System Note
$ cat /proc/ai-disclosure
本記事の構成および論理分析にはAI(人工知能)を使用しています。情報の正確性は、システム管理者(UNIXユーザー)による手動検証済みです。
2026年3月度 セキュリティログ:複数管理環境における不正試行の観測と遮断
目次
Monthly Incident Report: March 2026 — managed environments
本ドキュメントは、検知された不正通信の客観的証拠および、それに基づく防御措置の記録である。
--- Incident Log: 2026-03-31 ---
1. 情報露出・環境設定の探索
Target IP: 18.141.144.214
Status: 403, 404
WHOIS Info: Amazon Technologies Inc. (US), trustandsafety@support.aws.com, Direct Allocation
Comment: phpinfo や .env、.git/config といった機密情報の露出を狙った典型的な偵察行動。
備考: AWSのインフラを悪用したスキャン。特定のアプリケーションを狙うというよりは、設定ミスで公開状態にあるファイルを機械的に探している。403が返っていることから、こちらの防御策(.htaccess等)
が有効に機能していることが確認できる。
2. 広範囲なPHPバックドア・脆弱性スキャン
Target IP: 51.120.81.94
Status: 301, 404
WHOIS Info: Microsoft (NO), (via RIPE), Legacy
Comment: tfm.php や nw.php など、攻撃者が設置した可能性のあるバックドアファイルへの執拗なアクセス試行。
備考: Azureのノルウェーリージョンを起点とした攻撃。リクエスト数が281回と多く、総当たり的なスキャンを行っている。
301リダイレクトが多発しているのは、管理環境のディレクトリ構造をなぞろうとしているためと考えられるが、
最終的に実ファイルへの到達は阻止している。
3. CMSテンプレート・シェルスクリプト狙いの集中スキャン
Target IP: 45.91.20.125, 45.91.20.192, 45.91.20.91
Status: 301, 403, 404
WHOIS Info: RIPE NCC (NL), abuse@ripe.net, Transferred to RIPE NCC
Comment: Go-http-client を使用し、WordPressやJoomlaのテンプレート、および wso.php
などのWebシェルを標的としたスキャン。
備考: 同一サブネット(45.91.20.0/22付近)からの波状攻撃。Go-http-client を用いた自動化スクリプトによるもので、
特定の既知の脆弱性があるパス(beez3, cassiopeia 等)を高速に叩いている。
複数の管理環境を跨いで同様のパターンが見られることから、組織的なスキャン活動と推測される。--- Incident Log: 2026-03-30 ---
Target IP: 130.131.193.97
Status: 301, 404
WHOIS Info (Org, Country, Abuse Contact, Type): RIPE NCC, NL, abuse@ripe.net, Transferred Legacy
Comment:252 回もの広範囲な PHP ファイルスキャン。yuzuru1.php や xpass.php など、
バックドア設置を狙ったランダムな試行が目立つ。
備考:(攻撃の意図や技術的背景を、セキュリティエンジニアの視点で解説)
オランダのレガシーネットワークを足場にした、典型的な脆弱性スキャンボット。設置済みのバックドアを探索する挙動であり、
301/404 で適切に処理されているが、リクエスト数が多いためブラックリストへの即時登録。
Target IP: 144.91.103.84
Status: 301, 404
WHOIS Info (Org, Country, Abuse Contact, Type): RIPE NCC, NL, abuse@ripe.net, Transferred Legacy
Comment: wp-content/plugins/shell/about.php 等、特定の WordPress プラグインやテーマの脆弱性を標的としたスキャン。
User-Agent の綴りミス(Mozlila)から、低質なボットによるものと断定。
備考:(攻撃の意図や技術的背景を、セキュリティエンジニアの視点で解説)
既知の脆弱性があるプラグインがインストールされているかを確認し、リモートコード実行(RCE)を狙う偵察行動。
User-Agent の偽装が甘い点から、大規模にばら撒かれているスキャンツールの一環と考えられる。
Target IP: 172.213.218.14
Status: 403
WHOIS Info (Org, Country, Abuse Contact, Type): RIPE NCC, NL, abuse@ripe.net, Transferred Legacy
Comment: wp-mn.php や admin.php など、管理機能への執拗なアクセス試行。198 回すべてのリクエストが 403
で遮断されており、防御が鉄壁に機能している。
備考:(攻撃の意図や技術的背景を、セキュリティエンジニアの視点で解説)
管理ダッシュボードへのブルートフォース、あるいは管理用バックドアの探索。構築したホワイトリスト方式
