2026年03月の不正アクセス検知レポート
Watch40xレポートWatch40xは、403エラー、404エラーを基にWebアプリケーションへの探索攻撃を検知・可視化するセキュリティ分析システムです。
本集計は、Watch40xが管理している複数のWEBサイトより収集した情報をもとに集計しています。404エラー(存在しないページにアクセスした)ログをまとめた内容です。
2026年3月のアクセス分析では、WordPress関連ディレクトリへの探索アクセスが多数確認されました。 特に「wp-includes」「wp-content」「wp-admin」が上位を占めており、自動化されたWordPress脆弱性探索ツールによるアクセスが主体と考えられます。 また、接続元言語(Accept-Language)の未入力率が69%と非常に高く、一般的なブラウザではなくボットによるアクセスが大半であることが分かります。 さらに「.env」へのアクセスも確認されており、環境変数ファイルの漏洩を狙う攻撃も含まれていました。 これらの結果から、2026年3月は自動化されたWordPress探索と機密情報取得を目的とした攻撃が中心であったと評価できます。
関連:Watch40xについて
関連:自分のIPアドレスの住所
URI単語ランキング
Watch40xで観測した攻撃先ファイル、フォルダです。
uriから"/"単位にフォルダやファイルを切り出しています。
フォルダ、ファイル別のデータもありますが、ここでは総合表示をしています。
| No | 単語 | 出現率 |
|---|---|---|
| 1 | wp-includes | 15% |
| 2 | wp-content | 13% |
| 3 | wp-admin | 9% |
| 4 | plugins | 5% |
| 5 | about.php | 4% |
| 6 | admin.php | 3% |
| 7 | wlwmanifest.xml | 3% |
| 8 | .env | 2% |
| 9 | admin | 2% |
| 10 | function.php | 1% |
接続元言語
Watch40xで観測した攻撃が多い言語設定です。
第1言語のみの一覧です。
言語は「国」とあわせて検証をします。例えば「言語が日本語」「国が米国」であれば不自然と判断しますます。
未入力率:69%
| No | 言語 |
|---|---|
| 1 | en-US/英語 (米国) |
| 2 | zh-CN/簡体字中国語 |
| 3 | zh-cn/簡体字中国語 |
| 4 | en-US;q=0.5 |
| 5 | en/英語 |
| 6 | ja/日本語 |
| 7 | * |
| 8 | en-GB/英語 (英国) |
| 9 | en-US;q=0.9 |
| 10 | en-gb/英語 (英国) |
IPアドレスから見える「国」の多層性
インターネットにおける「国」の定義は一義的ではありません。一つのIPアドレスの背後には、物理的・法的・組織的な複数の属性が重なり合っています。
これを不動産に例えるなら、「米国にあるマンションを日本人が所有し、中国の管理会社が運用し、実際には韓国人が居住している」といった複雑な状況が、ネットワークの世界では日常的に発生しています。
本レポートでは、この多層的な情報を整理するため、以下の2つの指標を採用しています。
1. GeoIP(物理的な設置場所の推定)
民間企業が提供するデータベースに基づき、サーバーや通信機器が物理的に配置されている場所を推定したものです。「攻撃のパケットがどの地点から送出されたか」という物理的距離を測る指標となります。
2. RDAP / net.country(法的な登録上の国)
IPアドレスの割り当てを受けた組織(企業やプロバイダ)が登記されている国の情報です。攻撃の踏み台にされたクラウドベンダーや、通信インフラの法的な管轄権を示します。
「接続者の正体」を特定する難しさ
では、私たちは結局「何」を見れば良いのでしょうか。
結論から言えば、単一のデータで接続者の国籍を断定することは不可能です。
真の接続地を推測するには、これら2つの指標に加え、ブラウザの言語設定(Accept-Language)やタイムゾーン、通信経路(ASN)などをクロスリファレンスし、総合的にプロファイリングを行う必要があります。
当システム「Watch40x」では、これらの乖離(例:米国IPなのに言語設定が簡体字中国語である等)を「不自然なアクセス(アノマリ)」として検知ロジックに組み込み、より高精度な不正アクセス判定を実現しています。
接続元国(GeoIP)
