2026年7月度 セキュリティログ:複数管理環境における不正試行の観測と遮断

* 当サイトでは、コンテンツの一部に広告を掲載しています。

System Note $ cat /proc/ai-disclosure

本記事の構成および論理分析にはAI(人工知能)を使用しています。情報の正確性は、システム管理者(UNIXユーザー)による手動検証済みです。

双眼鏡を持つ監視オペレーターと、UNIX CAFEのデジタル・ファイアウォールを死守するペンギン騎士
目次

Monthly Incident Report: March 2026 — managed environments

2026年5月より、セキュリティ日報の掲載フォーマットを見直しました。これまでのインシデントログ中心の形式から、当日に新規隔離したIPと継続隔離中のIPを分かりやすく整理した、SOC運用向けの一覧形式へ変更しています。

新しい形式では、WHOIS情報、攻撃種別、遮断状況を中心に、必要な情報を簡潔に確認できる構成に統一しました。また、記事内では個別サイト名や内部運用向けの詳細パラメータは掲載せず、複数サイトにまたがるアクセスは「複数の管理環境」として表記する運用に変更しています。

この見直しにより、日々の観測傾向や継続的な不審アクセスの把握を、以前より短時間で確認しやすくなりました。

本日の新規隔離は 4 件でした。2026-07-02 時点で当日日報内に再犯として確認できた継続隔離中のIPは 4 件です。

本日新規隔離

- 78.189.24.202
  WHOIS Info: TT ADSL-TTnet alcatel static_aci, tr, Abuse Contact, Allocated
  Comment: [Fingerprinting] probing for .env and related exposed files
  Status: Blacklisted (49 hits)

- 67.205.147.135
  WHOIS Info: DigitalOcean, LLC, LLC (DO-13), Abuse Contact, Digit19-Arin, Allocated
  Comment: [Fingerprinting] probing for .git/config exposure
  Status: Blacklisted (2 hits)

- 34.133.214.222
  WHOIS Info: Google LLC (GOOGL-2), US, Abuse Contact, Legacy
  Comment: [Fingerprinting] probing for .git/config exposure
  Status: Blacklisted (1 hits)

- 52.184.100.96
  WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Legacy
  Comment: [Web Shell Probe] probing for suspicious PHP files and backdoor paths
  Status: Blacklisted (93 hits)

継続隔離中

- 62.197.156.35
  WHOIS Info: Cyberzon S.A, SG, Abuse Contact, Data Center/Web Hosting/Transit
  Comment: [Auth Attack] probing login and admin entry points
  Status: Static Deny Applied
  Decision: common_security.txt 反映済み。サーバー側 .htaccess 反映確認のみ。

- 172.212.217.10
  WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, Abuse Contact, Early Registrations / Transferred to RIPE NCC
  Comment: [Web Shell Probe] probing for suspicious PHP files and backdoor paths
  Status: Static Deny Applied
  Decision: common_security.txt 反映済み。サーバー側 .htaccess 反映確認のみ。

- 20.78.158.176
  WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Legacy
  Comment: [Web Shell Probe] probing for suspicious PHP files and backdoor paths
  Status: Runtime Quarantine Only
  Decision: 現時点では runtime quarantine 継続。common_security.txt 更新対象ではありません。

- 135.119.47.58
  WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, Abuse Contact, Legacy
  Comment: [Web Shell Probe] probing for suspicious PHP files and backdoor paths
  Status: Runtime Quarantine Only
  Decision: 現時点では runtime quarantine 継続。common_security.txt 更新対象ではありません。

common_security.txt 更新判断

- static deny 済み
  - 62.197.156.35
  - 172.212.217.10
- common_security.txt 追記候補: なし
- runtime quarantine 継続
  - 20.78.158.176
  - 135.119.47.58

運用補足

- runtime deny は当日新規だけでなく、継続隔離中のIPを含む累積反映です
- 本日新規隔離は 2026-07-02 の日次集計結果を基準に判定しています
- 継続隔離中は当日日報内で再犯または継続遮断が確認できたIPのみ記載しています
- 複数の管理環境にまたがるIPは、横断的な自動化スキャンとして扱います