により、攻撃者は一歩も内部に踏み込めていない。
Target IP: 20.215.208.85
Status: 301, 404, 403
WHOIS Info (Org, Country, Abuse Contact, Type): Microsoft Corporation, US,
abuse@microsoft.com, Data Center
Comment: 複数の管理環境に対し、387 回もの執拗なリクエスト。
wp-mn.php や adminfuns.php など、多角的なパス探索を行っている。
備考:(攻撃の意図や技術的背景を、セキュリティエンジニアの視点で解説)
Azure インフラを悪用した構造的な攻撃。特定の PHP ファイルを狙い撃ちにするだけでなく、
ディレクトリ構造を網羅的に調査している。攻撃回数が今回のパトロールで最大であり、最も警戒すべき IP である。--- Incident Log: 2026-03-28 ---
Target IP: 34.235.124.97
Status: 403 Forbidden (377 counts)
WHOIS Info: Amazon Technologies Inc. (Org), US (Country),
trustandsafety@support.aws.com (Abuse Contact), Cloud Provider (Type)
Comment: .env, .env.production, .gitlab-ci/.env 等の環境設定ファイルを執拗に狙ったプロンプト。
403で完封されているが、特定のフレームワーク(Laravel/GitLab CI等)を前提とした偵察活動。
Target IP: 51.103.152.71
Status: 404 Not Found, 301 Moved Permanently (252 counts)
WHOIS Info: Microsoft Corporation (Org), EU/NL (Country),
abuse@microsoft.com (Abuse Contact), Cloud Provider (Type)
Comment: yuzuru1.php, xpass.php, ad.php など、ランダムなファイル名を用いたバックドア探索。
リクエストの多くが pc-fan.net(複数の管理環境)に向けられており、脆弱なPHPスクリプトの有無を調査している。
Target IP: 20.111.9.0
Status: 301, 404, 403 (304 counts)
WHOIS Info: Microsoft Corporation (Org), US (Country),
abuse@microsoft.com (Abuse Contact), Cloud Provider (Type)
Comment: Joomlaのエクステンション(mod_simplefileuploadv1.3)や radio.php など、
CMSのプラグイン脆弱性をターゲットにしたスキャン。広範囲に渡るパスを探索しており、自動化された攻撃ボットと思われる。
Target IP: 148.113.9.23
Status: 403 Forbidden (12 counts)
WHOIS Info: OVH Hosting, Inc. (Org), CA (Country),
abuse@ovh.ca (Abuse Contact), Hosting Provider (Type)
Comment: /wp-login.php に対するPOSTリクエストを確認。
典型的なブルートフォース攻撃(総当たり攻撃)を試行している。回数は少ないが、継続的な監視が必要。
Target IP: 162.215.172.35
Status: 403 Forbidden (12 counts)
WHOIS Info: Unified Layer (BLUEH-2) (Org), US (Country),
abuse@bluehost.com (Abuse Contact), Hosting Provider (Type)
Comment: 上記 OVH の IP と同様、/wp-login.php へのPOSTリクエストを実行。User-Agent
を頻繁に変更しながらログインを試みており、攻撃ツールを使用している可能性が高い。
Target IP: 20.100.192.188 / 72.146.33.200
Status: 404, 301 (計 576 counts)
WHOIS Info: Microsoft Corporation (Org), US (Country),
abuse@microsoft.com (Abuse Contact), Cloud Provider (Type)
Comment: 同一の攻撃ソース(Azure)から gfd.php, callback.php, bolt.php 等を探索。
リクエストパターンが完全に一致しており、分散されたノードから同一のターゲットに対してスキャンを実行している。--- Incident Log: 2026-03-28 ---
Target IP: 34.235.124.97
Status: 403 Forbidden (377 counts)
WHOIS Info: Amazon Technologies Inc. (Org), US (Country),
trustandsafety@support.aws.com (Abuse Contact), Cloud Provider (Type)
