Security Analysis Dashboard

2026-05-19 (JST) | UTC: 2026-05-18T15:00 ~ 2026-05-19T15:00 | tek-safari.com

3,656
HTTP Requests
700
WAF Blocks
1,006
404 Errors
776
403 Forbidden
648
200 OK
1,179
301 Redirect
19.1%
Attack Rate
Security Engineer Findings
CRITICAL

1. 単一IPからの大規模TOPページスクレイピング (NL)

93.123.109.15 (NL, AS48090 = NetCup GmbH) から1IPで 736件 のリクエスト。すべて / へのGETで 200 OK を返している (WAFブロックは119件)。

UAは Firefox 47 (2016年リリース) — 完全に古いブラウザ偽装。攻撃ではなくサイト内容のクローリング・スクレイピング・キャッシュ目的か、もしくはフィッシング用のページコピー作成の可能性が高い。

同じIPがWAFにも119件ブロックされていることから、TOPページ収集後に脆弱性スキャンへ移行している兆候も。

推奨対応: 1) NetCup VPS (AS48090) からの大量アクセスを Rate Limit (10req/min) で制御
2) 93.123.109.15 を即座にBlock
3) Firefox 47 などの旧UAに対し Managed Challenge を強制
4) フィッシング目的の可能性も視野に ブランドモニタリング 実施を推奨
CRITICAL

2. WordPress wp-login.php への組織的Brute Force

WAFブロック700件中 494件 (70.6%)/wp-login.php。HTTP全体でも494件記録されており、ほぼWAFで防いでいる状況。

攻撃元は 15カ国以上 に分散 (US/NL/FR/DE/VN/LK/IN/SG/CA/TR/ES/FI/LT/AT/MK) で、典型的なBotnet型分散攻撃。POSTが242件あり、明確な認証突破試行。

UA偽装も多彩 — Chrome 133、Firefox 47、`Mozlila` typo (Bot確定) など。

推奨対応: 1) /wp-login.phpCloudflare Managed Challenge を強制
2) WordPressに 2FA/MFA必須化 (WP 2FA, Wordfence)
3) Rate Limit: POST /wp-login.php を 3req/min/IP
4) ログイン許可IPのallowlist運用検討
HIGH

3. .env / Git Config 漏洩スキャン (情報漏洩偵察)

WAF Rule "Version Control - Information Disclosure" が 114件発火。具体的には:

/.env (6件), /api/.env, /app/.env, /backend/.env, /admin/.env, /core/.env, /.env.bak, /.git/config (5件), /.git/HEAD, /wp-config.php.bak

API キー / DB認証情報 / Git履歴の漏洩を狙う典型的パターン。複数のパスを順次試している=自動化スキャナ

推奨対応: 1) Origin サーバで .env, .git/, .bak, .swpNginx/Apache レベルで完全Block
2) 万一漏洩確認 → 全シークレットローテーション (DB, API key, OAuth secret)
3) GitHub等で.env誤コミット確認 (history全体)
4) CSPM/SecurityHubでの継続監視
HIGH

4. ALFA-TeAM Webshell探索 (高度な攻撃グループ)

/ALFA_DATA/alfacgiapi/perl.alfa/alfacgiapi/perl.alfa へのアクセスが各6件。ALFA TeaM Shell はトルコ系の攻撃者集団が使用する有名なPHPバックドア。

これは「過去に侵害されて置き残されたWebshellを探す」スキャン (= 既に他の攻撃グループが踏み台化してないかを確認する) であり、サーバが既に侵害されている前提での攻撃。

推奨対応: 1) Origin で find / -name "*.alfa" -o -name "alfacgiapi" -o -name "ALFA_DATA" 実行で残置確認
2) /wp-content/uploads/**/*.php 実行禁止
3) FIM (ファイル完全性監視) 導入: Wazuh / Tripwire
4) Cloudflare WAF Managed "Cloudflare Specials - Web Shells" を Block 動作で有効化
MEDIUM

5. SEO Themeプラグインの脆弱性悪用試行

/wp-content/themes/seotheme/db.php へのアクセス 14件。これは WordPress用「SEO Theme」プラグインに過去存在した 未認証RCE脆弱性 を狙う典型パス。

すべて 403 で阻止できているが、Mozlila/5.0 (typoでBot確定) UAを使う攻撃者がCA・NL複数IPから試行 (52.138.3.25, 45.92.1.17)。

