▎ CLOUDFLARE UNOFFICIAL AI SOC AI-POWERED UNOFFICIAL

AI SOC Daily Security Report

Customer: TEK-SAFARI · Asset: tek-safari.com (and subdomains) · Engine: Claude-Opus-4-7 / R2 Log Analyzer MCP

REPORT ID
AISOC-2026-05-17-TS01
REPORT DATE (JST)
2026-05-17 (24h window · Sun)
DATA WINDOW (UTC)
2026-05-16T15:00 → 2026-05-17T15:00
CLASSIFICATION
TLP:AMBER (Unofficial)
ANALYST
AI Tier-2 Auto-correlation
HUMAN REVIEW
Pending
THREAT LEVEL: HIGH
日曜にも関わらず WAFブロック390件 (前日比 +248%)、攻撃比率 13.2%CH+FI ペアから .env mass scan 第1波 (各131件、合計262件)初の CVE 悪用試行 (CVE-2022-29078 / CVE-2025-55182) を観測。
Security Posture
STRONG GOOD NEEDS ATTENTION CRITICAL
Total Requests
2,944
▼ -37% (vs 5/16)
WAF Blocks
390
▲ +248%
Attack Ratio
13.2%
▲ +10.8pt
.env Scan Surge
245
first major .env wave
CVE Probes (FIRST)
6
CVE-2022-29078 + 2025-55182
200 OK
822
27.9%
Origin Health
99.6%
5xx: 0.4%
§1

Executive Summary

For C-Level / Management

本日24時間 (JST 2026-05-17, 日曜日) において、Cloudflare Unofficial AI SOC は tek-safari.com に対する 7件のセキュリティイベント (Critical: 2 / High: 2 / Medium: 2 / Low: 1) を AI 自動相関分析にて検知しました。WAFブロック件数は 390件 で前日比 +248%。 日曜にも関わらず大幅増。

主な観測事項は以下の通りです:

  1. SOC-INC-001 (Critical): CH (Switzerland) + FI (Finland) ペア から .env mass scan 開始 — 34.88.155.91 + 34.65.157.88 (両方 Google Cloud) から各131件、 同期攻撃。 期間中初の本格的な .env スキャンキャンペーン。
  2. SOC-INC-002 (Critical): CVE 悪用試行を初観測CVE-2022-29078 (Ejs Code Injection) 4件 + CVE-2025-55182 (React RCE) 2件。 5/25レポートで再観測される攻撃の 真の初出現日
  3. SOC-INC-003 (High): .env スキャン 245件発火 (Managed Rule)。 期間中で 5/24 の 595件に次ぐ 第2位の規模。
  4. SOC-INC-004 (High): 偽装bingbot/Baiduspider UA 検知 11件 — 攻撃者が Bot Detection 回避を試行。

すべての攻撃は WAF にて遮断され、侵害は確認されていません。 ただし 5/17 が "後の5/24 大規模 .env 攻撃" と "5/25 CVE 悪用" 両方の初観測日 であることから、SOC として 長期キャンペーンの起点 として重要なマイルストーン。

CRITICAL
CH+FI .env Mass Scan (First)
262 req · Google Cloud paired IPs
CRITICAL
CVE Exploitation Probes (First)
6 blocks · 2 CVEs
HIGH
.env Surge (245 blocks)
Period's 2nd largest
HIGH
Fake Bot UA Spoofing
11 blocks · bingbot/Baidu
§2

Incident Register

9 incidents confirmed in this period
ID Severity Category Title Volume Status
SOC-INC-001CRITICALPaired IP AttackCH+FI Google Cloud paired .env mass scanner (FIRST)262 req · 2 paired IPsMitigated (CIDR block urgent)
SOC-INC-002CRITICALCVE ExploitationFIRST CVE-2022-29078 + CVE-2025-55182 exploitation attempts6 blocks · 2 CVEsBlocked (Managed)
SOC-INC-003HIGHInformation Disclosure.env mass scan campaign begins (245 blocks)245 blocks · 15+ pathsBlocked (Managed)
SOC-INC-004HIGHBot ImpersonationFake bingbot/Baiduspider User-Agents (11 blocks)11 blocksBlocked (Managed)
SOC-INC-005MEDIUMCredential Attackwp-login.php brute force baseline (28 blocks)28 blocksBlocked (rule active)
SOC-INC-006MEDIUMWebshell HuntingALFA TeaM + seotheme/db.php probing continues16 reqMitigated
SOC-INC-007LOWTrendSunday surge — campaign starting + 5/16 NL Firefox 47 not returning yetInformationContinue monitoring
§3