Comment: .env, .env.production, .gitlab-ci/.env 等の環境設定ファイルを執拗に狙ったプロンプト。
403で完封されているが、特定のフレームワーク(Laravel/GitLab CI等)を前提とした偵察活動。
Target IP: 51.103.152.71
Status: 404 Not Found, 301 Moved Permanently (252 counts)
WHOIS Info: Microsoft Corporation (Org), EU/NL (Country),
abuse@microsoft.com (Abuse Contact), Cloud Provider (Type)
Comment: yuzuru1.php, xpass.php, ad.php など、ランダムなファイル名を用いたバックドア探索。
リクエストの多くが pc-fan.net(複数の管理環境)に向けられており、脆弱なPHPスクリプトの有無を調査している。
Target IP: 20.111.9.0
Status: 301, 404, 403 (304 counts)
WHOIS Info: Microsoft Corporation (Org), US (Country),
abuse@microsoft.com (Abuse Contact), Cloud Provider (Type)
Comment: Joomlaのエクステンション(mod_simplefileuploadv1.3)や radio.php など、
CMSのプラグイン脆弱性をターゲットにしたスキャン。広範囲に渡るパスを探索しており、自動化された攻撃ボットと思われる。
Target IP: 148.113.9.23
Status: 403 Forbidden (12 counts)
WHOIS Info: OVH Hosting, Inc. (Org), CA (Country),
abuse@ovh.ca (Abuse Contact), Hosting Provider (Type)
Comment: /wp-login.php に対するPOSTリクエストを確認。
典型的なブルートフォース攻撃(総当たり攻撃)を試行している。回数は少ないが、継続的な監視が必要。
Target IP: 162.215.172.35
Status: 403 Forbidden (12 counts)
WHOIS Info: Unified Layer (BLUEH-2) (Org), US (Country),
abuse@bluehost.com (Abuse Contact), Hosting Provider (Type)
Comment: 上記 OVH の IP と同様、/wp-login.php へのPOSTリクエストを実行。User-Agent
を頻繁に変更しながらログインを試みており、攻撃ツールを使用している可能性が高い。
Target IP: 20.100.192.188 / 72.146.33.200
Status: 404, 301 (計 576 counts)
WHOIS Info: Microsoft Corporation (Org), US (Country),
abuse@microsoft.com (Abuse Contact), Cloud Provider (Type)
Comment: 同一の攻撃ソース(Azure)から gfd.php, callback.php, bolt.php 等を探索。
リクエストパターンが完全に一致しており、分散されたノードから同一のターゲットに対してスキャンを実行している。--- Incident Log: 2026-03-27 ---
Target IP: 20.151.201.236, 20.203.177.158, 20.63.96.180, 20.111.48.171, 20.215.248.112, 20.48.232.178
Status: 301, 404, 403
WHOIS Info (Org, Country, Abuse Contact, Type):
Org: Microsoft Corporation (MSFT)
Country: US (Washington, Redmond)
Abuse Contact: abuse@microsoft.com
Type: Direct Allocation (Azure Infrastructure)
Comment: 複数の管理環境において、Azureの計算資源を悪用した大規模かつ組織的な脆弱性スキャンを検出。
備考:
これは「クラウド・スキャン・アーミー(雲上の軍勢)」による絨毯爆撃だ。特定のIPが複数のドメインに対し、
WordPressの脆弱なプラグインパス(ultra.php)やデータベース管理ツール(adminer.php)、
さらにはバックドアの残骸(aves.php, fiyhxaae.php)を秒単位で精査している。
特筆すべきは、アクセス元の分散化だ。同一のOrganization(Microsoft)に属する異なるセグメントから、
まるで交代制のように波状攻撃を仕掛けてきている。これは自動化されたボットネットが、
検知を逃れるためにIPをローテーションさせながら「開いている扉」を探している証拠。本日、
抽出されたAzure系の全攻撃IPを統合ブラックリストへ一括登録し、外堀を完全に埋める処置を完了した。--- Incident Log: 2026-03-26 ---
Target IP: 194.5.53.0/24
Status: 301, 403
WHOIS Info:
Org: VPN Consumer Paris, France
Country: FR