推奨対応: 1) seotheme プラグインを使用していないか確認、使用中なら最新化または削除
2) WAF Custom Rule: http.request.uri.path contains "/themes/seotheme/" → Block
3) 全WordPressプラグインの棚卸と未使用削除
MEDIUM

6. WordPress Broken Access Control / LFI 試行

WAF Rule "Wordpress - Broken Access Control, File Inclusion" が 19件、"Information Disclosure - Common Files" が 19件、"Information Disclosure - File Extension" が 20件 発火。

これらは wp-config.php.bak, .env, .swp, .DS_Store, バックアップ系ファイル拡張子を狙うパターン。

推奨対応: 1) 引き続きWAF Managed Ruleを Block 動作で維持
2) リバプロ/オリジンで バックアップファイル拡張子の配信を全面禁止 (.bak, .swp, .old, .orig, ~)
MEDIUM

7. Azure VM経由攻撃の継続 (前日からの兆候)

HTTP Top IPs に 20.12.236.157 (Azure) が 652件。前日(5/20)も Azure IP複数からの攻撃を観測しており、攻撃者がAzure VMをローテーションして使い続けている状況。

WAFブロック上位の 2602:fb54:1400::1d6 (IPv6) や 45.148.10.21, 45.154.98.229 はBulletproof Hosting系の常連IPレンジ。

推奨対応: 1) AS8075 (Microsoft Azure) からの /wp-* アクセスを Block (誤検知に注意)
2) Bulletproof系ASN (AS204957, AS59711, AS62240 など) を継続Block
3) Cloudflare Bot Management 導入を検討
LOW

8. オランダ(NL)からのトラフィック異常増加

NLからのリクエストが 929件 (25.4%) でUSに次ぐ第2位。WAFブロックも177件と多い。前日(5/20)はNLが10位以下だったので、急増している。

NetCup(AS48090) や Bulletproof系プロバイダ(AS49434等)からの攻撃が集中している可能性。

推奨対応: 該当ASNを特定し必要に応じてGeo+ASNベースでChallenge化
INFO

9. 攻撃比率は前日比でさらに悪化 (11.6% → 19.1%)

5/20: 11.6% → 5/19: 19.1% と攻撃比率が上昇。WAFブロックも 179 → 700件 (3.9倍)

200 OKは648件あるが、その大半がボット (DotBot 672, NetCup 736…) なので真の人間トラフィックは数十件以下と推定。

攻撃の多くは AMS (Amsterdam) Edge を経由しており、欧州発信攻撃の集中ターゲットになっている可能性。

推奨対応: 1) Cloudflare Access (Zero Trust) で管理画面群を完全私有化
2) Bot Fight Mode (Super) を Block 動作に
3) ログ保全とインシデント対応プレイブックの整備
Current WAF Rules (Active)
edaa72c3f28f4a00a51fedd19c16f390
wp-login.php
CustomBlocks: 494Coverage: 70.6%
23548ee2b36547a1be09bb2c0550c529
Version Control - Info Disclosure
ManagedBlocks: 114
0242110ae62e44028a13bf4834780914
Vulnerability scanner activity
ManagedBlocks: 34
c04705c7adee4ce3a763bd5e18135e0c
Info Disclosure - File Extension
ManagedBlocks: 20
7994335d116849f7a0ab6b771d1d0db7
WP Broken Access / LFI
ManagedBlocks: 19
c2a2f414a67c409f90cccb6c5bba0215
Info Disclosure - Common Files
ManagedBlocks: 19
Proposed New WAF Rules & Improvements
MUST #1

Rate Limit: wp-login.php (POST)

既存の wp-login.php Block は full block。だが正規ユーザーも管理画面に入れない。Rate Limit化することで「攻撃は止めて正規利用は許可」。

EXPRESSION
(http.request.uri.path eq "/wp-login.php"
 and http.request.method eq "POST")
RATE LIMIT CONFIG
Requests: 3 / 1 minute  per IP
Mitigation: Block for 1 hour
Action: Managed Challenge first, escalate to Block
Type: Rate Limiting RulePhase: http_ratelimit
MUST #2

Block: Hosting Provider ASN → /wp-* & /xmlrpc.php

Azure (AS8075) / AWS (AS14618, AS16509) / GCP (AS396982) / NetCup (AS48090) / OVH (AS16276) などのVPSから WordPress 管理機能への直接アクセスは 正規利用がほぼゼロ。攻撃用VM対策として最も効果的。

