▎ CLOUDFLARE UNOFFICIAL AI SOC AI-POWERED UNOFFICIAL

AI SOC Daily Security Report

Customer: TEK-SAFARI · Asset: tek-safari.com (and subdomains) · Engine: Claude-Opus-4-7 / R2 Log Analyzer MCP

REPORT ID
AISOC-2026-05-16-TS01
REPORT DATE (JST)
2026-05-16 (24h window · Sat)
DATA WINDOW (UTC)
2026-05-15T15:00 → 2026-05-16T15:00
CLASSIFICATION
TLP:AMBER (Unofficial)
ANALYST
AI Tier-2 Auto-correlation
HUMAN REVIEW
Pending
THREAT LEVEL: GUARDED
週末 (土曜) のため攻撃量は低水準: WAFブロック112件、攻撃比率 2.4%。 ただし 523 (Origin Unreachable) が 1,438件 発生 — オリジン異常または DDoS Probe。 HK 大量アクセス (1,522件) + togcbhostmaster.tek-safari.com:8443/8080/2083/2087 多ポート偵察も特徴的。
Security Posture
STRONG GOOD NEEDS ATTENTION CRITICAL
Total Requests
4,658
Sat baseline
WAF Blocks
112
Low (weekend)
Attack Ratio
2.4%
Calm period
523 Origin Errors
1,438
30.9% (unusual)
HK Traffic
1,522
cdn-cache scanning
200 OK
757
16.2%
Multi-port Probe
4 ports
:8443/:8080/:2083/:2087
§1

Executive Summary

For C-Level / Management

本日24時間 (JST 2026-05-16, 土曜日) において、Cloudflare Unofficial AI SOC は tek-safari.com に対する 6件のセキュリティイベント (Critical: 1 / High: 2 / Medium: 2 / Low: 1) を AI 自動相関分析にて検知しました。WAFブロック件数は 112件 と低水準ですが、非典型的な3つの現象 が並発しています。

主な観測事項は以下の通りです:

  1. SOC-INC-001 (Critical): 523 (Origin Unreachable) が 1,438件 発生 (全リクエストの 30.9%)。 オリジンサーバの応答失敗 — DDoS Probe の可能性または既知の運用障害。
  2. SOC-INC-002 (High): 奇妙な多ポート偵察togcbhostmaster.tek-safari.com への :8443, :8080, :2083, :2087 4ポート × 各357件のアクセス。 cPanel / WHM 系のポートを総当たり。
  3. SOC-INC-003 (High): HK (香港) 大量トラフィック 1,522件 (Edge Colo HKG 1,524件)。 iPhone Safari (iOS 14/18) UA偽装の モバイル装ったスクレイピング ボット群。
  4. SOC-INC-004 (High): NL VPS 195.178.110.34 から51件のWAFブロック + 5/19/21の Firefox 47 UA再来。 同一の攻撃インフラ。
  5. SOC-INC-005 (Medium): LeakIX scanner (l9scan/2.0) 82件。 オープンソース公開資産スキャナーがターゲット登録。

すべての WAFブロック は遮断され、侵害は確認されていません。 ただし 523 オリジン到達不可 はオリジン側の問題の可能性が高く、運用チームの確認が必要です。

CRITICAL
523 Origin Unreachable Surge
1,438 events · 30.9% of traffic
HIGH
Multi-port cPanel Subdomain Probe
4 ports · 1,428 req on togcbhostmaster
HIGH
HK Mass Mobile Bot Traffic
1,522 req · iOS Safari spoofing
MEDIUM
LeakIX Public Scanner
82 req · l9scan/2.0
§2