Abuse Contact: abuse-reports@vpnconsumer.com
Type: Assigned PA
Comment 日本語補足: .207, .222, .250 等から波状攻撃を確認。
WPプラグインディレクトリを執拗に探索するボットセグメント。
Target IP: 20.104.199.149
Status: 404, 403
WHOIS Info:
Org: Microsoft Corporation (MSFT)
Country: US
Abuse Contact: abuse@microsoft.com
Type: Direct Allocation (Cloud Infrastructure)
Comment 日本語補足: 複数の管理環境に対し、w.php, css.php 等、
特定のバックドア用ファイル名の存在を確認するスキャン。
Target IP: 72.146.6.194
Status: 404, 301
WHOIS Info:
Org: Microsoft Corporation (MSFT)
Country: US
Abuse Contact: abuse@microsoft.com
Type: Direct Allocation (Cloud Infrastructure)
Comment 日本語補足: hellopress や wp_filemanager.php 等、
既知の脆弱性を持つプラグインパスを狙った試行。
Target IP: 52.188.122.85
Status: 404, 403
WHOIS Info:
Org: Microsoft Corporation (MSFT)
Country: US
Abuse Contact: abuse@microsoft.com
Type: Direct Allocation (Cloud Infrastructure)
Comment 日本語補足: 20.104.199.149 と同期した動きを見せる。
Azureインフラを悪用した分散スキャンの疑い。
Target IP: 20.222.18.47
Status: 403
WHOIS Info:
Org: Microsoft Corporation (MSFT)
Country: US
Abuse Contact: abuse@microsoft.com
Type: Direct Allocation (Cloud Infrastructure)
Comment 日本語補足: 短時間に 25 回の拒否応答を誘発。
特定の管理環境へのアクセスを執拗に試行。
備考:
今回の特筆すべき点は、フランスのVPNサービス(VPN Consumer)を経由した攻撃が、
同一セグメント(194.5.53.x)内で複数のIPを使い分けていたことです。これに対し、/24 での
レンジブロックを適用したことで、今後の同セグメントからの再来を未然に防ぐことが可能となりました。
また、Microsoft Azure(AS8075)からのアクセスが依然として多く、これらは主にWordPressの構造
(wp-admin, wp-content)や、攻撃者が設置を狙う特定のPHPファイル名を総当たりで叩く「偵察型」
の攻撃パターンです。.htaccess の更新により、これらの試行はアプリケーション層に到達する前に
すべて 403 で遮断されています。--- Incident Log: 2026-03-25 ---
Target IP: 4.223.137.201
Status: 403 Forbidden
WHOIS Info:
Org: Microsoft Corporation (MSFT)
Country: US
Abuse Contact: abuse@microsoft.com
Type: Direct Allocation (Cloud Infrastructure)
Comment 日本語補足: 複数の管理環境に対して、不審なPHPファイル群への高速なGETリクエストを確認。
備考:
典型的な「脆弱性スキャン」の動きだ。特定のCMS(WordPressなど)に限らず、
ありとあらゆるPHPスクリプトのファイル名を総当たりで叩いている。わずか数秒の間に160行以上のリクエストが飛んでおり、
自動化されたBotによる攻撃。Microsoftのクラウドインフラが悪用されているか、
スキャン用踏み台として利用されている可能性が高い。--- Incident Log: 2026-03-25 ---
Target IP: 20.63.0.132
Status: 404 Not Found / 403 Forbidden
WHOIS Info:
Org: Microsoft Corporation (MSFT)
Country: US
Abuse Contact: abuse@microsoft.com
Type: Direct Allocation (Cloud Infrastructure)
Comment 日本語補足: 複数の管理環境に対し、WordPressの内部構造(wp-includes等)や設定ファイルを標的としたスキャン。
備考:
こちらはWordPress(WP)に特化した「エンドポイント探索」だ。xmlrpc.php や wp-config.php
へのアクセス試行が含まれており、WPの脆弱性や設定不備を突いて侵入を試みようとしている。
先ほどと同じくMicrosoftのネットワークからだが、ターゲットを絞っている分、より意図的な攻撃に見えるね。--- Incident Log: 2026-03-25 ---
Target IP: 195.189.97.40
Status: 403 Forbidden
WHOIS Info:
