稼働ログから確認できるセキュリティ上の懸念点、および対応するIPアドレスとログインユーザー名(指定されたマスクルール適用済み)は以下の通りです。
1. 外部からのSSHアクセス
システムログに、外部IPアドレスからのSSHアクセスが正常に完了したことが記録されています。これは、サーバーへの直接的な特権アクセスであり、正当な運用アクセスであることを確認する必要があります。
| 懸念点 | 詳細なログの状況 | 関連IPアドレス | ユーザー名 |
|---|---|---|---|
| 外部からのSSHログイン | ユーザー d*** による公開鍵認証でのSSHセッション開始が確認されています。このアクセスが正規の運用によるものか、また、公開鍵の管理が安全かつ最小権限の原則に基づいているかを緊急に確認する必要があります。 | 125.*.*.* | d*** |
2. Webアプリケーションへの不審なスキャン活動
GROWIアプリケーションのログには、Webアプリケーションの脆弱性を探るための自動化されたスキャンと見られるアクセスが継続的に記録されています。これらのアクセスは、情報漏洩や不正アクセスの足がかりとなる可能性があります。
| 懸念点 | 詳細なログの状況 | 関連IPアドレス |
|---|---|---|
| 機密ファイル・設定情報へのアクセス試行 | /.env/.env.bak や /.aws/credentials、/phpinfo.php など、設定ファイルや認証情報ファイルを窃取しようとする試行が確認されています(18:40頃)。これらのアクセスがHTTP 200 OKを返している点(ログの表示に基づき)、これらのファイルへのアクセス制御が適切に行われているかを緊急に確認する必要があります。 | 172.*.*.* |
| 存在しないファイルへの誤った応答 | 多数の /wordpress/wp-admin/setup-config.php へのリクエストが、アプリケーションがWordPressではないにもかかわらず HTTP 200 OK を返しています。これは、攻撃者に対して「そのパスが存在する可能性がある」という誤った情報を与え、スキャンを継続させる原因となる設定不備です。 | 172.*.*.* |
| 汎用的なWebエンドポイントへのスキャン | /admin や /api、/xmlrpc.php といったWebアプリケーションの一般的なエントリポイントへの総当たり的な POST リクエストが繰り返し記録されており、自動化された脆弱性スキャンが行われていることを示しています。 | 172.*.*.* |
推奨されるセキュリティ対策
- SSHアクセスの精査と強化:
- SSHアクセス元のIPアドレス (
125.*.*.*) が許可された拠点からのものかを確認し、不明な場合は直ちにセッションを切断し、公開鍵を無効化してください。 - 外部からのSSHアクセスはVPNや踏み台サーバー経由に限定し、直接的なインターネットからのアクセスはファイアウォールでブロックしてください。
- SSHアクセス元のIPアドレス (
- Webサーバー設定の見直し:
/wordpressや/phpinfo.phpなど、存在しないファイルや機密性の高いファイルパスへのアクセスに対して、Webサーバー(またはリバースプロキシ)が必ず ```404 Not Found``` または ```403 Forbidden``` を返すように設定を修正してください。特に/.env/.env.bakや/.aws/credentialsへのアクセスを防ぐための設定を最優先で行ってください。172.*.*.*からのアクセスが不正なものである場合は、Dockerコンテナ間の通信を制御するネットワークポリシーを見直してください。
- システムとアプリケーションのパッチ適用:
- 使用しているOS、SSHデーモン、およびGROWIアプリケーションが最新のセキュリティパッチで更新されていることを確認してください。