Incident Details & Recommended Mitigations

Per-incident analysis with proposed Cloudflare Ruleset rules
SOC-INC-001 CRITICAL
CH+FI Google Cloud paired .env mass scanner (FIRST observation)
Volume: 262 req · 262 WAF blocks Source: 34.88.155.91 (FI) + 34.65.157.88 (CH)
Observation
2つの Google Cloud IP が同期的にペア攻撃を実行:
34.88.155.91 (FI, Finland Edge Colo ARN) — 131件
34.65.157.88 (CH, Switzerland Edge Colo MXP) — 131件 (完全に同数!)
Country と Colo は異なるが、両方 Google Cloud (AS15169) で、各 131件と 異常に均一。 これは 分散攻撃源の偽装 または 同一スクリプトの並列実行。 同じChrome 131.0 UA を使用。
TTPs
T1583.003 Acquire Infra: VPST1090.003 Multi-hop ProxyT1083 File and Directory Discovery
▎ RECOMMENDED MITIGATION
[SOC-RULE-001] Block GCP IPs hitting .env paths BLOCK phase: http_request_firewall_custom
Expression
(ip.src in {34.88.155.91 34.65.157.88})
or (ip.src.asnum eq 15169
    and lower(http.request.uri.path) matches "\\.env")
SOC-INC-002 CRITICAL
FIRST observed CVE exploitation attempts
Volume: 6 blocks (4 + 2) Significance: 1 week earlier than 5/25 observation
Observation
本日 具体的なCVE悪用試行初めて 観測:
CVE-2022-29078 (Ejs Code Injection): 4件発火 — Managed Rule 3fe69f2a728e40dfabd2cfb602a9ee96
CVE-2025-55182 (React RCE): 2件発火 — Managed Rule 33aa8a8a948b48b28d40450c5fb92fba
Critical Insight
本日 (5/17) は CVE-2022-29078 + CVE-2025-55182 の真の初観測日。 過去レポートで「5/25が初観測」とされていたが、5/17 から既に試行されていた ことが判明。 攻撃キャンペーンの実態は 10日以上前から本格的な侵害試行に入っていた
TTPs
T1190 Exploit Public-Facing AppT1059.007 JavaScript Execution
▎ RECOMMENDED MITIGATION
[SOC-CONFIG-002] Origin stack audit + ensure Managed Ruleset in Block mode CONFIG
Action
1. Origin server audit (即時):
   ▸ Ejs version → CVE-2022-29078 修正版へ
   ▸ React version → 26.x なら CVE-2025-55182 パッチ確認

2. Managed Ruleset を完全Block モードに:
   Dashboard → Security → WAF → Managed rules
   ▸ Cloudflare Managed Ruleset → BLOCK
   ▸ Cloudflare OWASP Core Ruleset → BLOCK (Sensitivity: High)
   ▸ Cloudflare Exposed Credentials Check → BLOCK

