アクセスログ解析レポート

サマリー
HTTPステータスコード分布
日別リクエスト数
時間帯別リクエスト数
アクセス上位IPアドレス
アクセス上位URL
HTTPメソッド分布
ユーザーエージェント
ボットトラフィック
エラーページ詳細
セキュリティ分析
対策・推奨事項

📊

サマリー

総リクエスト数

429,751

2026年5月（31日間）※4/30分含む

正常応答 (2xx)

273,857

63.7%（200: 272,781 / 206: 1,075 / 201: 1）

リダイレクト (3xx)

86,113

20.0%（301: 41,283 / 302: 44,544 / 304: 286）

クライアントエラー (4xx)

60,730

14.1%（404: 44,767 / 403: 14,983 他）

サーバーエラー (5xx) ⚠

9,051

2.1%（503: 7,228 / 507: 1,787 / 500: 36）— 前月比 +710%

404エラー

44,767

全体の10.4%

WordPress攻撃リクエスト

152,684

全体の35.5% — wp-login / xmlrpc / wp-admin

ボットトラフィック（推定）

≈43,000

UA識別済みのクローラー合計

UA未設定リクエスト

16,286

自動攻撃ツールの疑い

ピーク日（5/6）

29,238

最少: 5,740件（5/16）日平均: 13,493件

⚠ 5xxエラーが前月比約8倍に急増

503 Service Unavailable が4月の888件から7,228件（+714%）、507 Insufficient Storage が119件から1,787件（+1,401%）に急増しました。5/6のピーク日には503エラーが3,749件集中しており、スキャンツールによるサーバー高負荷が原因と推測されます。

🔢

HTTPステータスコード分布

ステータスコード	説明	件数	割合
200	OK	272,781	63.5%
302	Found (Redirect)	44,544	10.4%
404	Not Found	44,767	10.4%
301	Moved Permanently	41,283	9.6%
403	Forbidden	14,983	3.5%
503	Service Unavailable ⚠	7,228	1.7%
507	Insufficient Storage ⚠	1,787	0.4%
206	Partial Content	1,075	0.25%
304	Not Modified	286	0.07%
400	Bad Request	323	0.08%
401	Unauthorized	261	0.06%
499	Client Closed Request	207	0.05%
405	Method Not Allowed	160	0.04%
500	Internal Server Error	36	0.01%
409	Conflict	21	<0.01%
408	Request Timeout	8	<0.01%
201	Created	1	<0.01%

📅

日別リクエスト数

2026年5月日別リクエスト数

4/30 (木)※

11,470

5/1 (金)

6,171

5/2 (土)

6,237

5/3 (日)

7,805

5/4 (月)

12,299

5/5 (火)

13,203

5/6 (水) ★

29,238

5/7 (木)

8,440

5/8 (金)

8,992

5/9 (土)

7,558

5/10 (日)

7,492

5/11 (月)

17,420

5/12 (火)

13,871

5/13 (水)

16,994

5/14 (木)

17,635

5/15 (金)

14,695

5/16 (土) ▼

5,740

5/17 (日)

12,984

5/18 (月)

11,879

5/19 (火)

12,980

5/20 (水)

24,606

5/21 (木)

19,159

5/22 (金)

15,579

5/23 (土)

16,588

5/24 (日)

10,198

5/25 (月)

17,044

5/26 (火)

19,210

5/27 (水)

19,130

5/28 (木)

21,125

5/29 (金)

14,569

5/30 (土)

7,669

5/31 (日)

1,771

★ 最多: 5/6 (29,238件) ▼ 最少: 5/16 (5,740件) 5月日平均: 13,493件 ※ 4/30分は access_log.20260501.gz に含まれる

⚠ 5/6 ピーク: 122.222.16.207（12,827件）と 124.37.31.134（8,019件）が集中攻撃。503エラーが当日 3,749件発生。

⏰

時間帯別リクエスト数（JST）

時間帯分布（全31日合計）

00時

22,066

01時

18,679

02時

10,263

03時

13,923

04時

14,978

05時

10,659

06時

9,694

07時

9,729

08時

22,203

09時

18,598

10時

20,051

11時

20,496

12時

20,787

13時

32,861

14時

21,626

15時

23,075

16時

20,240

17時

21,780

18時

15,822

19時

12,208

20時

11,840

21時

18,149

22時

24,920

23時

15,104

ピーク: 13:00（32,861件）最少: 06:00（9,694件） ※攻撃トラフィックは24時間均等に分布（自動化の特徴）。13時のスパイクは5/6の集中攻撃に起因。