Org: Cherry Servers NOC
Country: LT (Lithuania) / NL (Netherlands)
Abuse Contact: abuse@cherryservers.com
Type: ASSIGNED PA (Dedicated/Cloud Hosting)
Comment 日本語補足: 複数の管理環境における、環境設定ファイル(.env)およびそのバックアップファイルへの
執拗なアクセス試行。
備考:
これは「機密情報(クレデンシャル)ハンティング」だ。.envはデータベースのパスワードやAPIキーが
記述されていることが多いため、それを狙っている。特に .env.bak や .env.old といった、
エディタの自動生成や人間が手動で作ったバックアップを狙うのは、サーバー管理者の「うっかりミス」を突く常套手段だ。
リトアニアのホスティングサービスを経由している。--- Incident Log: 2026-03-24 ---
Target IP: 46.250.173.92
Status: 404 (1回), 200 (13回)
WHOIS Info:
Org: RIPE NCC (End-user assigned)
Country: NL / EU
Abuse Contact: abuse@ripe.net
Type: Assigned PA (Likely Infrastructure or Hosting)
Comment: 複数の管理環境において、デフォルトのログインURL(wp-login.php)への接触を試行。
SiteGuard WP PluginによるURL変更設定が正常に機能しており、本体へのアクセスは404で即座に遮断されている。
ステータス200は404エラーページに伴う静的ファイルの読み込み、あるいは攻撃ボットによる機械的なアセット確認によるものであり、
実際のログイン画面(隠蔽先)の特定には至っていない。不自然なリファラを伴う標的型の偵察行為と判断し、ブラックリストへ登録。--- Incident Log: 2026-03-24 ---
Target IP: 54.211.246.250
Status: 301, 404 (計16回)
WHOIS Info:
Org: Amazon Technologies Inc. (AWS)
Country: US
Abuse Contact: trustandsafety@support.aws.com
Type: Data Center / Infrastructure
Comment: 複数の管理環境に対し、WordPressプラグイン(MasterStudy LMS, WP Directory Kit, ProfilePress等)
の脆弱性や存在を確認するスキャン行為を検出。特定ディレクトリの readme.md や changelog.txt を執拗に狙っており、
攻撃前の偵察フェーズと推測される。--- Incident Log: 2026-03-23 ---
Target IP: 138.199.21.210
Status: 200 (Prior to block) / 403 (After block)
WHOIS Info: RIPE Network Coordination Centre (NL), abuse@ripe.net, Transferred to RIPE NCC
Comment: 複数の管理環境に対し xmlrpc.php を標的としたPOSTリクエストを断続的に送信。今回の .htaccess
修正により、攻撃リクエストをアプリケーションに到達させる前にApacheレベルで遮断することに成功した。
Target IP: 3.37.45.150
Status: 403
WHOIS Info: Amazon Technologies Inc. (US), trustandsafety@support.aws.com, Direct Allocation
Comment: AWSインフラ発の執拗な偵察ボット。.env や /proc/self/environ など、
環境変数や機密ファイルを階層ごとにスキャン。マスターブラックリストへの追加により、
今後の全方位的なアクセスを恒久的に拒絶。
Target IP: 45.148.10.244
Status: 403
WHOIS Info: RIPE Network Coordination Centre (NL), abuse@ripe.net, Early Registrations
Comment: インフラ構成ファイル(Terraform/Stripe設定)をピンポイントで狙う高度な標的型スキャナー。
今回のCIDR統合および個別IPブロックにより、当該レンジからの脅威を無力化した。--- Incident Log: 2026-03-22 ---
Target IP: 185.177.72.49
Status: BLOCKED (blacklist_20260322.txt)
WHOIS Info (Org, Country, Abuse Contact, Type):
Org: FBW NETWORKS SAS
Country: FR (France / Vélizy Villacoublay)
Abuse Contact: abuse-c: ACRO59630-RIPE
Type: Allocated PA (LIR)
Technical Analysis:
環境設定ファイル(.env)やバックアップファイル(wp-config.php.bak)を狙った、典型的なディレクトリ・トラバーサル
