提供された稼働ログ(アプリケーションログおよびシステムログ)の分析に基づき、セキュリティ上の懸念点と推奨される対策を提案します。
1. SPA(シングルページアプリケーション)の「ソフト404」による誤認とリソース浪費
存在しないはずのファイルパスや、既知の脆弱性を狙ったURLへのアクセスに対し、サーバーが 200 OK を返却しています。
- 事例:
/wordpress/wp-admin/setup-config.phpへのアクセスに対し、200 OK を返却,,。/.git/HEADへのアクセスに対し、200 OK(サイズ58591バイト)を返却。/robots.txtへのアクセスに対し、200 OK(サイズ58352バイト)を返却。
- 分析: 本来
404 Not Foundであるべきリクエストに対し、Next.jsなどのSPAが共通のindex.html(約58KB)を返している「ソフト404」状態である可能性が高いです。 - リスク:
- 攻撃ツールが「脆弱性のあるファイルが存在する(Gitリポジトリが公開されている等)」と誤認し、執拗な攻撃を継続する原因となります。
- 無駄なアプリケーション処理が走り、サーバーリソースを消費します。
- 推奨: リバースプロキシレベルで、特定の拡張子(
.php,.git,.envなど)や静的ファイルへのリクエストが存在しない場合、アプリケーションサーバーに渡さずに即座に404を返す設定を追加してください。
2. 機械的な脆弱性スキャン(POSTメソッド)
特定の時間帯に、短時間で複数のパスに対してPOSTリクエストを送信するスキャン行為が記録されています,,。
- 対象:
/,/index.php,/admin,/api - User-Agent:
Chrome 141.0 Windows 10.0.0等(偽装の可能性あり) - 懸念: 管理画面やAPIエンドポイントを探る探索行為です。現状は
404が返されていますが、攻撃の予兆として監視が必要です。