サマリー
| サーバー種別 | 判定 | 主な確認事項 |
|---|---|---|
| cPanelサーバーA | 異常なし | 通常のボット走査のみ、spam率22% |
| DirectAdminサーバー | 誤検知1件(解消済み) | 単一IPからのroot切断122回→運用担当者自身の接続と確定 |
| cPanelサーバーB(新環境) | 記録事項1件 | spam率49%、一部ドメインで着信急増 |
| cPanelサーバーC | 異常なし | rootログイン成功ゼロ、spam率14%と良好 |
| cPanelサーバーD(廃止予定) | 調査完了・原因未特定だが実害なし | 監視デーモンの子プロセスが特定時間帯にクラッシュ、サービス自体は無停止 |
| cPanelサーバーE | 記録事項1件 | spam率57%、複数ドメインで着信急増 |
| cPanelサーバーF | 不具合発見・修正完了 | 導入済みスパムフィルタが一度も発動していなかったことが判明、原因特定の上で修正 |
各サーバー詳細
cPanelサーバーA
Dovecot・iptables・pam_unix・Connections・SpamAssassin全セクションを確認。SSH root宛の試行は全てpreauth段階での切断で、成功ログインはゼロ。iptablesは2万パケット規模のボット走査を検知したが、いずれも既知の許可外ポートへの正常な遮断だった。SpamAssassinはクリーン78%・スパム22%で、突出したドメインはなし。
DirectAdminサーバー(誤検知の記録)
secure-logで単一IPから「root」宛の接続・切断が122回記録されていた。ログ文言が「認証中」ではなく「認証済みユーザーとして切断」という表現だったため、他の分散的なボット走査とは性質が異なると判断し、いったん要確認扱いにした。
運用担当者に現在の作業環境の接続IPを確認してもらったところ、該当IPは運用担当者自身のものと一致し、誤検知と確定した。作業環境は動的IP回線を使っているため、時期によって複数の異なるIPからアクセスが記録される。今後は同様のログが出た場合、まず運用担当者自身の現在の接続IPと照合してから不審判定する運用に変更した。
また、httpdエラーが1日あたり45万件超と、これまでのベースライン(20万〜36万件)をやや上回った。中身は無関係な海外サイトへの転送を試みるプロキシ悪用の試行と、通常のボットスキャンで構成されており、新しい攻撃パターンの出現ではなかった。単なるボット活動量の増加とみて静観としている。
cPanelサーバーB(新環境)
SSH・Connections・SSHDセクションともpreauthの切断・タイムアウトのみで、成功ログインはゼロ。iptablesの自己発信ブロックも、既知の許可ポートリスト外への正常な遮断と一致していた。
SpamAssassinはクリーン51%・スパム49%と、他サーバーより高めの値。特に3つのメールアカウントで「受信数はごく少ないのにスパムだけ大量」という偏った状態が見られ、スパム配信リストに新規登録された可能性が考えられる(断定はできない)。緊急対応は不要だが、次回以降も同様の傾向が続くようなら利用者への迷惑メールフィルター強化案内を検討する。
cPanelサーバーC
SSH宛の辞書攻撃的な試行(admin、postgres等の汎用アカウント名での総当たり)を多数検知したが、全て失敗で成功ログインはゼロ。SpamAssassinはクリーン86%・スパム14%と良好。ディスク使用率は46%とやや高めだが、余裕は十分にある。
cPanelサーバーD(廃止予定サーバー)
このサーバーは既に廃止方針が確定しており、今後の完全停止に向けて監視のみの運用フェーズに入っている。
Kernelセクションで、cPanelの監視デーモンの子プロセスがセグメンテーション違反を48回記録していたため、詳細調査を実施した。
調査の結果、クラッシュは特定の約4時間に集中して発生し、それ以降は完全に停止していたことが判明した。毎回まったく同じメモリアドレスでクラッシュしており、ランダムな破損ではなく特定条件で再現するバグパターンであることが分かった。クラッシュしていたのは監視サイクルごとに生成される子プロセスのみで、デーモン本体は無停止で稼働を継続していた。
OOM Killer(メモリ不足時の強制終了)の発動記録はなく、メモリにも十分な空きがあった。メール受信サービス自体への影響も、該当時間帯を含めて完全に無停止・エラーゼロだったことを確認している。