分析メモ

- 本日新規隔離は .git/config 露出確認 2 件、.env 露出確認 1 件、不審 PHP 探索 1 件で、探索初動の整理が中心でした
- 当日新規では複数の管理環境にまたがる横断的な活動は確認されず、単独環境への試行が主体と考えられる
- 継続隔離中の 4 IP は不審 PHP 探索と認証系探索の継続観察対象であり、再出現の可能性がある
本日の新規隔離は 5 件でした。2026-07-01 時点で当日日報内に再犯として確認できた継続隔離中のIPは 4 件です。

本日新規隔離

- 20.89.237.101
  WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Legacy
  Comment: [Web Shell Probe] probing for suspicious PHP files and backdoor paths
  Status: Blacklisted (289 hits)

- 20.220.14.153
  WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Legacy
  Comment: [Web Shell Probe] probing for suspicious PHP files and backdoor paths
  Status: Blacklisted (95 hits)

- 181.41.206.215
  WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Allocated
  Comment: [Fingerprinting] probing for .env and related exposed files
  Status: Blacklisted (1 hits)

- 20.220.223.15
  WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Legacy
  Comment: [Web Shell Probe] probing for suspicious PHP files and backdoor paths
  Status: Blacklisted (147 hits)

- 45.55.71.64
  WHOIS Info: DigitalOcean, LLC, LLC (DO-13), Abuse Contact, Digit19-Arin, Legacy
  Comment: [Auth Attack] probing login and admin entry points
  Status: Blacklisted (8 hits)

継続隔離中

- 62.197.156.35
  WHOIS Info: Cyberzon S.A, SG, Abuse Contact, Data Center/Web Hosting/Transit
  Comment: [Auth Attack] probing login and admin entry points
  Status: Static Deny Applied
  Decision: common_security.txt 反映済み。サーバー側 .htaccess 反映確認のみ。

- 172.212.217.10
  WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, Abuse Contact, Early Registrations / Transferred to RIPE NCC
  Comment: [Web Shell Probe] probing for suspicious PHP files and backdoor paths
  Status: Static Deny Applied
  Decision: common_security.txt 反映済み。サーバー側 .htaccess 反映確認のみ。

- 20.78.158.176
  WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Legacy
  Comment: [Web Shell Probe] probing for suspicious PHP files and backdoor paths
  Status: Runtime Quarantine Only
  Decision: 現時点では runtime quarantine 継続。common_security.txt 更新対象ではありません。

- 135.119.47.58
  WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, Abuse Contact, Legacy
  Comment: [Web Shell Probe] probing for suspicious PHP files and backdoor paths
  Status: Runtime Quarantine Only
  Decision: 現時点では runtime quarantine 継続。common_security.txt 更新対象ではありません。

common_security.txt 更新判断

- static deny 済み
  - 62.197.156.35
  - 172.212.217.10
- common_security.txt 追記候補: なし
- runtime quarantine 継続
  - 20.78.158.176
  - 135.119.47.58

運用補足

- runtime deny は当日新規だけでなく、継続隔離中のIPを含む累積反映です
- 本日新規隔離は 2026-07-01 の日次集計結果を基準に判定しています
- 継続隔離中は当日日報内で再犯または継続遮断が確認できたIPのみ記載しています
- 複数の管理環境にまたがるIPは、横断的な自動化スキャンとして扱います

分析メモ

- 本日新規隔離は 不審 PHP 探索 3 件、.env 露出確認 1 件、認証系探索 1 件で、探索初動の整理が中心でした
- 当日新規では複数の管理環境にまたがる横断的な活動は確認されず、単独環境への試行が主体と考えられる
- 継続隔離中の 4 IP は不審 PHP 探索と認証系探索の継続観察対象であり、再出現の可能性がある
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

のいのアバター のい UNIX Cafe マスター

Macintosh Color Classicから始まった旅は、長いWindows時代を経て、Windows10のサポート終了をきっかけにUNIXの世界へ戻ってきました。UNIX Cafeでは、UNIX・Linux・そしてMacな世界を、むずかしい言葉を使わず、物語のように書いています。プログラミングは、アイデアをコンピューターに伝えるための言葉です。簡単な単語と文法を覚えれば、誰でもコマンドを使えます。ぜひ一度、やさしいプログラミングの世界をのぞいてみてください。

目次