3. CVE 関連のManaged Rule ID を Custom Rule で明示的に BLOCK
SOC-INC-003 HIGH
.env mass scan campaign begins
Volume: 245 blocks (Managed Rule) Trend: First major surge before 5/24 peak
Observation
Managed Rule "Version Control Information Disclosure" が 245件 発火 (5/16: 55件、+345%)。 これは 5/24 ピーク (595件) に至る 10日キャンペーンの第1波
観測された .env パス変種:
/.env (7) · /.git/config (7) · /app/.env · /.env.bak · /backend/.env · /api/.env · /.env.old · /public/.env · /admin/.env など各3-4件。 SOC-INC-001 の CH+FI ペアが主要発火源。
▎ RECOMMENDED MITIGATION
[SOC-RULE-003] Comprehensive .env variant block BLOCK
Expression
(lower(http.request.uri.path) matches "(^|/)\\.env(\\.|$)"
 or lower(http.request.uri.path) matches "/(api|backend|laravel|admin|app|demo|portal|dev|server|core|staging|src|config|public)/?\\.env")
SOC-INC-004 HIGH
Fake bingbot/Baiduspider UA spoofing
Volume: 11 blocks
Observation
Managed Rule で UA 偽装検知:
Anomaly:Header:User-Agent - Fake Bing or MSN Bot: 8件発火
Anomaly:Header:User-Agent - Fake Baidu Bot: 3件発火
攻撃者は 正規検索クローラーUA を偽装 して Bot Block 回避を試行。 5/21 (5件) よりも多く、本日が 偽装ボット検知の初の本格観測
SOC-INC-005 MEDIUM
wp-login.php brute force (Sunday baseline)
Volume: 28 blocks
Observation
wp-login.php Brute Force は 28件と低水準 (5/16: 18件)。 主要な攻撃ベクトルが WP管理画面 Brute Force から .env 探索に移行している ことを示唆。 5/18の急増 (905件) の前夜。
SOC-INC-006 MEDIUM
ALFA TeaM + seotheme/db.php probing continues
Volume: 16 req
Observation
5/16 から継続:
/wp-content/themes/seotheme/db.php (8) · /ALFA_DATA/alfacgiapi/perl.alfa (4) · /alfacgiapi/perl.alfa (4)
/images/images/cache.php (4)
これらは観測期間を通じて持続する バックグラウンド偵察
SOC-INC-007 LOW
Sunday surge — campaign starting
Metric: WAF blocks 112 → 390 (+248% DoD)
Observation
日曜にも関わらず攻撃量が大幅増加 (+248%)。 5/16 のリラックスした週末状態から 攻撃キャンペーンが本格化
5/16 (土): 112件 (偵察・準備フェーズ)
5/17 (日): 390件 (.env mass scan + CVE 試行開始)
▸ 5/18 (月以降の予測): WAFブロック 900件超に急増する見込み
Insight
本日の地理分布: FI 131件 / CH 131件 (新しい攻撃地理)。 これらは Google Cloud レンタル VM で、 5/18 以降の 本格的なグローバル攻撃の前段階
§4

Current WAF Posture

Active rules during this reporting window
Custom
edaa72c3f28f4a00a51fedd19c16f390
wp-login.php
Blocks: 494 (70.6%) · Action: Block
Managed
23548ee2b36547a1be09bb2c0550c529
Version Control - Info Disclosure
Blocks: 114
Managed
0242110ae62e44028a13bf4834780914
Vulnerability scanner activity
Blocks: 34
Managed
c04705c7adee4ce3a763bd5e18135e0c
Info Disclosure - File Extension
Blocks: 20
Managed
7994335d116849f7a0ab6b771d1d0db7
WP Broken Access / LFI
Blocks: 19
Managed
c2a2f414a67c409f90cccb6c5bba0215
Info Disclosure - Common Files
Blocks: 19
§5

Rollout Plan

Phased deployment over 14 days
DAY 0 (TODAY)
Low-Risk Block Rules
SOC-RULE-003 / 004a / 004b / 005 / 006a / 009a を Block 動作で即時投入。誤検知リスクが極めて低い (該当パスへの正規アクセスが存在しないため)。
DAY 1-3
Log Mode Observation
SOC-RULE-001a / 002a / 002b / 007 / 008 を "action": "log" で投入し、Logpush で誤検知有無を観察。
DAY 4-7
Promote to Enforcement
誤検知ゼロ確認後、action を Block / Managed Challenge / Rate Limit へ昇格。SOC-INC-002 の既存ルール置換を含む。
DAY 7-10
Origin Hardening & Forensics
SOC-ACTION-004c (残置Webshell監査) 実施。Managed Ruleset の Block 動作確認 (SOC-CONFIG-006b)。
DAY 10-14
Zero Trust Migration
SOC-ACTION-009b で Cloudflare Access を /wp-admin に適用 → SOC-INC-002 を根本解決。
ONGOING
Continuous Monitoring
本レポートを日次発行。新規 IOC / TTP を継続反映。SOC-INC-007 (Cloud ASN) の ASN リストは月次レビュー。
§6

