ログ解析
アクセスログ解析
架空のWebアクセスログから、不審な管理画面探索の兆候を読み取る演習です。
- 難易度
- 初級
- 所要時間
- 約10分
- カテゴリ
- ログ解析
- 保存
- 未完了
学ぶこと
- HTTPステータスコードの意味を読む
- 短時間の連続アクセスと探索行動を見分ける
- 検知後に残すべき記録を整理する
前提知識
- HTTPステータスコードの基本
- Webサーバーログの見方
シナリオ
小規模な社内ポータルで、短時間に複数の404/401が発生しました。あなたはログの一部を見て、最初に確認すべきパターンを判断します。
与えられた素材
203.0.113.45 - - [16/May/2026:09:14:02 +0900] "GET / HTTP/1.1" 200 "Mozilla/5.0"
203.0.113.45 - - [16/May/2026:09:14:05 +0900] "GET /admin/ HTTP/1.1" 404 "Mozilla/5.0"
203.0.113.45 - - [16/May/2026:09:14:08 +0900] "GET /staff-console/ HTTP/1.1" 401 "Mozilla/5.0"
203.0.113.45 - - [16/May/2026:09:14:12 +0900] "GET /backup/ HTTP/1.1" 404 "Mozilla/5.0"
203.0.113.45 - - [16/May/2026:09:14:16 +0900] "GET /login/ HTTP/1.1" 200 "Mozilla/5.0"
198.51.100.20 - - [16/May/2026:09:15:01 +0900] "GET /news/ HTTP/1.1" 200 "Mozilla/5.0"IPアドレスはドキュメント用の予約アドレスです。
フラグを入力する
ログから読み取れる最初の判断を示すフラグを入力してください。形式: CYBERLENS{...}
入力値は小文字化し、空白を除去してSHA-256で照合します。入力内容は保存されません。
Hints
段階ヒント
- Hint 1
同じ送信元から短時間に複数の存在しないパスへアクセスしています。
- Hint 2
404だけでなく、401が混ざる場合は認証が必要な領域への到達可能性も確認します。
- Hint 3
ここで見るべき中心は「管理画面らしき場所を探しているパターン」です。
Solved
解説
正解は、管理画面や周辺パスを短時間で探しているパターンとして初動確認へ回す判断です。このログだけで侵害とは断定できませんが、同一送信元から管理系に見えるパスへ連続アクセスがあり、401も発生しています。実務では、対象IP、時刻、User-Agent、到達したパス、認証成功の有無、同時間帯の別ログをセットで確認します。
防御・実務での確認ポイント
- 404の数だけでなく、短時間の連続性とアクセス先の性質を見る
- 401/403/200が混ざる場合は、認証画面や管理機能への到達を確認する
- ログは時刻、送信元、パス、ステータス、User-Agentをセットで保存する
- 管理画面は公開範囲、MFA、許可IP、監査ログを合わせて点検する