未取得率:0%
Watch40xで観測した攻撃の多いGeoIPです。
GeoIP(接続元推定国)に基づく集計です。国は偽装やプロキシ等の影響を受ける場合があります。
| No | 言語 |
|---|---|
| 1 | US |
| 2 | VN |
| 3 | SG |
| 4 | CN |
| 5 | FR |
| 6 | DE |
| 7 | CA |
| 8 | BR |
| 9 | HK |
| 10 | NL |
IP登録国(RDAP)
未取得率:38%
Watch40xで観測した攻撃の多いRDAP(国)です。
RDAP(IP登録情報)に基づく集計です。実際の接続元国とは一致しない場合があります。
| No | 言語 |
|---|---|
| 1 | VN |
| 2 | SG |
| 3 | US |
| 4 | CN |
| 5 | DE |
| 6 | NL |
| 7 | FR |
| 8 | BR |
| 9 | HK |
| 10 | ID |
リファラー偽装率
6%
UA平均文字列長
未取得率:4%
100.3
User-Agent(UA)の一般ブラウザでは80〜150文字です。極端に短い場合、未取得の場合はbotと想定します。
2026年3月のUser-Agent分析では、短い文字列のUser-Agentの多くが自動化ツールであることが確認されました。 特にPython系HTTPライブラリ(python-requests、aiohttp、urllib)やGo製HTTPクライアント、okhttpなどのプログラム用クライアントが多数を占めています。 また「Mozilla/5.0」のみの短いUser-Agentも確認されており、ブラウザを装ったボットによるアクセスも存在します。 これらの結果から、404アクセスの多くが人間のブラウザではなく、自動化された探索ツールによるものであると考えられます。
| User-Agent | 評価 |
|---|---|
| - | Referer未設定の自動ツール・ボットの可能性が高い |
| iaudit/0.1 | 脆弱性スキャンツール |
| Mozilla/5.0 | ブラウザ偽装ボット(短縮UA) |
| okhttp/5.3.0 | Android系HTTPライブラリ(自動ツール) |
| Go-http-client/1.1 | Go製スキャンツール・自動アクセス |
| Python-urllib/3.10 | Python製スクリプトアクセス |
| python-httpx/0.28.1 | Python製HTTPクライアント |
| Mozilla/5.0 zgrab/0.x | zgrabスキャンツール |
| python-requests/2.33.0 | Python製自動アクセス |
| python-requests/2.27.1 | Python製自動アクセス |
| python-requests/2.32.5 | Python製自動アクセス |
| python-requests/2.31.0 | Python製自動アクセス |
| Python/3.9 aiohttp/3.11.0 | Python非同期HTTPクライアント |
| Python/3.12 aiohttp/3.13.3 | Python非同期HTTPクライアント |
| Mozilla/5.0 (X11; Linux x86_64) | ブラウザ偽装ボット |
| Mozilla/5.0 (BugBountyRecon/8.0) | バグバウンティスキャンツール |
| SiteLockSpider [en] (WinNT; I ;Nav) | セキュリティスキャンボット |
Watch40x について
Watch40xは、404ログを基にWebアプリケーションへの探索攻撃を検知・可視化するセキュリティ分析システムです。
当社では、不正アクセスを継続的に収集し、IP情報や接続情報の解析を行うことで攻撃傾向を把握しています。
解析結果をもとに自動遮断を行い、不正アクセスを可視化する仕組みを構築しています。
この取り組みにより、WEBサイトの安全性を継続的に高める運用を実現しています。
導入をご検討の企業様へ
Webサイトへの脆弱性探索や自動スキャンは、企業規模を問わず日常的に発生しています。 重要なのは、発生状況を可視化し、分析し、継続的に改善できる体制を整えることです。
当社では、不審アクセスのリアルタイム遮断、攻撃傾向の可視化、ログ分析に基づく予防的セキュリティ対策を通じて、 企業様のWEBセキュリティ強化を支援しております。
お問い合わせ先
株式会社リタ