EXPRESSION
(starts_with(http.request.uri.path, "/wp-")
 or http.request.uri.path eq "/xmlrpc.php"
 or http.request.uri.path eq "/wp-login.php")
 and ip.geoip.asnum in {8075 14618 16509 396982 48090 16276 24940 63949 14061 20473}
Action: BlockPhase: http_request_firewall_custom
MUST #3

Block: .env / .git / Backup File 全パターン

Managed Rule "Version Control" は通っているが、/api/.env, /app/.env, /backend/.env など派生パスをまとめて確実に防ぐ。Origin で穴があっても多層防御。

EXPRESSION
(http.request.uri.path matches "(?i)(^|/)\\.(env|git|svn|hg|DS_Store|aws|ssh|vscode|idea)(/|$|\\.)"
 or http.request.uri.path matches "(?i)\\.(bak|backup|old|orig|swp|swo|save|tmp|~)$"
 or http.request.uri.path matches "(?i)/(wp-config|configuration|database|settings)\\.(php|inc|yml|yaml|json)\\.(bak|old|orig|swp|save)$"
 or http.request.uri.path matches "(?i)/(api|app|backend|admin|core|public|src|dev|prod|staging)/\\.env"
 or http.request.uri.path matches "(?i)/\\.env(\\.|$)")
Action: BlockPhase: http_request_firewall_custom
MUST #4

Block: ALFA Webshell / Common PHP Backdoor Paths

ALFA TeaM Webshell など 侵害済みサーバ前提のスキャン はBlock。万一残置されていてもアクセスを遮断。

EXPRESSION
(http.request.uri.path matches "(?i)(ALFA_DATA|alfacgiapi|\\.alfa|/r57|/c99|/wso|/b374k|/lite_shell|/wp_filemanager|/marijuana|/indoxploit|/anonghost|/priv8)"
 or http.request.uri.path matches "(?i)\\.(php|phtml|phar|php3|php5|php7|pht)/?$" and http.request.uri.path matches "(?i)/uploads/"
 or http.request.uri.path matches "(?i)/(shell|backdoor|cmd|exec|spy|adminer|phpmyadmin/scripts/setup\\.php)\\.php$")
Action: BlockPhase: http_request_firewall_custom
MUST #5

Challenge: 古い/偽装 UA + Bot Score 30未満

スクレイピング攻撃者 (93.123.109.15 Firefox 47) や Mozlila/5.0 typo botを止める。Bot Managementの Bot Score と組み合わせて誤検知低減。

EXPRESSION
((http.user_agent matches "(?i)(Firefox/4[0-9]\\.|Chrome/[1-7]?[0-9]\\.|MSIE [1-9]\\.|Mozlila)"
 or http.user_agent eq ""
 or len(http.user_agent) lt 20)
 and cf.bot_management.score lt 30
 and not cf.bot_management.verified_bot)
Action: Managed ChallengePhase: http_request_firewall_customNote: Bot Mgmt 有料機能
SHOULD #6

Block: /xmlrpc.php 全Block (Jetpack 未使用前提)

XML-RPC は pingback増幅DDoS / system.multicall を悪用したパスワード総当たり で乱用される。Jetpack使用時は Jetpack IP のみ allowlist。

EXPRESSION (Jetpack 未使用)
(http.request.uri.path eq "/xmlrpc.php")
EXPRESSION (Jetpack 使用時)
(http.request.uri.path eq "/xmlrpc.php"
 and not ip.src in {192.0.64.0/18 195.234.108.0/22})
Action: Block
SHOULD #7

Block: SEO Theme & 既知脆弱プラグイン Path

14件攻撃を受けている seotheme/db.php や WP脆弱性データベース上位の常連プラグインを一括Block。

EXPRESSION
(http.request.uri.path matches "(?i)/wp-content/(themes|plugins)/(seotheme|hellopress|easy-wp-smtp|wp-file-manager|ultimate-member|file-manager-advanced|essential-addons-for-elementor-lite|duplicator|wpdiscuz|elementor-pro)/"
 and http.request.uri.path matches "(?i)\\.(php|phar|phtml)$")
Action: BlockNote: 自サイトで未使用のものに限定推奨
SHOULD #8

Rate Limit: TOPページ大量スクレイピング対策

93.123.109.15 が1日736req/`/` 取得 = 約30req/分。スクレイピング・コンテンツコピーをRate Limitで阻止。

EXPRESSION
(http.request.uri.path in {"/" "/sitemap.xml" "/robots.txt"}
 and http.request.method eq "GET"
 and not cf.bot_management.verified_bot
 and not cf.client.bot)
RATE LIMIT
Requests: 60 / 1 minute  per IP
Mitigation: Managed Challenge for 10 minutes
Type: Rate Limiting Rule
SHOULD #9

