セキュリティアラート
wp-content/plugins/akismet/_inc/img/PRffc.php に対し、3つの異なるIPからアクセス試行が検出されました(AH01630で全件遮断)。
PRffc.php はウェブシェルファイル名の典型的なパターンです。このファイルがディスク上に実際に存在していた場合、サイトがすでに侵害されている可能性があります。
サーバー上でのファイル存在確認が最優先事項です。
.htaccess・.htpasswd の拡張子バリエーション総当たり(AH01630: 46件)、
/~operator・/~root へのパストラバーサル(AH00035: 2件)、システムディレクトリ列挙など多段の侵害手法を組み合わせた攻撃を実施。
5/17 には Akismet の readme.txt へもアクセスし、バージョン確認を試みています。
wp-admin/css/ を標的とした組織的なリファラー偽装スキャンです。
日別エラー件数推移
エラーコード分布
| エラーコード | モジュール | 件数 | 説明 |
|---|---|---|---|
| AH01276 | autoindex | 1,500 | ディレクトリインデックス提供不可 |
| AH01630 | authz_core | 54 | サーバー設定によるアクセス拒否 |
| AH00036 | core | 8 | ファイル名が長すぎる(URLエンコード悪用) |
| AH00035 | core | 2 | パーミッション拒否(パストラバーサル試行) |
アクセス上位ディレクトリ Top 10
アクセス上位クライアント IP Top 20
| # | IP アドレス | 件数 | 割合 | 備考 |
|---|
アクセス上位ディレクトリ Top 20 (詳細)
| # | ディレクトリパス | 件数 | 割合 |
|---|
セキュリティ分析
| # | 脅威タイプ | リスク | 件数 | 関与IP数 | 期間 |
|---|---|---|---|---|---|
| 1 | ウェブシェル "PRffc.php" アクセス試行 | CRITICAL | 3 | 3 | 5/20, 5/21 |
| 2 | WordPress ディレクトリ列挙スキャン | CRITICAL | 1,500 | 124 | 5/1 〜 5/31 (継続) |
| 3 | 組織的協調スキャン (85.203.x.x グループ) | HIGH | 347 | 3 | 5/15, 5/20, 5/21 |
| 4 | 設定ファイルBF + パストラバーサル (124.37.31.134) | HIGH | 51 | 1 | 5/6, 5/17 |
| 5 | Akismet / 設定ファイルへの不正アクセス試行 (AH01630) | HIGH | 54 | 複数 | 5/2 〜 5/24 (断続) |
| 6 | スパムリファラー "binance.com" によるリファラー汚染 | MEDIUM | 57 | 44 | 5/1 〜 5/6 (集中) |
| 7 | Azure クラウド発スキャナー群 | MEDIUM | ~530 | 15+ | 5/1 〜 5/31 (断続) |
| 8 | URLエンコードによる WAF 回避試行 (AH00036) | LOW | 8 | 4 | 5/9 |
wp-content/plugins/akismet/_inc/img/PRffc.php に対し、互いに異なる 3 つの IP から計 3 件のアクセスが試みられました(AH01630 により全件遮断)。
PRffc.php はウェブシェルファイルに使われる典型的なランダム文字列ファイル名のパターンと一致します。
Apache の設定でアクセスは拒否されているため、外部からの実行は防がれています。しかし注目すべき点は、3 つの異なる IP がこの同一パスを標的としていることです。 これは攻撃者がすでにこのファイルの存在を認識している—すなわち 過去のどこかの時点でサーバーにファイルが植え付けられた可能性を示唆します。 サーバーファイルシステム上での当該ファイルの有無、および関連ディレクトリの整合性確認が最優先の対応事項です。
2026-05-20 00:03 203.25.124.47 AH01630 DENIED wp-content/plugins/akismet/_inc/img/PRffc.php
2026-05-20 21:27 85.203.23.98 AH01630 DENIED wp-content/plugins/akismet/_inc/img/PRffc.php
2026-05-21 04:50 85.203.21.48 AH01630 DENIED wp-content/plugins/akismet/_inc/img/PRffc.php
→ 3 IP が同一ファイルパスを標的 — ファイル植え付け済みの可能性を疑う
全エラーの 95.9% (1,500件) が AH01276(autoindex:error)です。
4月 (2,253件) と比較して件数は減少しましたが、攻撃は31日間継続しており、WordPress の標準ディレクトリ構造(wp-admin / wp-includes / wp-content)を網羅的にスキャンする行為は変わっていません。
アクセスが最も集中しているのは wp-admin/css/ (100件)、wp-content/uploads/ (74件)、wp-admin/css/colors/ectoplasm/ (66件) の順です。