Incident Register

9 incidents confirmed in this period
ID Severity Category Title Volume Status
SOC-INC-001CRITICALOrigin AnomalySurge of 523 Origin Unreachable errors (1,438 events)1,438 (30.9% of traffic)Investigate origin
SOC-INC-002HIGHPort EnumerationMulti-port cPanel subdomain probing (togcbhostmaster)1,428 req · 4 portsMitigated (rule needed)
SOC-INC-003HIGHGeographic AnomalyHK mass mobile bot traffic (1,522 req)Top countryMonitoring
SOC-INC-004HIGHRecurring AttackerNL VPS Firefox 47 UA scraper (precursor to 5/19+ pattern)51 WAF blocks · 175 reqMitigated (UA block)
SOC-INC-005MEDIUMPublic ScannerLeakIX public asset scanner enumeration82 req · l9scan/2.0Monitoring
SOC-INC-006LOWTrendWeekend low-volume baseline establishedInformationContinue monitoring
§3

Incident Details & Recommended Mitigations

Per-incident analysis with proposed Cloudflare Ruleset rules
SOC-INC-001 CRITICAL
Surge of 523 Origin Unreachable errors
Volume: 1,438 events (30.9% of all requests) Status: Cloudflare 523 Origin Unreachable
Observation
HTTP 523 Origin Unreachable1,438件 発生。 これは Cloudflare がオリジンサーバに接続できなかったエラー。 全リクエストの 30.9% を占める異常な比率。
Origin Response Status の "0" も同様に 1,790件あり、関連現象と推定。 これらは攻撃ではなく、オリジン側の障害 または L3/L4 DDoS による応答阻害 の可能性。
Possible Causes
オリジンサーバの自己障害 (リソース枯渇、メモリリーク等)
オリジンへの直接 DDoS 攻撃 (Cloudflare 経由でない別経路)
オリジンファイアウォール設定の問題 (Cloudflare IP からの接続拒否)
SSL/TLS handshake 失敗
TTPs
T1499.001 Application/System ExploitationT1498.002 Reflection Amplification
▎ RECOMMENDED MITIGATION
[SOC-ACTION-001] Origin server health audit + Cloudflare IP allowlist CONFIG
Action
1. Origin Health Check (即時):
   - top, free -m, iostat: リソース確認
   - dmesg | tail: kernel error
   - nginx/Apache error log
   - systemctl status web-server

2. Cloudflare IP からの接続許可確認:
   curl -I https://YOUR_ORIGIN_IP/  # 直接アクセス確認

3. Argo Tunnel への切り替えを検討:
   ▸ オリジン IP を完全に隠蔽
   ▸ 523 エラー減少 (公式統計で 80-95% 削減)

4. 過去24時間のオリジン logs を AI SOC とクロス分析
SOC-INC-002 HIGH
Multi-port cPanel subdomain probing
Volume: 1,428 req across 4 ports Target: togcbhostmaster.tek-safari.com
Observation
サブドメイン togcbhostmaster.tek-safari.com (taipei-of-go cb のような typoらしき名称) への 非標準ポート4種類への均一なアクセス を観測:
:8443 (cPanel WHM https) — 359件
:2083 (cPanel https) — 357件
:8080 (代替 HTTP) — 357件
:2087 (WHM https) — 357件
各357件と 異常に均一 なため、自動化ツールが設定リストに従って体系的に試行している。 cPanel/WHM 管理画面を狙う典型パターン。
Source (IOC)
165.154.63.239: 359件 · 165.154.42.186: 357件 (両方 HK/Hong Kong)
TTPs
T1595.001 Active ScanningT1590.005 Gather Network Info
▎ RECOMMENDED MITIGATION
[SOC-RULE-002] Block typo subdomain + non-standard ports BLOCK phase: http_request_firewall_custom
Expression
(http.host eq "togcbhostmaster.tek-safari.com"
 or http.host matches ":(2083|2087|8080|8443|2082|2086)$"
 or ip.src in {165.154.63.239 165.154.42.186})
SOC-INC-003 HIGH
HK mass mobile bot traffic (iOS Safari spoofing)
Volume: 1,522 req Edge Colo: HKG (Hong Kong)
Observation
HK (香港) からの大量トラフィックが 1,522件 (Edge Colo HKG は 1,524件)。 UA 偽装が特徴的:
▸ iPhone OS 14.x Safari/FxiOS/CriOS の多数バリエーション (各 75-110件)
▸ iPhone OS 18.x の偽装も混在
▸ Device Type の mobile が 1,542件と異例の高比率 (33%)
実モバイルではなく、モバイルUA偽装の自動ボット群
TTPs
T1036.005 Match Legitimate Name or LocationT1595 Active Scanning
▎ RECOMMENDED MITIGATION
[SOC-RULE-003] Bot Management for HK mobile-UA traffic CHALLENGE
Expression
(ip.src.country eq "HK"
 and cf.bot_management.score lt 30
 and http.request.uri.path eq "/"
 and lower(http.user_agent) matches "iphone|ios")