🌐

アクセス上位IPアドレス（Top 20）

#	IPアドレス	リクエスト数	備考
1	124.37.31.134	18,756	⚠ Gobuster(7,268) + Nuclei(206) + PUT/DELETE — 総合スキャン攻撃
2	122.222.16.207	15,442	⚠ DEBUG(595) + WP攻撃 — 5/6に12,827件集中
3	94.26.106.90	8,530	⚠ WordPress総当たり攻撃（wp-login/xmlrpc: 8,499件）
4	192.109.200.101	7,718	⚠ WordPress総当たり攻撃（wp-login/xmlrpc: 7,665件）
5	31.57.184.107	6,793	⚠ WordPress総当たり攻撃（wp-login/xmlrpc: 6,703件）
6	202.224.76.200	5,743	フィードクロール（/feed/ 反復、全件200 OK）
7	34.106.168.218	5,678	⚠ WordPress攻撃（//xmlrpc.php 二重スラッシュ: 5,672件）
8	172.81.130.94	5,541	⚠ WordPress総当たり攻撃（wp-login/xmlrpc: 5,513件）
9	213.35.119.9	4,224	⚠ WordPress攻撃（wp-login/xmlrpc: 4,207件）
10	62.60.130.227	3,611	⚠ WordPress攻撃（62.60.130.x クラスタ）
11	62.60.130.210	3,607	⚠ WordPress攻撃（62.60.130.x クラスタ）
12	165.232.169.87	3,092	⚠ WordPress攻撃（DigitalOcean IP）
13	167.71.219.49	3,089	⚠ WordPress攻撃（DigitalOcean IP）
14	104.248.148.122	3,080	⚠ WordPress攻撃（DigitalOcean IP）
15	94.26.106.23	2,928	⚠ WordPress攻撃（94.26.106.x クラスタ）
16	118.27.100.216	2,827	要調査（日本国内IP）
17	81.92.219.110	2,771	⚠ WordPress攻撃
18	195.178.110.33	2,536	要調査
19	66.249.65.167	2,514	Googlebot（正規クローラー）
20	176.65.132.166	2,232	要調査

今月の最大脅威: 124.37.31.134（日本国内IP）

gobuster 3.8.2（7,268件）、Nuclei スキャン（206件）、Nmap NSE（PROPFIND: 6件）、PUT/DELETE メソッド（Elasticsearch・CouchDB・Tomcat等を標的）を組み合わせた高度な総合スキャン攻撃を実行。パストラバーサル（105件）や .env スキャンも確認。

攻撃IPクラスタを検出

94.26.106.x（2IP合計: 11,458件）、62.60.130.x（2IP合計: 7,218件）、165〜167.71.x DigitalOcean群（3IP合計: 9,261件）は同一脅威アクターによる分散型WordPress攻撃と推測されます。

🔗

アクセス上位URL（Top 20）

#	URL / パス	リクエスト数	評価
1	/	48,888	正常（トップページ）
2	/xmlrpc.php	21,393	CRITICAL — XML-RPC 攻撃
3	/wp-login.php	18,935	CRITICAL — 総当たり攻撃
4	/wp-admin/index.php	16,607	HIGH — 不正アクセス試行
5	//xmlrpc.php	14,510	CRITICAL — XML-RPC 攻撃（二重スラッシュ）
6	/wp-admin/edit.php	10,174	HIGH — 不正アクセス試行
7	/wp-admin/plugins.php	10,172	HIGH — 不正アクセス試行
8	/wp-admin/profile.php	10,169	HIGH — 不正アクセス試行
9	/feed/	5,986	正常（RSSフィード）
10	/wp-content/uploads/2021/02/0d40a5e4...png	5,432	404エラー（削除済みリソース）
11	/robots.txt	5,081	正常
12	/wp-content/themes/cocoon-child/keyframes.css?...	2,543	正常
13	/wp-content/themes/cocoon/webfonts/fontawesome/...	2,432	正常
14	/wp-content/themes/cocoon/webfonts/icomoon/...	2,431	正常
15	/wp-content/themes/cocoon/images/site-icon32x32.png	2,290	正常
16	/wp-content/themes/cocoon-child/style.css?...	2,142	正常
17	/wp-content/themes/cocoon/webfonts/icomoon/style.css?...	2,139	正常
18	/wp-content/themes/cocoon/style.css?...	2,130	正常
19	/wp-content/themes/cocoon/webfonts/fontawesome/css/...	2,123	正常
20	/wp-admin/admin-ajax.php	— ※	MEDIUM — 要確認

