2026年4月度 セキュリティログ：複数管理環境における不正試行の観測と遮断

--- Incident Log: 2026-04-01 ---
1. 環境変数ファイル（.env）および .git ディレクトリの探索
Target IP: 172.70.246.0/24 (代表: 172.70.246.228, .229, .43)
Status: 301, 403, 404
WHOIS Info: Cloudflare, Inc. (US), abuse@cloudflare.com, Direct Allocation
Comment: .env, .env.bak, .env.staging などの環境変数ファイル、および .git/config, .git/index 
といった内部情報の窃取を狙った直接的な探索。
備考: 今回のパトロールで最も警戒すべき攻撃。Cloudflare のプロキシを隠れ蓑にし、
複数の管理環境に対して構造的に重要なファイルをピンポイントで狙っている。.htaccess によるアクセス制限が完璧に
機能しており、全て 403/404 で完封していることを確認。リスク低減のため、当該サブネットを広域遮断（/24）する措置を講じた。

2. WordPress 脆弱性およびバックドア設置ファイルの総当たり
Target IP: 72.146.16.175, 20.208.32.234, 98.71.65.172
Status: 301, 403, 404
WHOIS Info: Microsoft Corporation (US), abuse@microsoft.com, Direct Allocation
Comment: hellopress/wp_filemanager.php 等のプラグイン脆弱性、および zlnckdxn.php 
といったランダム生成されたバックドア用ファイルへのアクセス試行。
備考: Azure のインフラを悪用した大規模なボットスキャン。リクエスト数は 700 件を超えており、
既知の脆弱性パスを片っ端から叩く機械的な総当たり攻撃。管理環境に WordPress の痕跡がないか、
あるいは既にバックドアが設置されていないかを調査しているものと推測される。

3. CMS 初期設定ファイルおよび管理ディレクトリの探索
Target IP: 170.64.171.221, 74.248.131.153
Status: 301, 403, 404
WHOIS Info: DigitalOcean, LLC (US) / Microsoft Corporation (US), Direct Allocation
Comment: /wp-admin/install.php や admin.php, backup.php など、CMS のセットアップ段階や管理画面の
出を狙った偵察。
備考: サイト構築時の「消し忘れ」や「デフォルト設定」を突こうとする古典的かつ執拗な攻撃。特に /web/ や /backup/ 
といったディレクトリ名を推測して再帰的にスキャンを行っている。攻撃者の意図は特権アクセスの奪取であり、
多層防御によるパス秘匿が有効に機能している。

--- Incident Log: 2026-04-01 ---
1. 環境変数ファイル（.env）および .git ディレクトリの探索
Target IP: 172.70.246.0/24 (代表: 172.70.246.228, .229, .43)
Status: 301, 403, 404
WHOIS Info: Cloudflare, Inc. (US), abuse@cloudflare.com, Direct Allocation
Comment: .env, .env.bak, .env.staging などの環境変数ファイル、および .git/config, .git/index 
といった内部情報の窃取を狙った直接的な探索。
備考: 今回のパトロールで最も警戒すべき攻撃。Cloudflare のプロキシを隠れ蓑にし、
複数の管理環境に対して構造的に重要なファイルをピンポイントで狙っている。.htaccess によるアクセス制限が完璧に
機能しており、全て 403/404 で完封していることを確認。リスク低減のため、当該サブネットを広域遮断（/24）する措置を講じた。

2. WordPress 脆弱性およびバックドア設置ファイルの総当たり
Target IP: 72.146.16.175, 20.208.32.234, 98.71.65.172
Status: 301, 403, 404
WHOIS Info: Microsoft Corporation (US), abuse@microsoft.com, Direct Allocation
Comment: hellopress/wp_filemanager.php 等のプラグイン脆弱性、および zlnckdxn.php 
といったランダム生成されたバックドア用ファイルへのアクセス試行。
備考: Azure のインフラを悪用した大規模なボットスキャン。リクエスト数は 700 件を超えており、
既知の脆弱性パスを片っ端から叩く機械的な総当たり攻撃。管理環境に WordPress の痕跡がないか、
あるいは既にバックドアが設置されていないかを調査しているものと推測される。

3. CMS 初期設定ファイルおよび管理ディレクトリの探索
Target IP: 170.64.171.221, 74.248.131.153
Status: 301, 403, 404
WHOIS Info: DigitalOcean, LLC (US) / Microsoft Corporation (US), Direct Allocation
Comment: /wp-admin/install.php や admin.php, backup.php など、CMS のセットアップ段階や管理画面の
出を狙った偵察。
備考: サイト構築時の「消し忘れ」や「デフォルト設定」を突こうとする古典的かつ執拗な攻撃。特に /web/ や /backup/ 
といったディレクトリ名を推測して再帰的にスキャンを行っている。攻撃者の意図は特権アクセスの奪取であり、
多層防御によるパス秘匿が有効に機能している。