同一IPで多数のUser-Agentを持つ404アクセス
Watch40xは、404ログを基にWebアプリケーションへの探索攻撃を検知・可視化するセキュリティ分析システムです。
Watch40xで収集した404ログを分析したところ、同一IPで多数の異なるUser-Agentを持つアクセスが観測されました。通常の閲覧ではUser-Agentはほぼ固定ですが、今回の観測では1つのIPが短時間に多数の異なるUser-Agentを使っている事例が確認されています。
本記事は予測や一般論ではなく、実際の404ログの観測結果をもとに、その特徴を整理したものです。
関連:Watch40xについて
関連:自分のIPアドレスの住所
User-Agent数の多いIP
404ログから、同一IPで複数の異なるUser-Agentを持つIPを集計しました。以下は接続時に変更されたUser-Agent数の多いIPです。
「偽装回数」と考えるとわかりやすいです。
| client_ip | User-Agent偽装回数 |
|---|---|
| 138.226.244.xx | 90 |
| 37.140.254.xx | 28 |
| 78.142.18.xx | 24 |
| 104.243.245.xx | 19 |
上位IPの観測データ
上位IPの一部について、総アクセス数、User-Agent変更回数(偽装回数)、初回観測日時、最終観測日時、GeoIP、ASNを整理すると次の通りです。
| IP | hit(アクセス回数) UA数(偽装回数) | 初回 最終 | GeoIP ASN |
|---|---|---|---|
| 138.226.244.xx | 94 90 | 02/21 06:56:41 02/21 07:03:59 | UA 6698 / VIRTUALSYSTEMS, UA |
| 37.140.254.xx | 40 28 | 02/19 18:47:55 02/19 18:49:33 | CH 206092 / SECFIREWALLAS, CY |
| 78.142.18.xx | 38 4 | 02/19 03:07:44 03/14 06:35:26 | BG 213438 / COLOCATEL-INC |
| 104.243.245.xx | 20 19 | 03/11 15:59:12 03/11 17:08:01 | MX 396356 / LATITUDE-SH |
特に 138.226.244.xx は7分程度の間に94件の404アクセスがあり、そのうち90種類のUser-Agentが確認されました。104.243.245.xx と 81.29.142.xx は複数サイトで観測されています。
観測されたUser-Agent例 1
IP 104.198.20.xx では、Android端末やWindows端末を名乗る複数のUser-Agentが確認されました。
| IP | 偽装されたUser-Agent例 |
|---|---|
| 104.198.20.xx | Mozilla/5.0 (Linux; Android 10; vivo 1904) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.5938.60 Mobile Safari/537.36 |
| 104.198.20.xx | Mozilla/5.0 (Linux; Android 11; moto g31) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.6261.96 Mobile Safari/537.36 |
| 104.198.20.xx | Mozilla/5.0 (Linux; Android 13; Infinix X688B) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.48 Mobile Safari/537.36 |
| 104.198.20.xx | Mozilla/5.0 (Linux; Android 14; OnePlus 12) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.6422.102 Mobile Safari/537.36 |
| 104.198.20.xx | Mozilla/5.0 (Linux; Android 14; Samsung SM-A546B) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.6478.14 Mobile Safari/537.36 |
| 104.198.20.xx | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.6534.42 Safari/537.36 |
このIPでは、Android端末名やChromeバージョンが次々に変化していることが観測されています。
観測されたUser-Agent例 2
IP 104.243.245.xx では、Windows、macOS、Linuxを名乗るUser-Agentが混在していました。
| IP | 偽装されたUser-Agent例 |
|---|---|
| 104.243.245.xx | Mozilla/5.0 (Linux x86_64; rv:79.0) Gecko/20100101 Firefox/79.0 |
| 104.243.245.xx | Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:79.0) Gecko/20100101 Firefox/79.0 |
| 104.243.245.xx | Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36 |
| 104.243.245.xx | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36 |
| 104.243.245.xx | Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0 |
| 104.243.245.xx | Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36 |
このIPでは、OSやブラウザの種類が混在しており、FirefoxとChromeの両方が確認されています。
観測結果から分かること
今回の404ログでは、同一IPで多数の異なるUser-Agentを持つアクセスが複数確認されました。特に上位IPでは、1つのIPから短時間に多数のUser-Agentが使われており、通常の閲覧ではあまり見られないアクセス傾向が観測されています。
また、一部のIPは複数サイトで観測されており、1サイト内だけでなく複数のWebサイトに対して同様の404アクセスが発生していることも確認できました。404ログは単なるエラーではなく、アクセスの出方を見るための観測データとして活用できます。
お問い合わせ先
株式会社リタ