※ 上記以外に /wp-admin/admin-ajax.php が主要攻撃IPから多数リクエストされています（詳細はセキュリティ分析を参照）。

📡

HTTPメソッド分布

メソッド	件数	割合
GET	369,334	85.9%
POST	56,365	13.1%
HEAD	3,026	0.7%
DEBUG	732	0.17% ⚠
OPTIONS	244	0.06%
PUT	32	0.01% ⚠
DELETE	7	<0.01% ⚠
PROPFIND	6	<0.01% ⚠
PATCH	3	<0.01%
YOIL / KVHE	2	<0.01% ⚠

危険なHTTPメソッドを検出

DEBUG（732件）: 122.222.16.207（595件）と 124.37.31.134（137件）による IIS Short Name 脆弱性（CVE-2010-2730）探索。/*~1*/a.aspx パターンで8.3形式ファイル名を列挙。
PUT/DELETE（39件）: 124.37.31.134 による Elasticsearch（_snapshot）、CouchDB（_users）、Tomcat（poc.jsp）等へのエクスプロイト試行。
PROPFIND（6件）: Nmap NSE による WebDAV 調査。
YOIL/KVHE: 不明な異常メソッド（スキャナーのプローブ）。

🤖

注目ユーザーエージェント

UA（抜粋）	件数
Chrome 148 / Edge 148 (Win10) — 最新版	29,085
Chrome 148 (Win10)	25,569
⚠ UA未設定（空）	16,286
Chrome 119 / Edge 119 (Win10) ← 旧版	13,414
Chrome 95 (Win10) ← 旧版	10,565
Chrome 120 (Win10) ← 旧版	10,516
Chrome 147 / Edge 147 (Win10)	10,354
bingbot/2.0	7,937
⚠ gobuster/3.8.2	7,268
Go-http-client/2.0	2,974
Nmap Scripting Engine	56
python-requests (各バージョン)	76
curl (各バージョン)	40

gobuster/3.8.2 が 7,268件のディレクトリ・ファイルスキャンを実行（124.37.31.134 から）。Nmap NSE（56件）も同一IPから検出。UA偽装型攻撃ツール（Go-http-client: 2,974件）も多数。

🕷️

ボットトラフィック（識別済み）

ボット名	リクエスト数	分類
bingbot (Microsoft)	7,937	正規クローラー
Bytespider (ByteDance)	4,808	TikTok関連
AhrefsBot	3,807	SEOツール
ClaudeBot (Anthropic)	4,031	AI学習クローラー
GPTBot (OpenAI)	2,730	AI学習クローラー
proximic (Comscore)	2,093	広告計測
Applebot	2,088	正規クローラー
Googlebot-Image	1,943	正規クローラー
Googlebot (全バリアント)	4,280	正規クローラー
meta-externalagent (Meta)	1,707	Meta/Facebook
MJ12bot (Majestic)	1,625	SEOツール
ChatGPT-User (OpenAI)	1,084	AI エージェント
SiteCrawler (security-blog-it)	954	自サイトクローラー？
TikTokSpider	877	TikTok関連
SemrushBot	876	SEOツール
Amazonbot	842	Amazon関連

ボット合計 ≈ 43,000件 / 全体の約10.0%

bingbot

7,937

Googlebot

4,280

ClaudeBot

4,031

Bytespider

4,808

AhrefsBot

3,807

GPTBot

2,730

proximic

2,093

Applebot

2,088

⚠ SiteCrawler/1.0 (+https://security-blog-it.com/) が 954件。自サイトを参照しているクローラーで、wp-login.phpを多数参照しているリファラーパターンとも一致。要調査。