サーバー設定(Options -Indexes)によりディレクトリリスティングはすべて遮断済みですが、攻撃者は対象ディレクトリの存在確認と WordPress バージョン推定を継続しており、後続の脆弱性スキャンや認証試行への踏み台となるリスクが持続しています。
100件 — wp-admin/css/ ← 管理画面スタイルシート探索
74件 — wp-content/uploads/ ← アップロードファイルへの直接列挙試行
66件 — wp-admin/css/colors/ectoplasm/ ← テーマ情報によるバージョン特定
59件 — wp-includes/images/ ← コアリソース探索
54件 — wp-includes/html-api/ ← HTMLパーサーライブラリのバージョン特定試行
4月に続き、同一 /16 サブネット (85.203.21.x / 85.203.23.x) に属する 3 つの IP が異なる日時に集中スキャンを実施しています。 各スキャンは 1 IP が単独で短時間(5〜9分)に 100件超を完遂するパターンで、4月と同一の攻撃インフラが IP を切り替えながら偵察活動を継続している状況です。
特筆すべきは、85.203.21.48 (5/21 04:45) と 85.203.23.98 (5/20 21:27) がスキャン中に PRffc.php ウェブシェルへのアクセスも試みていることで、 単純なディレクトリ列挙からウェブシェル実行への移行を図ろうとした可能性があります。
2026-05-15 14:23-14:27 85.203.21.143 122件スキャン
2026-05-20 21:20-21:29 85.203.23.98 112件スキャン ← PRffc.php アクセス試行含む
2026-05-21 04:45-04:51 85.203.21.48 113件スキャン ← PRffc.php アクセス試行含む
→ 4月: 4 IP / 5月: 3 IP — 同一インフラが IP を替えて継続的に偵察中
5/6 17:03〜17:04 の わずか 1 分間に 51 件の多段攻撃を実行。
設定ファイルのブルートフォース(.hta/.htaccess/.htpasswd に .php/.txt/.html/.old/.bak/.zip を組み合わせた総当たり)、
パストラバーサル(/~operator//~root)、システムパス列挙(/var/spool///var/adm///bin/ 等)を組み合わせた手法は、自動化された侵入ツールの典型パターンです。
5/17 には Akismet の readme.txt にもアクセスしており、バージョン情報の収集(プラグインフィンガープリンティング)も実施しています。
全件 AH01630/AH00035 で遮断済みですが、このIPからの今後の活動には特に警戒が必要です。
46件 — .hta/.htaccess/.htpasswd 拡張子バリエーション総当たり (AH01630)
2件 — /~operator / /~root パストラバーサル (AH00035)
3件 — /var/spool/ / /var/adm/ / /bin/ システムパス列挙 (AH01630)
+ 5/17: Akismet readme.txt バージョン確認アクセス
前月(4月: 6件)から大幅に増加し、5月は 54件の AH01630 が記録されました。
89.117.104.21、89.117.104.38、146.70.178.252、156.146.33.74 などの複数 IP が
/wp-content/plugins/akismet/ ディレクトリへのアクセスを試み、サーバー設定により全件遮断されています。
なかでも 124.37.31.134 による設定ファイルのブルートフォース(46件)が件数の大半を占めており、 Akismet ディレクトリへの単純な探索だけでなく、より積極的な認証バイパスを狙った攻撃に進化しています。 プラグインフィンガープリンティングから既知 CVE を利用した標的型攻撃へ発展するリスクがあります。
2026-05-02 17:17 89.117.104.21 AH01630 DENIED akismet/
2026-05-06 17:03 124.37.31.134 AH01630 DENIED .htaccess 系BF 46件
2026-05-17 xx:xx 124.37.31.134 AH01630 DENIED akismet/readme.txt
2026-05-24 07:31 89.117.104.38 AH01630 DENIED akismet/
→ 89.117.104.x サブネットが4月から継続してAkismet調査
4月(5 IP / 55件)から大幅に拡大し、5月は 44 の異なる IP から 57件が記録されました。
HTTP リファラーに binance.com を偽装したリクエストが wp-admin/css/ 配下に集中しており、
5/1〜5/6 に特に集中しています。
関与 IP 数が 9 倍に増加したことは、ボットネット規模の拡大またはよりアクティブなキャンペーンへの移行を示唆します。 直接的な侵害リスクは低いものの、アクセスログを汚染することで正常なログ分析を妨害する副次的効果があります。
2026年4月: 5 IP から 55件 (1 IP あたり平均 11件)
