、それぞれ異なる日に単独で 100件以上の集中スキャンを実施しています。 4/4・4/6・4/15・4/29 に各 100〜122 件が発生しており、約2週間ごとにローテーションしながら同一サブネット内の別 IP を使い分ける 典型的なボットネット・VPN ローテーション攻撃のパターンです。

各スキャン日は 1 IP が 1日で全スキャンを完遂しており、同一インフラが IP を切り替えながら継続的に偵察活動を行っている蓋然性が高い状態です。

攻撃タイムライン
2026-04-04 85.203.23.171 105件スキャン
2026-04-06 85.203.21.14 105件スキャン
2026-04-15 85.203.23.119 118件スキャン ← 月間最多エラー日と重複
2026-04-29 85.203.21.98 122件スキャン
→ 同一 /16 サブネット 85.203.0.0/16 からの計画的 IP ローテーション

HIGH

Akismet プラグインへの直接アクセス試行 — AH01630 (6件)

6つの異なる IP が /wp-content/plugins/akismet/ ディレクトリへの直接アクセスを試み、サーバー設定により 全件遮断 (AH01630) されています。注目すべき点は、すべてのアクセスが 深夜〜早朝 (00:14 / 02:57 / 03:14 / 03:44 / 08:54 / 09:05) に発生しており、自動化されたスキャンツールの稼働パターンと一致します。

Akismet ディレクトリを直接探索する行為は、インストール済みプラグインの列挙（プラグインフィンガープリンティング）の一環です。プラグインのバージョンが判明すれば、既知の脆弱性 (CVE) と突合することで標的型攻撃へ発展するリスクがあります。

アクセス試行ログ (6件全件)
2026-04-04 00:14 146.70.178.252 AH01630 DENIED
2026-04-16 02:57 94.198.40.124    AH01630 DENIED
2026-04-16 09:05 146.70.160.238 AH01630 DENIED ← 同 /16 から2回目
2026-04-19 03:44 169.150.201.132 AH01630 DENIED
2026-04-25 08:54 149.88.19.85    AH01630 DENIED
2026-04-28 03:14 89.117.104.8     AH01630 DENIED

MEDIUM

スパムリファラー "binance.com" によるリファラー汚染攻撃（55件）

ドイツ・オランダ系ホスティング（62.171.x.x / 31.220.x.x / 206.189.x.x / 167.86.x.x / 164.68.x.x）の 5つの IP から、HTTP リファラーに "binance.com" を偽装 したリクエストが55件送信されています。アクセス先はいずれも wp-admin/css/ 配下で一定しており、リファラースパムによる アクセス解析ツールの汚染 を目的とした SEO スパム行為または、リファラーを信頼した場合にのみ表示されるコンテンツの探索を狙ったものと考えられます。

直接的な侵害リスクは低いものの、アクセスログを汚染することで 正常なログ分析を妨害 する副次的効果があります。また信頼されたブランド名（Binance）を利用することで、ログ監視ツールによる自動検知を回避しようとする意図も読み取れます。

送信元 IP (5件 / binance.com リファラー)
62.171.154.215 / 31.220.83.198 / 206.189.133.174 / 167.86.102.235 / 164.68.113.198
すべてドイツ・オランダ系 VPS / ホスティングサーバー

MEDIUM

長期低頻度ステルススキャン — 23.101.4.52（17日間 / 28件）

IP 23.101.4.52 は 4月を通じて 17の異なる日付 に渡り断続的にアクセスを継続しています（4/1〜4/11 に毎日、その後も断続的に 4/28 まで継続）。 1回あたりのアクセス件数は極めて少なく（1〜3件/日）、レートリミットや IDS による検知を意図的に回避 する「低速スキャン (Low-and-Slow Scan)」手法の典型例です。

単発のスキャナーとは異なり、このパターンは 特定サイトを継続的に監視・偵察している持続的脅威 (APT的挙動) を示唆します。サイト構成の変化追跡や、新たな脆弱性が公開された際に即座に攻撃を開始するためのウォームアップである可能性があります。

活動日数: 17日間（月間30日中の56.7%）
活動日 → 4/1, 4/2, 4/3, 4/4, 4/5, 4/6, 4/7, 4/8, 4/9, 4/10, 4/11, 4/13, 4/23, 4/24, 4/26, 4/27, 4/28

MEDIUM

Azure クラウド発スキャナー群（10+ IP / 588件）

Microsoft Azure の IP 帯域 (20.x.x.x / 4.x.x.x) から複数の IP が断続的にスキャンを実施しています。これらは Azure 上でホストされたスキャンサービス・ボット・クラウドベースの攻撃インフラである可能性が高く、正規の Azure サービスから発信されているため 通常のジオブロッキングでは検知・遮断しにくい 特徴があります。

Azure 発スキャナー上位 IP
186件 — 20.48.232.178 (最大) ← 9日間連続スキャン
74件 — 20.63.4.189
56件 — 20.220.161.65
56件 — 20.151.131.235
55件 — 4.193.168.228
54件 — 20.151.229.110
51件 — 20.194.4.154
→ Azure ASN (AS8075) 単一組織から 500件超の攻撃トラフィック

時間帯別アクセス分析

24時間ヒートマップ — エラー件数分布（JST）

ピーク: 15時台 (364件)、07時台 (208件)、20時台 (167件)。深夜帯 (00〜04時) に 403件 (17.8%) が集中しており、自動化ツールによる夜間スキャンが常態化しています。

週別エラー件数トレンド

Week1 (4/1〜7) が 673件 と最多。月後半 (Week3〜4) も高水準を維持。攻撃活動は月を通じて 減衰せず継続 しており、一過性のスキャンではなく持続的な標的選定が示唆されます。

推奨対策

即時対応緊急度の高い対策

🚫
85.203.0.0/16 サブネットの遮断
同サブネット 4 IP から合計 450 件の組織的スキャン。.htaccess または WAF で /16 単位でブロック推奨。
🚫
Akismet 試行 IP の永続ブロック
146.70.x.x / 94.198.x.x / 169.150.x.x / 149.88.x.x / 89.117.x.x を fail2ban または .htaccess で遮断。
🔐
wp-admin へのアクセス制限強化
wp-admin/ を固定 IP または Basic 認証で保護。管理画面への不正アクセス試行を根本的に遮断。
🔐
wp-content/plugins/ の直接アクセス禁止
.htaccess に deny from all を追加しプラグインディレクトリへの HTTP アクセスを全遮断。

中期対応継続的な防御強化

🛡️
fail2ban による自動ブロックルール追加
AH01276 が同一 IP から 10件/分を超えた場合に自動的に一時ブロックするルールを設定。
🛡️
WAF / Cloudflare によるボット対策
Azure ASN (AS8075) のデータセンター発トラフィックに対してチャレンジ設定。低速スキャンにも有効なレート制限を実装。
📋
不審リファラーのフィルタリング
binance.com / 関係ないドメインをリファラーとするリクエストを 403 で拒否し、ログ汚染を防止。
📋
WordPress バージョン・プラグイン情報の隠蔽
readme.html 削除、wp-includes のバージョン情報露出を防ぐ。PHPMailer / ID3 等のライブラリバージョンが外部から推測されないよう措置。
📈
定期的なログ監視の自動化
23.101.4.52 のような低速スキャンは手動確認では見逃しやすい。月次でユニーク IP の活動日数を集計する定期分析を実施。