本日の最も重要な発見は、過去3日以内に観測された2つの主要攻撃者がほぼ同じTTPで再来した ことです:
① 5/18の SG VPS 攻撃者 → 5/21に再来: 161.118.229.4 (5/18) と 161.118.249.45 (5/21) は 同一 /16 サブネット (161.118.0.0/16)。同一の wp-login.php POST Brute Force 858件。
② 5/19の NL Scraper → 5/21に再来: 93.123.109.15 (5/19) と 195.178.110.33 (5/21) は 異なるNL VPS だが 完全に同じFirefox 47 UA でホームページ集中スクレイピング。
これは 「3-4日サイクルで再アクティブ化する計画的キャンペーン」 を意味します。攻撃者は IP Blockされても新IPを取得して継続する 戦略を取っており、単純な単発IP Blockは効果が限定的。CIDR + UA Fingerprint ベースの Block が必要です。