WordPress公開直後にBotが最初に確認するURL|実際のアクセスログから分析【Security Log #2】

vivisec
WordPress公開直後にBotが最初に確認するURL|実際のアクセスログから分析【Security Log #2】

※本記事にはプロモーションが含まれています。

前回の記事では、WordPress公開直後にBotがアクセスしてくる様子を紹介しました。
今回はそのアクセスログを詳しく見て、Botが最初に確認しているURLを分析してみます。

WordPressサイトを公開すると、驚くほど早くBotがアクセスしてきます。

しかも、検索エンジンのクローラーだけではありません。
セキュリティスキャナーや自動巡回Botなど、さまざまなBotがサイトを確認しに来ます。

実際にサーバーログを見てみると、公開直後のBotはある特徴的なURLを最初に確認していることが分かりました。

この記事では、実際のアクセスログをもとに、

  • WordPress公開直後にBotが確認するURL
  • なぜそのURLが最初にアクセスされるのか
  • そこから分かるBotの目的

を分かりやすく解説します。

WordPress公開直後に最初にアクセスされたURL

まずは、実際のアクセスログの一部を見てみます。

GET / HTTP/2.0
GET /favicon.ico
GET /favicon.png

このログを見ると、Botは次の順番でアクセスしています。

  1. トップページ /
  2. favicon /favicon.ico
  3. favicon /favicon.png

つまり、Botはサイトのアイコン(favicon)をすぐに確認しているのです。

なぜBotはfaviconを確認するのか

faviconとは、ブラウザのタブなどに表示されるサイトアイコンのことです。

WordPressでは通常、次のような場所にあります。

/favicon.ico

実はこのfaviconは、Botにとってサイトの種類を識別する手がかりになります。

その理由は、次の3つです。

理由① サイトの存在確認

まず、Botはサイトのトップページにアクセスして

GET /

でサイトが存在するかを確認します。

そのあとに favicon を取得することで、

  • 正常なサイトか
  • 実際に稼働しているか

を確認します。

これはスキャナーの初期チェックとしてよく使われます。

理由② サイトの指紋(フィンガープリント)取得

faviconは、セキュリティスキャンでよく使われるフィンガープリント情報です。

faviconのハッシュ値を計算すると、

  • CMSの種類
  • 使用しているサービス
  • 特定のアプリケーション

などを識別できることがあります。

たとえば、

  • WordPress
  • Jenkins
  • GitLab
  • 管理パネル

などは、faviconで判別されることがあります。

そのためスキャナーは、

/favicon.ico

を取得してハッシュを計算し、どんなシステムが動いているかを推測します。

理由③ 脆弱性スキャンの準備

サイトの種類が分かると、Botは次のような行動を取ります。

/wp-login.php
/xmlrpc.php
/wp-admin

など、CMSに合わせたURLをスキャンします。

つまりfaviconは、「このサイトをどう攻撃するか」を決めるヒントになることがあります。

実際のBotの挙動|公開直後のアクセスログ

公開直後のログを整理すると、次のような流れでした。

GET /

GET /favicon.ico

GET /favicon.png

これは典型的な自動スキャナーの初期動作です。

サイトの状態を軽く確認してから、CMSの判別スキャン対象の決定を行っていると考えられます。

WordPressサイトではよくあるBotの次の行動

WordPressサイトの場合、その後に次のURLがスキャンされることがよくあります。

/wp-login.php
/xmlrpc.php
/wp-json/
/wp-content/plugins/
/wp-admin

これはWordPressの

  • 管理画面
  • API
  • プラグイン
  • 認証機能

などを確認するためです。

つまり、Botは

  1. サイト存在確認
  2. favicon取得
  3. CMS判別
  4. 脆弱性スキャン

という順番で動くことが多いのです。

サーバーログを見ると分かること

今回のようにアクセスログを確認すると、次のようなことが分かります。

  • どんなBotが来ているか
  • どのURLをスキャンしているか
  • 攻撃前の挙動

これはセキュリティ対策としても非常に重要です。

ログを見ていると、「Botはこんな順番でサイトを調べているのか」という発見がたくさんあります

まとめ|Botはfaviconでサイトを識別している

WordPress公開直後のアクセスログを見ると、Botは次の順番でサイトを確認していました。

  1. トップページ /
  2. favicon /favicon.ico
  3. favicon /favicon.png

faviconは単なるサイトアイコンですが、

  • サイト識別
  • CMS判別
  • スキャン準備

などに使われることがあります。

普段あまり意識しないファイルですが、サーバーログを見るとBotの行動パターンがよく分かります。

WordPressサイトを運営している人は、一度アクセスログを見てみると面白い発見があるかもしれません。

【関連記事】

このブログの運営環境

  • WordPress
  • GeneratePress
  • エックスサーバー

エックスサーバー公式サイト