2026年2月不正アクセス検知レポート
2026年02月の不正アクセスの検知状況の一部でございます。本集計は、私たちが管理しているWEBサイトより収集した情報をもとに集計しています。404エラー(存在しないページにアクセスした)ログをまとめた内容です。
リクエストURLに含まれる単語の出現状況に加え、接続元言語、接続元国(GeoIP)、IP登録国(RDAP)、リファラー判定結果、User-Agent情報など、複数の観点から傾向を整理しています。
本データを継続的に分析することで、現在どのような脆弱性や構成が狙われているのかを把握でき、セキュリティ対策の優先順位を明確にすることが可能になります。
なお、集計元データは私たちが「怪しいポイ」と判断したデータです。検索エンジンbot等は集計に含まれていません。
。
狙われるURI単語ランキング
uriから"/"単位にフォルダやファイルを切り出しています。
フォルダ、ファイル別のデータもありますが、ここでは総合表示をしています。
| No | 単語 | 出現率 |
|---|---|---|
| 1 | wp-includes | 14% |
| 2 | wp-content | 12% |
| 3 | wp-admin | 7% |
| 4 | phpunit | 6% |
| 5 | plugins | 6% |
| 6 | about.php | 4% |
| 7 | eval-stdin.php | 3% |
| 8 | admin.php | 3% |
| 9 | wlwmanifest.xml | 2% |
| 10 | hellopress | 2% |
接続元言語
第1言語のみの一覧です。
言語は「国」とあわせて検証をします。例えば「言語が日本語」「国が米国」であれば不自然と判断します。
異常アクセスの未入力率は66%でした
| No | 言語 |
|---|---|
| 1 | en-US/英語 (米国) |
| 2 | zh-CN/簡体字中国語 |
| 3 | ja/日本語 |
| 4 | en/英語 |
| 5 | * |
| 6 | en-GB/英語 (英国) |
| 7 | zh-cn/簡体字中国語 |
| 8 | en-us/英語 (米国) |
| 9 | de-DE/ドイツ語 (ドイツ) |
| 10 | en-gb/英語 (英国) |
今月の傾向
WordPress関連ディレクトリへのアクセスが中心となっており、既知の脆弱性(phpunit、eval-stdin.php)や設定ファイル(.env)を狙うスキャンが 継続的に確認されています。これらはインターネット上で日常的に実行されている自動スキャン型アクセスの傾向を示しています。
接続元国(GeoIP)
未取得率:0%
GeoIP(接続元推定国)に基づく集計です。国は偽装やプロキシ等の影響を受ける場合があります。
| No | 国コード |
|---|---|
| 1 | US |
| 2 | VN |
| 3 | SG |
| 4 | JP |
| 5 | HK |
| 6 | CA |
| 7 | FR |
| 8 | DE |
| 9 | CN |
| 10 | IE |
IP登録国(RDAP)
未取得率:48%
RDAP(IP登録情報)に基づく集計です。実際の接続元国とは一致しない場合があります。
| No | 国コード |
|---|---|
| 1 | VN |
| 2 | US |
| 3 | NL |
| 4 | SG |
| 5 | CN |
| 6 | HK |
| 7 | DE |
| 8 | JP |
| 9 | FR |
| 10 | BR |
リファラー偽装率
リファラー偽装率は機械的に見破るのが難しく実際にはもっとあると思われます。この掲載は私たちが偽装と判断した割合です。
1%
User-Agentが短い
Watch40xでは、通常のブラウザアクセスではあまり見られない、極端に短いUser-Agentも観測されます。 短いUser-Agentは、自動取得ツール、簡易ボット、偽装に失敗したアクセス、または正体不明の通信である可能性があります。 そのため、通常のブラウザUser-Agentとは分けて確認することが重要です。
User-Agentの一般ブラウザでは80〜150文字です。極端に短い場合、未取得の場合はbotと想定します。
以下は、通常のUser-Agent例です。
「Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36」
観測した平均は97.4文字
異常データの空白率は11%でした
| 短いUser-Agent | 評価 | 概要 |
|---|---|---|
空白 |
異常 | User-Agent未送信です。通常のブラウザ利用としては不自然で、ボットや取得失敗の可能性があります。 |
Google |
異常 | Google系を名乗るには短すぎる文字列です。正規クローラのUAとしては不自然で、偽装の疑いがあります。 |
nvdorz |
異常 | 一般的なブラウザ名や製品名に見えない不明な文字列です。ノイズや簡易ボットの可能性があります。 |
php7.4 |
異常 | ブラウザではなく実行環境名のような文字列です。スクリプトや自動処理によるアクセスの可能性があります。 |
fasthttp |
異常 | HTTPライブラリ名です。自作ツールやボットなど機械的なアクセスで使われることがあります。 |
AnyConnect |
異常寄り | 業務系通信を連想させる文字列ですが、通常のWebブラウザUAとしては不自然です。 |
Mozila/5.0 |
異常 | Mozilla のスペルが誤っています。偽装失敗や雑な模倣の可能性が高いUAです。 |
curl/8.6.0 |
異常 | curl によるアクセスです。自動取得、疎通確認、調査アクセスなどで使われる典型例です。 |
Mozilla/5.0 |
異常寄り | 一般的なブラウザUAとしては短すぎます。途中で切れたUAや簡易クローラの可能性があります。 |
curl/7.73.0 |
異常 | curl によるアクセスです。通常のブラウザ閲覧ではなく、自動化された通信の可能性があります。 |
短いUser-Agentは単独で危険と断定できるものではありませんが、機械的な探索や偽装アクセスを見分ける重要な観測要素になります。 Watch40xでは、接続回数、アクセス先、判定ランクなどの情報とあわせて総合的に評価します。
Watch40x について
当社では、不正アクセスを継続的に収集し、IP情報や接続情報の解析を行うことで攻撃傾向を把握しています。 解析結果をもとに自動遮断を行い、不正アクセスを可視化する仕組みを構築しています。 この取り組みにより、WEBサイトの安全性を継続的に高める運用を実現しています。
導入をご検討の企業様へ
Webサイトへの脆弱性探索や自動スキャンは、企業規模を問わず日常的に発生しています。 重要なのは、発生状況を可視化し、分析し、継続的に改善できる体制を整えることです。
当社では、不審アクセスのリアルタイム遮断、攻撃傾向の可視化、ログ分析に基づく予防的セキュリティ対策を通じて、 企業様のWEBセキュリティ強化を支援しております。
お問い合わせ先
株式会社リタ