❌

エラーページ詳細

404 Not Found 上位（全44,767件）

URL	件数
/wp-login.php	13,030
/wp-content/uploads/2021/02/0d40a5e4...png	5,418
/.well-known/traffic-advice	315
/app-ads.txt	254
/wp-content/plugins/fix/up.php	91
/wp-content/themes/seotheme/db.php?u	90
/info.php	82
/classwithtostring.php	76
/admin.php	74
/?author=2〜5 （ユーザー列挙）	各65〜74
/ioxi-o.php / /inputs.php / /file.php	各65
/wp-content/plugins/hellopress/wp_filemanager.php	73

wp-login.php への 13,030件の404は「ページが存在しない状態でも攻撃が継続」していることを示します。/wp-content/themes/seotheme/db.php はSEOTheme プラグインの既知脆弱性（SQLインジェクション）。/?author=N パターンはWordPressユーザー名列挙攻撃。

403 Forbidden 上位（全14,983件）

URL	件数
/wp-login.php	4,980
/	101
/wp-admin/css/	100
/wp-content/uploads/	74
/wp-admin/css/colors/ectoplasm/	66
/wp-includes/images/	59
/wp-includes/html-api/	54
/wp-admin/admin-ajax.php	53
/wp-mail.php	42
/wp-content/debug.log	33
/phpinfo.php.bak	31

503 Service Unavailable（全7,228件） ⚠ 前月比+714%

5xxエラー急増 — サーバー高負荷の証拠

503の主な発生先: /(224件), /wp-admin/index.php(196件), /wp-login.php(125件), /xmlrpc.php(82件), /nuclei.svg?8Zm1X=x(43件)。
/nuclei.svg?8Zm1X=x は Nuclei スキャナーのフィンガープリントプローブ。507 Insufficient Storage（1,787件）は前月比14倍以上で、スキャン大量リクエストによるディスク/メモリ枯渇の可能性があります。

🛡️

セキュリティ分析レポート

2026年5月のアクセスログに対する脅威・攻撃パターンの詳細分析

⚔️

検出された攻撃・脅威

1. WordPress ログイン総当たり攻撃（Credential Stuffing / Brute Force）

CRITICAL

攻撃件数: 152,684件（全リクエストの35.5%）
内訳:

/wp-login.php への合計リクエスト: 110,264件
/xmlrpc.php + //xmlrpc.php: 36,010件（XML-RPC経由の一括認証試行）
/wp-admin/* 配下: 53,535件（index.php: 16,607件、edit.php: 10,174件他）

主要攻撃元IP:

94.26.106.90 + 94.26.106.23 — 同一サブネット2IPで計11,418件（分散型攻撃）
192.109.200.101 — 7,665件（wp-login/xmlrpc集中）
31.57.184.107 — 6,703件
34.106.168.218 — 5,672件（//xmlrpc.php 二重スラッシュ特化）
172.81.130.94 — 5,513件
62.60.130.227 / .210 — 2IP合計 7,166件（前月からの継続攻撃）

特徴: 前月（4月）から継続している分散型攻撃。34.106.168.218 による //xmlrpc.php（二重スラッシュ）はWAFルールのバイパスを意図した変形パターン。

2. Gobuster + Nuclei による総合スキャン攻撃（124.37.31.134）

CRITICAL

攻撃件数: 18,756件（当月第1位の攻撃元IP）
使用ツール:

gobuster/3.8.2: 7,268件 — ディレクトリ・ファイル列挙（.htaccess, .htpasswd, .listing, .env 系など隠しファイルを網羅的にスキャン）
Nuclei: 206件 — CVEテンプレートによる既知脆弱性自動スキャン（/nuclei.svg?8Zm1X=x プローブで服確認）
Nmap NSE: 56件 — PROPFIND でWebDAV確認、ポートスキャン関連
DEBUG メソッド: 137件 — IIS Short Name 脆弱性（CVE-2010-2730）探索
PUT/DELETE: 39件 — Elasticsearch(_snapshot)、CouchDB(_users)、Tomcat(poc.jsp)、Spring Actuator(actuator/gateway)、TeamCity REST API 等に対するエクスプロイト試行
パストラバーサル: 105件（/static../../.env.local, /static../../wp-config.php 等）
.env スキャン: 54件

