Botのアクセス時間帯はなぜ深夜に多いのか|サーバーログから見えた実態【Security Log #24】

vivisec

サーバーログを観察していると、Botのアクセスは特定の時間帯に偏っていることに気づきます。

特に多いのが、

  • 午前3時前後
  • 早朝〜午前中

といった時間帯です。

一見すると「日本の深夜を狙っているのでは?」と思いがちですが、実際にはそうではありません。

実際のサーバーログ例

以下は、深夜帯(午前3時〜5時)に記録されたアクセスログの一部です。

vivisec.net 66.249.69.41 - - [15/Apr/2026:03:39:15 +0900] "GET /robots.txt HTTP/1.1" 301 "-" "Googlebot"
www.vivisec.net 40.77.167.61 - - [15/Apr/2026:03:40:08 +0900] "GET /category/wordpress-security/ HTTP/2.0" 200 "-" "bingbot"
vivisec.net 103.145.34.155 - - [15/Apr/2026:04:07:45 +0900] "GET /wp-json/wp/v2/posts HTTP/1.1" 403 "-" "Chrome"
vivisec.net 133.200.41.128 - - [15/Apr/2026:05:12:13 +0900] "GET / HTTP/1.1" 403 "-" "python-requests"

このように、正規クローラー(Googlebot・bingbot)だけでなく、APIエンドポイントを探るアクセスや、自動ツール(python-requests)によるリクエストも、同じ時間帯に集中していることが分かります。

今回のようなアクセスは、実際には以下のようなスキャンの一部であることが多く、個別の挙動については別記事で詳しく解説しています。

WordPress公開直後に来た「/.git/config」スキャン
wp-json/wp/v2/usersにアクセスされる理由|WordPressユーザー列挙の仕組みと対策

Botは日本時間ではなく、UTC基準で動いている

多くのBotは、日本時間ではなくUTC(協定世界時)を基準に動いています。

例えば、日本時間とUTCの関係は以下の通りです。

  • 日本時間 午前3時 → UTCでは前日の18時
  • 日本時間 午前9時 → UTCでは0時

つまり、日本で深夜に見えているアクセスは、海外では夕方〜夜や日付切り替えタイミングにあたります。

BotはこのUTC基準でスケジュールされているため、日本から見ると深夜に集中しているように見えるだけです。

Botの種類や役割については、以下の記事で詳しく解説しています。

WordPress公開直後に来たBotの種類を調査
WordPressのアクセスログで見るクローラーと攻撃アクセスの違い

Botのアクセスが特定の時間に集中する理由

定期スキャン(バッチ処理)

多くのBotは、一定間隔で自動的にスキャンを行っています。

  • 1日1回
  • 数時間ごと
  • 定期バッチで一斉実行

といった仕組みで動いており、実行時間はUTC基準で固定されていることが多いです。

サーバー負荷が低い時間を狙う

Botは効率よく巡回することを目的としているため、

  • 人間のアクセスが少ない時間帯
  • ネットワークが空いている時間帯

を優先的に利用する傾向があります。

その結果、日本では深夜〜早朝にアクセスが集中しているように見えます。

クラウド環境(AWS・VPS)で動作している

Botの多くは、

  • AWS
  • Azure
  • VPS

などのクラウド環境で実行されています。

これらの環境は基本的にUTCで管理されているため、Botの動作時間もUTC基準になります。

WordPressでは、ログイン画面を狙った攻撃も頻繁に観測されています。

WordPress公開直後に来たxmlrpc.php POSTリクエスト
WordPressの「/wp-login.php」スキャンとは

攻撃Botは日本時間を意識していない

よくある誤解として、「管理者が寝ている深夜を狙って攻撃しているのでは?」というものがあります。

しかし、一般的なスキャンBotや攻撃Botは、対象サイトを個別に分析しているわけではなく、全世界に対して一斉にスキャンを実行しているだけです。

つまり、特定の国の時間帯を狙っているわけではなく、単純にスケジュール通りに動いているだけです。

例外的に時間帯を狙う攻撃も存在する

ただし例外として、以下のようなケースもあります。

  • 特定のサイトを狙った攻撃
  • 管理者の不在時間を狙う侵入
  • 継続的な標的型攻撃(APT)

このような場合は、人間の行動時間を意識した攻撃が行われることもあります。

ただし、一般的なWordPressサイトに対してはほとんど見られません。

サーバーログで見るBotの時間パターン

ログを観察すると、Botの挙動にはいくつかの特徴があります。

毎日ほぼ同じ時間にアクセス

定期実行(cron)の可能性が高い

短時間に連続アクセス

自動スキャンツールによる探索

時間帯がバラバラ

分散型(ボットネット)

このようなパターンを見ることで、Botの性質をある程度推測できます。

まとめ

Botのアクセスが深夜に多いのは、

  • 日本時間ではなくUTC基準で動いているため
  • 定期スキャンが決まった時間に実行されているため
  • 負荷の低い時間帯を利用しているため

といった理由によるものです。

つまり、Botは日本時間ではなく、世界基準の時間で動いているため、日本では深夜にアクセスが集中しているように見えるということです。

実際のログから見えるBotの挙動については、他の記事でも詳しく紹介しています。

WordPress公開直後にBotアクセス|favicon取得から分かるスキャンの特徴

このブログの運営環境

  • WordPress
  • GeneratePress
  • エックスサーバー
エックスサーバー公式サイト