System Note
$ cat /proc/ai-disclosure
本記事の構成および論理分析にはAI(人工知能)を使用しています。情報の正確性は、システム管理者(UNIXユーザー)による手動検証済みです。
2026年6月度 セキュリティログ:複数管理環境における不正試行の観測と遮断
目次
Monthly Incident Report: March 2026 — managed environments
2026年5月より、セキュリティ日報の掲載フォーマットを見直しました。これまでのインシデントログ中心の形式から、当日に新規隔離したIPと継続隔離中のIPを分かりやすく整理した、SOC運用向けの一覧形式へ変更しています。
新しい形式では、WHOIS情報、攻撃種別、遮断状況を中心に、必要な情報を簡潔に確認できる構成に統一しました。また、記事内では個別サイト名や内部運用向けの詳細パラメータは掲載せず、複数サイトにまたがるアクセスは「複数の管理環境」として表記する運用に変更しています。
この見直しにより、日々の観測傾向や継続的な不審アクセスの把握を、以前より短時間で確認しやすくなりました。
本日の新規隔離は 4 件でした。2026-06-01 時点で当日日報内に再犯として確認できた継続隔離中のIPは 3 件です。
本日新規隔離
- 172.171.3.138
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, Abuse Contact, Legacy
Comment: [Web Shell Probe] probing for suspicious PHP files and backdoor paths
Status: Blacklisted (217 hits)
- 147.79.103.181
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, Abuse Contact, Legacy
Comment: [Fingerprinting] probing for .env and related exposed files
Status: Blacklisted (9 hits)
- 20.63.37.90
WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Legacy
Comment: [Web Shell Probe] probing for suspicious PHP files and backdoor paths
Status: Blacklisted (36 hits across multiple environments)
- 140.245.98.34
WHOIS Info: Oracle Corporation (ORACLE-4), US, Abuse Contact, Legacy
Comment: [Auth Attack] probing login and admin entry points
Status: Blacklisted (8 hits)
継続隔離中
- 62.197.156.35
WHOIS Info: Cyberzon S.A, SG, Abuse Contact, Data Center/Web Hosting/Transit
Comment: [Auth Attack] probing login and admin entry points
Status: Static Deny Applied
Decision: common_security.txt 反映済み。サーバー側 .htaccess 反映確認のみ。
- 172.212.217.10
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, Abuse Contact,
Early Registrations / Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for suspicious PHP files and backdoor paths
Status: Static Deny Applied
Decision: common_security.txt 反映済み。サーバー側 .htaccess 反映確認のみ。
- 20.78.158.176
WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Legacy
Comment: [Web Shell Probe] probing for suspicious PHP files and backdoor paths
Status: Runtime Quarantine Only
Decision: 現時点では runtime quarantine 継続。common_security.txt 更新対象ではありません。
common_security.txt 更新判断
- static deny 済み
- 62.197.156.35
- 172.212.217.10
- common_security.txt 追記候補: なし
- runtime quarantine 継続
- 20.78.158.176
運用補足
- runtime deny は当日新規だけでなく、継続隔離中のIPを含む累積反映です
- 本日新規隔離は 2026-06-01 の日次集計結果を基準に判定しています
- 継続隔離中は当日日報内で再犯または継続遮断が確認できたIPのみ記載しています
- 複数の管理環境にまたがるIPは、横断的な自動化スキャンとして扱います
分析メモ
- 本日新規隔離は 不審 PHP 探索 2 件、.env 露出確認 1 件、認証系探索 1 件で、探索初動の整理が中心でした
- 20.63.37.90 は複数の管理環境を横断しており、自動化された横断スキャンである可能性が高い
- 継続隔離中の 3 IP は不審 PHP 探索と認証系探索の継続観察対象であり、再出現の可能性がある
勉強はしたいけど、Amazon は苦手という方には、紀伊國屋書店オンラインストアがおすすめです。
-
第8回 | コマンドをつなげて小さな作業を片づける | 探す、抜く、並べる、数える、つなぐを通して見る|UNIX Cafe
-
第1回 | CLIで開発するとはどういうことか | 確認、修正、再実行の流れをつかむ|UNIX Cafe
この記事を書いた人
関連記事
-
2026年5月度 セキュリティログ:複数管理環境における不正試行の観測と遮断
-
2026年4月度 セキュリティログ:複数管理環境における不正試行の観測と遮断
-
Credential Hunting | .envファイルを狙う「静かなる執着」と、バックアップ放置の危うさ
-
静寂を破る「毒」の埋設試行 | AWS経由のRCE(リモートコード実行)攻撃を完全遮断
-
執拗なノックを論理で断つ。IP 20.78.129.228 (Microsoft Azure) の分析と記録
-
2026年3月度 セキュリティログ:複数管理環境における不正試行の観測と遮断
-
Signal to Noise Ratio|静寂を乱す「招かれざる客」と「/24」の防衛術
-
Signal to Noise Ratio|静寂を乱す「招かれざる客」と「/24」の防衛術
Created by UNIX Cafe