Block: 未使用サブドメインへのアクセス

contorller(typo), cpcontacts, autodiscover, webdisk, hostmaster など本番運用していないサブドメインへのアクセスは 100% 偵察。

EXPRESSION
(http.host in {"contorller.tek-safari.com"
               "cpcontacts.tek-safari.com"
               "autodiscover.tek-safari.com"
               "webdisk.tek-safari.com"
               "hostmaster.tek-safari.com"
               "blog.blog.tek-safari.com"
               "demo.hostmaster.tek-safari.com"})
Action: BlockBetter: DNS削除が根本対策
SHOULD #10

Challenge: 高リスク地理 + WordPress 管理アクセス

国別Block は誤検知が大きいので Challenge で確認。攻撃集中している NL/VN/LK/TR + WP管理エリアの組合せに限定。

EXPRESSION
((starts_with(http.request.uri.path, "/wp-admin")
  or starts_with(http.request.uri.path, "/wp-login")
  or starts_with(http.request.uri.path, "/wp-includes")
  or http.request.uri.path eq "/xmlrpc.php")
 and ip.geoip.country in {"NL" "VN" "LK" "TR" "BG" "RU" "IR" "KP" "CN"})
Action: Managed Challenge
SHOULD #11

Block: PHP実行を全アップロードディレクトリで禁止

侵入されてもWebshellを実行不能にする防御層。/wp-content/uploads/** 配下の .php 等はBlock。

EXPRESSION
(http.request.uri.path matches "(?i)/(wp-content/uploads|uploads|files|media|images|cache)/.*\\.(php|phar|phtml|php3|php5|php7|pht|inc|cgi|pl|py|sh|asp|aspx|jsp)$")
Action: Block
NICE #12

Enable: Cloudflare Managed Specials (Webshell / Backdoor)

Managed Ruleset の "Cloudflare Specials" パッケージで Web Shells / Common Backdoors / CMSの新規CVEを自動カバー。手動メンテ不要。

CONFIG (Dashboard)
Security → WAF → Managed rules
  ✓ Cloudflare Managed Ruleset (Block)
  ✓ Cloudflare OWASP Core Ruleset (Block; sensitivity=High, score≥40)
  ✓ Cloudflare Exposed Credentials Check (Block on hit)
Note: 全て Block 動作で運用、Log → Block 段階移行も可
NICE #13

Enable: Super Bot Fight Mode (Block "Definitely Automated")

DotBot(672), MJ12, SEMRushBot などのアグレッシブ商用クローラーや、UA偽装の攻撃Bot を一網打尽。

CONFIG (Dashboard)
Security → Bots → Configure Super Bot Fight Mode
  Definitely Automated → Block
  Likely Automated → Managed Challenge
  Verified Bots → Allow (Google/Bing/Apple のみ)
  Static Resource Protection → On
  JS Detections → On
Note: Pro / Business plan の機能
NICE #14

Cloudflare Access for /wp-admin (Zero Trust)

WAFは「攻撃トラフィックを止める」防御。Access は「認可されたユーザー以外はリクエスト到達不可」にする根本対策。管理画面群に最適。

CONFIG
Zero Trust → Access → Applications → Self-hosted
  Application Domain: tek-safari.com/wp-admin*
                    : tek-safari.com/wp-login.php
  Policy:
    Action: Allow
    Include: Emails ending in @yourcompany.com
    Require: MFA (TOTP/WebAuthn)
    Session Duration: 8h
Note: 50user/month まで無料
NICE #15

Log Rule: 異常パターンの可視化(Block前のLog運用)

本番投入前に Log で誤検知有無を確認。1週間Log → 問題なければBlock化、というのが安全な運用。

EXPRESSION (新ルールごとに Log版を先に作成)
(同じ expression を使い、Action = Log)
Action: LogRun: 7日間観察 → 問題なければBlock化
HTTP Traffic

Edge Response Status Codes

Top Countries

Top Request Hosts

Top Client IPs (suspect)

Top Request Paths (recon patterns)

Top Edge Data Centers

HTTP Methods

Cache Status

WAF / Firewall Blocks (700 events)

WAF Rule Triggered

WAF Targeted Paths

Top WAF Source IPs

WAF Source Countries

WAF Block Locations (Edge Colo)

WAF HTTP Methods

Security Sources

Targeted Hosts