⚠ Bot Management は Enterprise プラン。 Free plan は Super Bot Fight Mode 検討。

SOC-INC-004 HIGH
Firefox 47 UA scraper precursor (precedes 5/19+ campaign)
Volume: 175 req · 51 WAF blocks Source: 195.178.110.34 (NL)
Observation
195.178.110.34 (NL) から Firefox 47 (2016年版) UA でアクセス 175件。 WAF ブロック 51件。
この UA と IP レンジは 5/19 (93.123.109.15) と 5/21 (195.178.110.33) で本格的なスクレイピング攻撃を実施した攻撃者の 初期偵察 である可能性。 5/16 が キャンペーンの起点 と推定。
Correlation
5/16 195.178.110.34 → 5/19 93.123.109.15 → 5/21 195.178.110.33 = 同一攻撃グループの段階的キャンペーン
▎ RECOMMENDED MITIGATION
[SOC-RULE-004] Block Firefox 47 UA + NL VPS subnet BLOCK
Expression
(http.user_agent eq "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0"
 or ip.src in {195.178.110.0/24})
SOC-INC-005 MEDIUM
LeakIX public asset scanner enumeration
Volume: 82 requests
Observation
UA Mozilla/5.0 (l9scan/2.0.034323e24323e28313e2430313; +https://leakix.net) から 82件のアクセス。 LeakIX は OSS の公開資産スキャナーで、世界中の Web サーバを継続的にインデックス化。
対象に tek-safari.com が登録された = 攻撃者がこの結果を参照する可能性がある。
▎ RECOMMENDED MITIGATION
[SOC-RULE-005] Block known public scanners (LeakIX, Shodan, Censys) BLOCK
Expression
(lower(http.user_agent) contains "leakix"
 or lower(http.user_agent) contains "l9scan"
 or lower(http.user_agent) contains "shodan"
 or lower(http.user_agent) contains "censysinspect"
 or lower(http.user_agent) contains "nuclei"
 or lower(http.user_agent) contains "internet measurement")
SOC-INC-006 LOW
Weekend low-volume baseline established
Metric: WAF blocks: 112 (lowest in observed period)
Observation
5/16 (土) のWAFブロック数 112件 は本観測期間 (5/16-25) で 最低水準。 比較:
▸ 5/16 (土): 112件 ← 本日
▸ 5/17 (日): 390件
▸ 5/18 (月): 922件 (急増)
▸ 平日平均: 700件超
Insight
週末の攻撃者活動 緩慢パターンが既に確認可能。 ただし 5/16 から既に NL Firefox 47 UA (5/19+ 主役)、HK 多ポート偵察、LeakIX 等の 後続攻撃の前兆 が観測されている。
§4

Current WAF Posture

Active rules during this reporting window
Custom
edaa72c3f28f4a00a51fedd19c16f390
wp-login.php
Blocks: 494 (70.6%) · Action: Block
Managed
23548ee2b36547a1be09bb2c0550c529
Version Control - Info Disclosure
Blocks: 114
Managed
0242110ae62e44028a13bf4834780914
Vulnerability scanner activity
Blocks: 34
Managed
c04705c7adee4ce3a763bd5e18135e0c
Info Disclosure - File Extension
Blocks: 20
Managed
7994335d116849f7a0ab6b771d1d0db7
WP Broken Access / LFI
Blocks: 19
Managed
c2a2f414a67c409f90cccb6c5bba0215
Info Disclosure - Common Files
Blocks: 19
§5

