本日 (5/16) は本観測期間の 起点となる日。 WAFブロックは112件と最低水準だが、これは 「攻撃がない」 ではなく 「偵察フェーズ」 を示している。 観測される異常:
① 523 Origin Unreachable の異常な多さ (1,438件) — オリジン側の問題か、L3/L4 DDoS Probe の可能性。 緊急のオリジン監査が必要。
② cPanel/WHM ポート (8443/8080/2083/2087) への体系的な偵察 — typoサブドメイン togcbhostmaster が攻撃対象として既に登録されている。
③ NL Firefox 47 UA scraper の初出現 (51件WAFブロック) — 5/19+ に大規模化する攻撃キャンペーンの起点。
つまり本日は 「翌週からの本格攻撃キャンペーンの偵察 + 準備フェーズ」。 WAF統計上は静かでも、SOC として警戒すべき指標が多数。