評価: 単一IPが複数の商用・OSS攻撃ツールを組み合わせて体系的なペネトレーション攻撃を実施。日本国内IPであることから、侵害されたホスト（踏み台）からの攻撃の可能性も検討が必要です。

3. IIS Short Name 脆弱性（CVE-2010-2730）探索 — DEBUG メソッド

HIGH

攻撃件数: 732件（122.222.16.207: 595件、124.37.31.134: 137件）
検出パターン:

DEBUG /0nkkh89d*~1*/a.aspx HTTP/1.1 — ランダム文字列を使ったIIS 8.3形式のファイル名列挙
DEBUG /*~1*/a.aspx HTTP/1.1 — シンプルなパターン

リスク: Microsoft IIS の Short Filename Disclosure により、Webサーバー上のファイル名（8.3形式）が推測可能になります。現在のサーバーがNginxまたはApacheであれば影響は限定的ですが、DEBUGメソッドへのレスポンスがある場合は情報漏洩の懸念があります。5/6に集中（12,827件の攻撃日）。

4. 環境設定ファイル（.env 系）大量スキャン

HIGH

攻撃件数: 795件（.env 系: ~250件 + パストラバーサル経由: ~216件 + wp-config: 229件 + phpinfo: 475件）
主要攻撃元IP:

103.215.75.70 — .env(84件) + パストラバーサル(109件) = 合計193件が最多
52.8.227.65 — 61件
124.37.31.134 — .env(54件) + パストラバーサル(105件)

探索パス例:

/.env.local, /.env.production, /.env.bak, /.env.save, /.env.example
/static../../.env.local（パストラバーサル経由）
/static../../wp-config.php, /static../../app/etc/env.php（Magento設定）
/static../../settings.py（Django設定）

リスク: データベース認証情報・APIキー等が含まれる設定ファイルの漏洩は完全な侵害につながります。Magento・Django・WordPressを問わない広範なスキャンが行われています。

5. Webシェル/バックドア設置確認スキャン

HIGH

攻撃件数: 数百件（404を返す汎用PHP名・プラグインへのリクエスト）
検出URL例:

/admin.php, /info.php, /file.php, /about.php, /goods.php
/classwithtostring.php, /adminfuns.php, /ioxi-o.php（ランダム文字列）
/wp-content/plugins/fix/up.php（91件）— 不正プラグインバックドア確認
/wp-content/themes/seotheme/db.php?u（90件）— SEOTheme 既知SQLインジェクション脆弱性（CVE）
/wp-content/plugins/hellopress/wp_filemanager.php（73件）— ファイルマネージャー悪用

注目: /?author=2〜/?author=5 へのリクエスト（各65〜74件）はWordPressユーザー名列挙攻撃です。

6. SQLインジェクション試行

HIGH

攻撃件数: 2,658件（クエリパラメータの末尾に =1 を付与するパターン）
検出パターン:

/?qatj91=1, /?bkiac1=1, /?fzg8l1=1 — Boolean-based Blind SQLi テスト
多数のパラメータを同時に送付するペイロード（custid, agree, stream, doaction 等）— 網羅的フォームパラメータスキャン
/wp-admin/?wiwca1=1 — wp-admin への SQLi テスト
/wp-content/themes/seotheme/db.php?u — 直接的なSQLi試行

評価: 自動化ツールによる網羅的なBoolean-based Blind SQLインジェクションテスト。

7. GraphQL エンドポイント探索 / 中間サービス攻撃

MEDIUM

攻撃件数: 242件（/graphql, /api/graphql 等）
その他の中間サービスへの攻撃:

/CDGServer3/SystemConfig（21件）— Cisco Device Manager への探索（503を返している）
/manager/html（16件）— Apache Tomcat Manager UI への不正アクセス試行（503）
/jmx-console/（29件）— JBoss JMX Management Console への攻撃試行（507）
/login（15件 503）— 汎用ログインエンドポイントへのブルートフォース

評価: WordPressのみならず、JBoss・Tomcat・Ciscoデバイス等のインフラ製品も標的になっています。

8. XSSファジング・パストラバーサル試行

MEDIUM

XSS試行: 111件（svg onload, %3Csvg パターン）
パストラバーサル: 216件（前月88件から2.5倍増加）
代表例:

/static../../.env.local（static パスを悪用してルート外へのトラバーサル）
/static../../wp-config.php
/static../../app/etc/env.php（Magento設定ファイルへのアクセス）

評価: Webフレームワークの静的ファイル配信機能を悪用したディレクトリトラバーサル。103.215.75.70 が109件と最多（パストラバーサル + .env）。

9. UA未設定リクエスト（自動攻撃ツール）

MEDIUM

件数: 16,286件（全体の3.8%）
前月（35,995件）から大幅に減少していますが、依然として標準ブラウザ・正規クローラーでは発生しない自動攻撃スクリプト・スキャンツールからのリクエストが継続しています。このトラフィックの遮断だけで約16,000件のリクエスト削減が可能です。

10. 503/507 エラー急増 — サーバー安定性への影響

HIGH

503 Service Unavailable: 7,228件（前月比 +714%）
507 Insufficient Storage: 1,787件（前月比 +1,401%）
5/6 単日だけで503が3,749件、507が675件発生しており、124.37.31.134 と 122.222.16.207 の集中攻撃によるサーバーリソース枯渇が原因と推測されます。Nuclei スキャン（/nuclei.svg?8Zm1X=x）が503を引き起こしていることも確認されています。
リスク: 攻撃が激化した場合、正規ユーザーへのサービス提供に支障をきたすDoS状態になりうる。

11. Log4Shell（Log4j）/ 主要スキャナーUA — 検出状況

INFO

Log4j (${jndi:): 8件（前月0件から増加。ただし件数は少ない）
sqlmap, nikto UA: 0件
gobuster UA: 7,268件（新規検出）
Nmap NSE UA: 56件（新規検出）
攻撃者はブラウザ風UAを使ってツール検出を回避する傾向があります。gobuster は Chrome UA に見せかけた接続も行っています。Log4j試行が少数ながら検出されており、引き続き監視が必要です。

🎯

主要攻撃元IPリスト（セキュリティ関連）

総合スキャン攻撃

IP	件数	主な攻撃手法
124.37.31.134	18,756	Gobuster / Nuclei / Nmap / PUT・DELETE / Path Traversal
122.222.16.207	15,442	DEBUG(595) / WP攻撃 / 5/6集中
103.215.75.70	〜200	.env(84) + Path Traversal(109)

WordPress 総当たり攻撃

IP / クラスタ	件数	主な攻撃先
94.26.106.90 / .23	11,418	wp-login / xmlrpc
192.109.200.101	7,665	wp-login / xmlrpc
31.57.184.107	6,703	wp-login / xmlrpc
34.106.168.218	5,672	//xmlrpc.php (二重スラッシュ)
172.81.130.94	5,513	wp-login / xmlrpc
62.60.130.x (2IP)	7,166	wp-login（前月から継続）

✅

セキュリティ対策・推奨事項

📋

総合リスク評価

総合リスク: 高（HIGH）— 前月より深刻化

2026年5月の31日間で、全リクエストの35.5%（152,684件）がWordPress関連の攻撃トラフィック、5xxエラーは前月比+714%の9,051件に達しました。特に 124.37.31.134 による Gobuster + Nuclei + Nmap + PUT/DELETE を組み合わせた高度な総合スキャン攻撃（18,756件）は、前月には存在しなかった新規かつ深刻な脅威です。パストラバーサルが2.5倍増加、SQLインジェクション試行も2,658件に上ります。5/6のピーク攻撃（29,238件）では実際に503/507エラーが多発しており、サービス稼働への実害が生じています。早急な対策実施を強く推奨します。

前月（4月）比較での変化点

悪化: 5xxエラー（+714%）、パストラバーサル（+145%）、新規ツール（gobuster・Nuclei・Nmap）の登場、DEBUG/PUT/DELETEメソッドの悪用。
改善: UA未設定リクエスト（35,995→16,286件、-55%）。
継続: WordPress総当たり攻撃（62.60.130.x等のクラスタが前月から継続）。

良好な点

攻撃による機密ファイルの正常取得（200 OK）はログ上では確認されていません。wp-login.phpへの攻撃の多くが403/404を返しており、ログイン保護の一部は機能しています。Webシェル設置の成功を示す証拠（不審なPHPへの200応答）も現時点では限定的です。

アクセスログ解析レポート 2026年5月

目次

セキュリティ分析レポート