および機密情報奪取のスキャン。curl/8.7.1 を使用し、短時間に 1,300 回を超える膨大なリクエストを機械的に送出。
特定のパス構造を辞書的に舐めることで、管理者の「うっかりミス」を執念深く探る挙動です。
Infrastructure Impact:
総リクエスト数 1,308 回。403 Forbidden での拒絶が支配的ですが、これほど大量の不正リクエストはアクセスログの
肥大化を招き、解析のノイズとなるため、IPレベルでの遮断が最適解です。--- Incident Log: 2026-03-22 ---
Target IP: 43.199.240.174
Status: BLOCKED (blacklist_20260322.txt)
WHOIS Info (Org, Country, Abuse Contact, Type):
Org: Amazon.com, Inc. (AMAZON-AS-AP)
Country: US (Managed via APNIC/Singapore)
Abuse Contact: abuse@amazonaws.com
Type: Data Center / Cloud Infrastructure (AWS)
Technical Analysis:
ThinkPHP等のフレームワークに存在する脆弱性を標的とした、リモートコード実行(RCE)の試行を確認。
?s=index/think\app/invokefunction や file_put_contents を用いて、サーバー上にバックドア
(hmseo.php, 12345.php)を強引に設置しようとする極めて攻撃的なパケットです。
User-Agentを MSIE 9.0 に偽装しつつ、脆弱なエンドポイントをピンポイントで突く挙動を示しています。
Infrastructure Impact:
総リクエスト数 33 回。リクエストの多くは 301/404 で処理されていますが、一部で 200 OK(動的コンテンツへのアクセス)
が発生しており、アプリケーションレイヤーでの負荷および侵入試行の痕跡として警戒が必要です。--- Incident Log: 2026-03-22 ---
Target IP: 20.63.209.197 / 20.70.169.231
Status: BLOCKED (blacklist_20260322.txt)
WHOIS Info (Org, Country, Abuse Contact, Type):
Org: Microsoft Corporation (MSFT)
Country: US (Azure)
Abuse Contact: abuse@microsoft.com
Type: Cloud Infrastructure
Technical Analysis:
WordPressのコアファイル(xmlrpc.php, wp-includes/)および管理画面(admin.php)
を標的としたボットネットによる偵察活動。昨日(3/21)検知した 20.200.222.0 と同様、
Azureインフラを悪用した分散スキャンの一環と考えられます。
Infrastructure Impact:
各IPから数十回〜百回程度のリクエスト。404エラーを量産させ、エラーログのスタックを消費させる無益なトラフィックです。--- Incident Log: 2026-03-21 ---
Target IP: 20.200.222.0
Status: BLOCKED (blacklist_20260321.txt)
WHOIS Info (Org, Country, Abuse Contact, Type):
Org: Microsoft Corporation (MSFT)
Country: US (United States / Redmond, WA)
Abuse Contact: abuse@microsoft.com
Type: Data Center / Cloud Infrastructure (Azure)
Technical Analysis:
特定のプラグインやテーマに内在する既知の脆弱性を狙った、辞書攻撃的なスキャンを確認。/wp-content/plugins/plugin/index.php や /wp-content/themes/admin.php など、ディレクトリ構造を推測しながら執拗にアクセスを試みています。User-Agent を固定(Chrome 120系)したまま、機械的にパスを切り替える古典的なボットの挙動です。
Infrastructure Impact:
総リクエスト数 57 回。301 Redirect や 404 を発生させ、不要なリダイレクト処理によるサーバーリソースの微増を招いています。
備考(管理者見解):
「数打てば当たる」という思考停止した攻撃は、論理的なPOSIXの世界においてはただの「ゴミ」に過ぎません。これらをブラックリストという規約(Rules)で処理することは、管理者の義務であり、システムへの敬意の表れでもあります。--- Incident Log: 2026-03-21 ---
Target IP: 20.198.83.136
Status: BLOCKED (blacklist_20260321.txt)
WHOIS Info (Org, Country, Abuse Contact, Type):
Org: Microsoft Corporation (MSFT)
Country: US (United States / Redmond, WA)
Abuse Contact: abuse@microsoft.com
Type: Data Center / Cloud Infrastructure (Azure)