2026年5月: 44 IP から 57件 (1 IP あたり平均 1.3件)
→ 単一IPからの集中から分散型スキャンへ移行、検知回避の意図が強まっている
Microsoft Azure の IP 帯域(20.x.x.x / 4.x.x.x / 52.x.x.x)から複数の IP が断続的にスキャンを実施しています。 前月に引き続き Azure ASN (AS8075) からのトラフィックが全体の約 3 分の 1 を占めており、 Azure 上でホストされたスキャンサービス・ボット・クラウドベースの攻撃インフラと考えられます。 正規の Azure サービスとして発信されているため 通常のジオブロッキングでは検知・遮断しにくい 特徴があります。
62件 — 20.226.60.108 Azure
59件 — 20.116.59.164 Azure (5/22 22:12 集中)
46件 — 4.193.121.6 Azure (5/7 18:47 集中)
36件 — 52.141.35.48 Azure
34件 — 20.239.192.136 Azure
→ Azure ASN (AS8075) 単一組織から 500件超の攻撃トラフィック(4月から継続)
5/9 に、4 つの IP(107.20.10.55、44.199.211.131、44.207.4.186、98.89.2.244)が URL パスに日本語文字列を URLエンコードして付加する手法でアクセスを試みました。
標的は phpinfo.php~(PHP 設定情報漏洩)および connector.bak(バックアップファイル漏洩)です。
URLエンコードによりパスが著しく長くなり AH00036 でエラーとなっていますが、これは WAF のシグネチャ検知をバイパスすることを意図した手法と考えられます。
phpinfo.php~ ← PHP 設定・バージョン・環境変数の漏洩リスク
connector.bak ← バックアップファイル経由での設定情報漏洩リスク
→ サーバー上に phpinfo.php や .bak ファイルが存在しないか確認が必要
時間帯別アクセス分析
24時間ヒートマップ — エラー件数分布(JST)
ピーク: 04時台(170件)、14時台(153件)、00時台(143件)。 深夜帯(00〜04時)に 374件(23.9%)が集中しており、自動化ツールによる夜間スキャンが常態化しています。 特に 203.25.124.47 の00時集中スキャン(113件)と 85.203.21.48 の04時スキャン(113件)が深夜ピークの主因です。
週別エラー件数トレンド
Week3(5/15〜21)が 547件 と突出して最多。5/16(132件)、5/20(132件)、5/21(229件)と3日間に集中しており、 85.203.x.x グループと PRffc.php アクセスが重なるキャンペーンの存在が示唆されます。
推奨対策
即時対応 緊急度の高い対策
-
☠️
PRffc.php ファイルのサーバー存在確認
find /home/*/public_html -name "PRffc.php"を即時実行。存在した場合はサイト侵害インシデントとして対応し、全プラグインディレクトリの整合性を検証。 -
🚫
124.37.31.134 の即時 IP ブロック
.htaccess BF・パストラバーサル・バージョン情報収集と多段攻撃を実施。fail2ban または .htaccess で永続ブロック推奨。 -
🚫
85.203.0.0/16 サブネットの遮断(前月から継続要対応)
4月・5月にわたり組織的スキャン + ウェブシェルアクセス試行。.htaccess または WAF で /16 単位でブロック。 -
🚫
203.25.124.0/24 のブロック
深夜0時に 113件一括スキャン + PRffc.php 試行。85.203.x.x グループと同一手口。 -
🔍
phpinfo.php・.bak ファイルの存在確認と削除
AH00036 攻撃の標的。find /home/*/public_html -name "phpinfo*" -o -name "*.bak"で確認し、不要なファイルを削除。
中期対応 継続的な防御強化
-
🛡️
Akismet 試行 IP の継続ブロック
4月〜5月を通じて継続する 89.117.104.x、146.70.178.252、156.146.33.74 などを fail2ban または .htaccess で遮断。 -
🛡️
wp-content/plugins/ の直接アクセス禁止強化
PRffc.php アクセスを防いだ既存設定を維持しつつ、プラグインディレクトリへの HTTP アクセスを .htaccess でdeny from allに統一。 -
🛡️
WAF / Cloudflare によるボット対策
Azure ASN (AS8075) のデータセンター発トラフィックにチャレンジ設定。binance.com リファラーを403 拒否するルールを追加し、分散スキャンへの対策を強化。 -
📋
WordPress ファイル整合性モニタリングの導入
PRffc.php のような不審なファイル植え付けを早期検知するため、WP File Monitor 等のプラグインまたは AIDE によるファイル変更検知を導入。 -
📈
定期的なログ監視の自動化
月次で AH01630・AH00035 件数のトレンドを追跡し、同一 IP の複数エラーコードへの関与(多段攻撃パターン)を自動検知するルールを設定。