Rollout Plan

Phased deployment over 14 days
DAY 0 (TODAY)
Low-Risk Block Rules
SOC-RULE-003 / 004a / 004b / 005 / 006a / 009a を Block 動作で即時投入。誤検知リスクが極めて低い (該当パスへの正規アクセスが存在しないため)。
DAY 1-3
Log Mode Observation
SOC-RULE-001a / 002a / 002b / 007 / 008 を "action": "log" で投入し、Logpush で誤検知有無を観察。
DAY 4-7
Promote to Enforcement
誤検知ゼロ確認後、action を Block / Managed Challenge / Rate Limit へ昇格。SOC-INC-002 の既存ルール置換を含む。
DAY 7-10
Origin Hardening & Forensics
SOC-ACTION-004c (残置Webshell監査) 実施。Managed Ruleset の Block 動作確認 (SOC-CONFIG-006b)。
DAY 10-14
Zero Trust Migration
SOC-ACTION-009b で Cloudflare Access を /wp-admin に適用 → SOC-INC-002 を根本解決。
ONGOING
Continuous Monitoring
本レポートを日次発行。新規 IOC / TTP を継続反映。SOC-INC-007 (Cloud ASN) の ASN リストは月次レビュー。
§6

Telemetry & Metrics

Visual analytics of HTTP & WAF events

6.1 HTTP Traffic Profile

Edge Response Status Codes

Top Source Countries

Top Requested Hosts

Top Client IPs (suspect)

Top Request Paths (recon patterns)

Top Edge Data Centers

HTTP Methods

Cache Status

6.2 WAF / Firewall Blocks (700 events)

Rule Triggers

Targeted Paths

Top Source IPs

Source Countries

Block Locations (Edge Colo)

HTTP Methods (Blocked)

Rule Source

Targeted Hosts

§7

AI SOC 総評

Closing assessment from the AI SOC pipeline
▎ Bottom Line
週末で WAFブロックは 112件と本観測期間最低。 だが 523 Origin Unreachable が 1,438件発生 (オリジン異常の可能性)。 本日の最大の戦略的価値は 後続キャンペーンの前兆: NL Firefox 47 UA (5/19+主役)、cPanelポート偵察、LeakIX 登録など、翌週の本格攻撃の準備が始まっている
Posture: NEEDS ATTENTION GOOD (Origin修正 + Scanner block) STRONG (Zero Trust 化後)
Analysis Confidence
85% ⚠ AI生成分析 · 本番投入前に人間SOCアナリストの査読を推奨
Attack Phase
Reconnaissance
Pre-campaign scouting
Origin Health
523 surge
1,438 unreachable events
cPanel Port Probe
4 ports
:8443/:8080/:2083/:2087
Compromise Status
Not Observed
WAF blocks: 112 (lowest)
Overall Assessment — 状況評価
単一IP集中攻撃という極めて特異なパターン

本日 (5/16) は本観測期間の 起点となる日。 WAFブロックは112件と最低水準だが、これは 「攻撃がない」 ではなく 「偵察フェーズ」 を示している。 観測される異常:

① 523 Origin Unreachable の異常な多さ (1,438件) — オリジン側の問題か、L3/L4 DDoS Probe の可能性。 緊急のオリジン監査が必要。
② cPanel/WHM ポート (8443/8080/2083/2087) への体系的な偵察 — typoサブドメイン togcbhostmaster が攻撃対象として既に登録されている。
③ NL Firefox 47 UA scraper の初出現 (51件WAFブロック) — 5/19+ に大規模化する攻撃キャンペーンの起点。