Technical Analysis:
Azureからの広域なバックドア探索スキャンを確認。/wp-admin/css/bolt.php や ms-edit.php、xmr.php など、
一般的なWordPressには存在しない「Webシェル(不正操作用スクリプト)」のデフォルト名を網羅的に叩いています。これは、
過去に他の攻撃者が開けた「穴」を再利用しようとする、ハイエナのような偵察行動です。
Infrastructure Impact:
総リクエスト数 124 回。404 Not Found を量産し、アプリケーションログのノイズを増大させています。
複数の管理環境に対して一斉に試行されており、攻撃の自動化レベルは非常に高いと判断されます。
備考(管理者見解):
他者が残した「負の遺産」を探し回るその卑俗なアクセスは、規約に基づいた健全な通信とは無縁のものです。UNIXユーザーが愛する
「シンプルでクリーンな環境」を維持するためには、こうしたノイズを物理層に近い段階で排除し続ける必要があります。--- Incident Log: 2026-03-21 ---
Target IP: 54.64.46.145
Status: BLOCKED (blacklist_20260321.txt)
WHOIS Info (Org, Country, Abuse Contact, Type):
Org: Amazon Technologies Inc. (AT-88-Z)
Country: US (United States / Seattle, WA)
Abuse Contact: trustandsafety@support.aws.com
Type: Data Center / Cloud Infrastructure (AWS)
Technical Analysis:
AWSインフラを足場とした、極めて攻撃性の高い資格情報窃取スキャンを確認。.env、.env.local、.git/config
といった環境変数やリポジトリ設定ファイルに加え、wp-config-stripe.php
などの決済関連設定ファイルをピンポイントで狙っています。これは単純な脆弱性調査ではなく、
認証キーやDBパスワードの直接奪取を目的とした「窃盗」のフェーズにある攻撃です。
Infrastructure Impact:
総リクエスト数 559 回。403 Forbidden が大半を占めますが、一部で 200 OK(トップページ等)
を混ぜることで監視の目を逸らそうとする挙動が見られます。放置すれば、
機密情報の露出による致命的なセキュリティインシデントに直結するリスクがあります。
備考(管理者見解):
「道具」としてのクラウドが、ここでは「鍵開けの道具」として悪用されています。POSIXが教える「すべてはファイルである」
という哲学を逆手に取り、システムの心臓部である設定ファイルを狙うその振る舞いは、自由なネットワークへの冒涜です。
境界線での即時遮断こそが唯一の論理的回答です。--- Incident Log: 2026-03-20 ---
Target IP: 163.192.101.17
Status: PERMANENTLY BLOCKED
WHOIS Info (Org, Country, Abuse Contact, Type):
Org: Oracle Corporation (ORACLE-4)
Country: US (United States / Austin, TX)
Abuse Contact: abuse@oracleemaildelivery.com
Type: Data Center / Cloud Infrastructure
NetRange: 163.192.0.0/16
Technical Analysis:
Oracle Cloud Infrastructure (OCI) からの執拗なブルートフォース攻撃を確認。短時間に wp-login.
php (POST) と wp-admin/index.php (GET) を交互に叩く挙動に加え、User-Agent を Windows/Mac/Linux
間で頻繁に変更し、あたかも複数のブラウザからアクセスしているかのように装っています。また、?author=n
によるユーザー名列挙も並行して実施されており、侵入を目的とした高度な自動化ツールが稼働していると判断されます。
Infrastructure Impact:
総リクエスト数は 858 回。すべて 403 で遮断されていますが、クラウドインフラを背景にした潤沢なリソースによる
攻撃は、放置すればアプリケーション層への負荷増大やログの肥大化を招き、
管理環境全体の監視コストおよび可用性に悪影響を及ぼすリスクがあります。
備考(管理者見解):
クラウドインフラという「強力な道具」を悪用した匿名性の高い攻撃です。POSIXが規定する論理的かつ規約
(Protocol)を遵守した通信とは対極にある「欺瞞」に満ちたアクセスであり、これを境界線で冷徹に遮断することは、
システムの整合性と自由を守るために不可欠な論理的帰結です。--- Incident Log: 2026-03-18 ---
Target IP: 141.148.168.147
Status: PERMANENTLY BLOCKED
WHOIS Info:
Org: Oracle Corporation
Country: US
Abuse Contact: abuse@oracle.com
Type: Data Center
Comment:
Persistent brute-force attack targeting administrative interfaces.