根本原因(特定条件で発生するライブラリ内のバグ)は未特定のままだが、廃止予定サーバーであることを踏まえ、追加の恒久対応は行わない判断とした。
cPanelサーバーE
SSHまわりは通常のボット走査のみで異常なし。ディスクも余裕あり。
SpamAssassinはクリーン43%・スパム57%と、今回確認した中で最も高い値。複数のメールアカウントでスパム比率が90%を超えており、特に1アカウントは受信数規模も突出していた。全体的にスパムメールの着信が増加している時期とみられる。
また、あるメールアカウントで同時接続数の上限超過が9回記録されていた。複数端末からの同時アクセス設定に起因する可能性があるが、これ単体では悪意ある動きとは言い切れない。
cPanelサーバーF(スパムフィルタ不具合の発見と修正)
このサーバーでは、以前から導入済みだった特定アカウント向けのスパムフィルタが、依然として高いスパム着信率を示していた点を発端に詳細調査を行った。
調査の結果、フィルタ自体のロジックは正しく作成されていたものの、配置場所が誤っていたことが判明した。メールサーバーソフトウェアの仕組み上、個々のメールボックス単位で配置する必要があるフィルタファイルが、ドメイン単位の場所に置かれていたため、一度も条件判定が行われず実質的に機能していなかった。
この原因を特定した上で、正しい場所への再配置を実施した。作業前には既存設定のバックアップを取得し、既に別の目的(特定件名のメール自動転送)で使われていたフィルタファイルについては、既存のロジックを壊さないよう慎重に新しいロジックを追記する形で対応した。
修正後の動作確認では、いったん「まだ反映されていない」という判定が出たが、これは検証手法自体の限界によるものだった。使用した検証コマンドはメールの宛先経路だけを確認するもので、実際のメールヘッダー情報を伴わないため、ヘッダー内容に依存する条件付きフィルタの動作を正しく検証できていなかった。実際のスパムメールを模したテストデータを使って再検証したところ、フィルタが意図した通りに動作し、スパムメールを専用フォルダへ正しく振り分けることを確認できた。
教訓
- ログ文言の細かな違いに注意する: 「認証中に切断」と「認証済みとして切断」では意味合いが異なるが、後者であっても即座に侵入と断定せず、まず既知の正規アクセス元との照合を優先すべきである。運用担当者自身の接続がログ上「不審」に見えるケースは、動的IP環境では起こりうる。
- 廃止予定サーバーでも異常は追跡する価値がある: 完全停止が決まっているサーバーであっても、原因不明のクラッシュを一度は調査し、サービスへの実害がないことを確認しておくことで、安心して運用終了を迎えられる。
- スパム比率の変動は複数サーバーで同時に見られることがある: 特定のサーバーだけでなく、複数の環境で同時期にスパム着信が増える場合、外部のスパム配信キャンペーンの影響である可能性が高い。
- 導入済みの対策も定期的に動作確認する必要がある: 「設定した」ことと「機能している」ことは別である。特に条件付きの仕組みは、配置場所や参照パスの細かな仕様を誤ると、見た目には正しく設定されているのに実際には一度も動作していない、という状態になり得る。
- 検証ツールの検証範囲を理解した上で結果を解釈する: 経路のテストと実際の条件判定のテストは別物であり、片方だけで「正常」「異常」を断定すると誤判定につながる。ツールが何を検証していないかを意識することが、誤った結論を避ける鍵になる。
タイムライン
- 2026-07-05: cPanelサーバーA・DirectAdminサーバーのログレビュー実施。DirectAdminサーバーで誤検知1件を確認・解消。
- 2026-07-05: cPanelサーバーB(新環境)のログレビュー実施。
- 2026-07-05: cPanelサーバーCのログレビュー実施。
- 2026-07-05: cPanelサーバーD(廃止予定)のログレビュー実施。監視デーモンクラッシュの詳細調査を追加実施し、実害なしと確認。
- 2026-07-05: cPanelサーバーEのログレビュー実施。
- 2026-07-05: cPanelサーバーFのログレビュー実施。スパムフィルタの配置ミスを発見・修正。検証手法の誤りにより一時「未反映」と判断したが、再検証で正常動作を確認。