つまり本日は 「翌週からの本格攻撃キャンペーンの偵察 + 準備フェーズ」。 WAF統計上は静かでも、SOC として警戒すべき指標が多数。

Threat Actor Profile — 攻撃者プロファイル
TTP相関分析による仮説
NEW / PRECURSOR
NL Firefox 47 UA Scraper
195.178.110.34 (NL) から Firefox 47 (2016年) UA で 175件 + 51件WAFブロック。 5/19の 93.123.109.15 + 5/21の 195.178.110.33同じUA翌週からの大規模スクレイピング攻撃の偵察役
OpSec: Medium (Pre-positioning)
NEW
HK cPanel Port Scanner
165.154.63.239 + 165.154.42.186 (両方 HK) から togcbhostmaster.tek-safari.com 4ポートへ均一に各357件。 自動化ツールの典型動作。
OpSec: Low (Pattern-detectable)
PUBLIC SCANNER
LeakIX (l9scan)
82件の公開資産スキャン。 攻撃者ではないが、tek-safari.com が LeakIX DB に登録 されることで攻撃者が容易に攻撃対象として発見可能。
Threat: Indirect (Discoverability)
Why This Matters — なぜ今すぐ対策が必要か
「集中」型攻撃の意味

本日は 10日間キャンペーンの起点 。 後続のレポートから振り返ると、5/16時点で既に始まっていた偵察行動が、後の数日でどのように展開したかが見える:

5/16: 偵察フェーズ (本日)
5/17: .env mass scan キャンペーン開始 (245件発火)
5/18: SG単一IP集中Brute Force (922件)
5/19-21: 多段攻撃 + Firefox 47 UA 大規模化
5/22-25: 攻撃面拡大 (Dev/Beta/API) + CVE 試行

もし 5/16 の段階で AI SOC レポートを参考にして対策を投入できていれば、後の攻撃を大幅に抑制できた可能性が高い。 「偵察フェーズの検知と早期対策」 の重要性を示すケーススタディ。

Top 3 Priorities — 優先対応アクション
今日 / 今週 / 今月 のタイムラインで整理
今すぐ
P1 — オリジンサーバ監査 (523急増の原因究明)。 SOC-ACTION-001 に従ってオリジンの top/free/iostat/logs を確認。 必要なら Argo Tunnel に切り替えてオリジン IP を隠蔽。
今日中
P2 — typo サブドメイン + 公開スキャナー Block。 SOC-RULE-002togcbhostmaster 等の typo を Block。 SOC-RULE-005 で LeakIX / Shodan / Censys / Nuclei UA を Block。
今週中
P3 — Firefox 47 UA Block + NL VPS subnet Block。 SOC-RULE-004 で初出現のスクレイピング攻撃者を予防的に Block。 5/19+ の本格攻撃を防げる可能性が高い
Items Not of Concern — 心配不要な項目
健全な観測項目 / 攻撃成功の兆候なし

WAFブロック数は 112件と本観測期間最低。 .env / .git / Webshell 偵察も低水準。 wp-login.php Brute Force も 18件のみと静か。 週末で攻撃者活動が大幅に緩和 されている。

パッチ未適用の既知脆弱性悪用は観測されていません。 SQLi / XSS / RCE 関連の発火もごく軽微。 ただし 523オリジン到達不可 は脅威ではないが運用上の問題として早期対応が必要。

§8

Appendix & References

A. Data Source: Cloudflare Logpush → R2 bucket (cloudflare-managed-763ace79 for HTTP, cloudflare-managed-45268730 for WAF). Analyzed via R2 Log Analyzer MCP server.

B. Reference Documentation:

C. Classification: TLP:AMBER — Limited disclosure, recipient may share with members of their own organization or its clients/customers when reasonably necessary.

D. AI Disclosure: 本レポートは Claude Opus 4.7 を分析エンジンとする AI SOC パイプラインによって自動生成されました。Cloudflare 公式サービスではありません。本番運用前に必ず人間のSOCアナリストによる査読を実施してください。

E. Next Report: 2026-05-17 (JST) at 09:00 — automated dispatch via AI SOC pipeline.