858 failed requests focusing on login POST and index GET operations.
備考:
典型的な総当たり攻撃だ。深夜の廊下で、特定の部屋のドアノブを執拗に回し続けているようなものだ。
これほど回数が多いのは、自動化されたスクリプトが止まらなくなっているのだろう。
システムの整合性を守るため、即座に「出入り禁止」とした。--- Incident Log: 2026-03-18 ---
Target IP: 20.63.210.169
Status: PERMANENTLY BLOCKED
WHOIS Info:
Org: Microsoft Corporation
Country: US
Abuse Contact: abuse@microsoft.com
Type: Data Center
Comment:
Vulnerability reconnaissance searching for PHP backdoors and unauthorized file patterns.
備考:
建物の裏側に回り、設計図にない「勝手口」がないか壁をなぞるように探っている動きだ。
特定のファイル名を網羅的に叩く手法は、明確な侵入意図を示している。--- Incident Log: 2026-03-18 ---
Target IP: 20.89.243.125
Status: PERMANENTLY BLOCKED
WHOIS Info:
Org: Microsoft Corporation
Country: US
Abuse Contact: abuse@microsoft.com
Type: Data Center
Comment:
Path traversal attempts targeting hidden directories including .trash and .well-known.
備考:
床下や屋根裏にある「小さな隙間」を覗き込もうとする行為だ。
利用者がアクセスする必要のないディレクトリを狙うのは、設計の不備を突こうとしている証拠だ。--- Incident Log: 2026-03-18 ---
Target IP: 20.78.129.228
Status: PERMANENTLY BLOCKED
WHOIS Info:
Org: Microsoft Corporation
Country: US
Abuse Contact: abuse@microsoft.com
Type: Data Center
Comment:
Reconnaissance targeting internal components, including libraries and editor scripts.
備考:
建物の配管や電気配線のメーカーを調べているようなものだ。
古い部品(脆弱なプラグイン)の有無を確認し、そこから火を放とうとしている。
インフラの細部を狙うプロの「泥棒」の動きだ。--- Incident Log: 2026-03-18 ---
Target IP: 50.62.181.149
Status: PERMANENTLY BLOCKED
WHOIS Info:
Org: GoDaddy.com, LLC
Country: US
Abuse Contact: abuse@godaddy.com
Type: Data Center
Comment:
Login attempt via User-Agent spoofing. Targeted POST requests to login endpoints.
備考:
「他人の上着を借り、顔を隠して受付を通り抜けようとする」不審者だ。訪問者を装っているが、
目的は管理権限の奪取にある。慎重な手順を持って、静かにブラックホールへ送り込んだ。The SysAdmin’s Conclusion
これら全てのIPはデータセンター由来であり、一般ユーザーの正当なアクセスとは見なし得ない。POSIXが守る「自由」とは、法と規約(Protocol)を遵守する者のためにある。境界線を明確に引くことで、システムの健全な血流を守り続ける。
Signal to Noise Ratio|静寂を乱す「招かれざる客」の記録
PCfan
Abusive Bot / Malicious IP Address List | PCfan
このページは、当サーバーに対して不正アクセスや脆弱性スキャンを試みた悪質なボットおよびIPアドレスの公開ログです。 私たちは正規ユーザーの安全とシステムの完全性を...
-
Signal to Noise Ratio|静寂を乱す「招かれざる客」と「/24」の防衛術
-
執拗なノックを論理で断つ。IP 20.78.129.228 (Microsoft Azure) の分析と記録
この記事を書いた人
関連記事
Created by UNIX Cafe