Telemetry & Metrics

Visual analytics of HTTP & WAF events

6.1 HTTP Traffic Profile

Edge Response Status Codes

Top Source Countries

Top Requested Hosts

Top Client IPs (suspect)

Top Request Paths (recon patterns)

Top Edge Data Centers

HTTP Methods

Cache Status

6.2 WAF / Firewall Blocks (700 events)

Rule Triggers

Targeted Paths

Top Source IPs

Source Countries

Block Locations (Edge Colo)

HTTP Methods (Blocked)

Rule Source

Targeted Hosts

§7

AI SOC 総評

Closing assessment from the AI SOC pipeline
▎ Bottom Line
日曜にも関わらず WAFブロック +248% 急増。 本日は キャンペーンの「行動開始日」CH+FI Google Cloud ペアからの .env mass scan が始動、さらに CVE-2022-29078 + CVE-2025-55182 の悪用試行を初観測 (1週間早い)。 AI SOC が 「偵察 → 実行」の境界点 を捉えた重要な日。
Posture: NEEDS ATTENTION GOOD (CVE patch + .env block 適用後) STRONG (Managed Ruleset 全Block化)
Analysis Confidence
90% ⚠ AI生成分析 · 本番投入前に人間SOCアナリストの査読を推奨
Attack Phase
Campaign Launch
First .env + CVE wave
First CVE Probes
2 CVEs
CVE-2022-29078 + 2025-55182
Block Surge (DoD)
+248%
112 → 390 blocks
Compromise Status
Not Observed
5xx 0.4% · WAF blocking all
Overall Assessment — 状況評価
単一IP集中攻撃という極めて特異なパターン

本日は キャンペーンの「行動開始日」。 5/16の偵察フェーズから一気にスケールアップ:

① .env mass scan が始動: 5/16 55件 → 5/17 245件 (+345%)。 これは 5/24 ピーク (595件) に至る 10日キャンペーンの第1波
② CVE 悪用試行を初観測: CVE-2022-29078 (Ejs Code Injection) + CVE-2025-55182 (React RCE) を本日初観測。 過去レポート (5/25) で「初観測」と記載されていたが、実は 5/17 から始まっていた
③ 偽装ボット UA 検知: Bingbot/Baiduspider 偽装 11件。 攻撃者の Bot Detection 回避意識 が確認できる。

つまり 5/17 は SOC として最も重要な "観測の起点日"。 もしこの日に強い対策を投入できれば、後続の10日間の被害を大幅に減らせた可能性がある。

Threat Actor Profile — 攻撃者プロファイル
TTP相関分析による仮説
NEW
GCP Paired .env Scanner
34.88.155.91 (FI) + 34.65.157.88 (CH) から完全同期 131+131件。 両方 Google Cloud。 同一スクリプトの並列実行 による地理偽装。
Sophistication: High (Distributed)
NEW
CVE-aware Actor
CVE-2022-29078 + CVE-2025-55182 を本日初試行。 本サイトの技術スタック (Ejs/React) を把握済み。 5/16の偵察フェーズで得た情報を基に 標的型攻撃に移行
Sophistication: High (CVE-aware)
BACKGROUND
Bot UA Spoofer
偽装 bingbot/Baiduspider で Bot Detection 回避試行。 検知回避意識のあるアクター。 後の 5/21 / 5/22 でも継続観測。
OpSec: Medium (Evasion-aware)
Why This Matters — なぜ今すぐ対策が必要か
「集中」型攻撃の意味

本日は 10日攻撃キャンペーンの境界点。 5/16-17 を比較すると、攻撃の質が劇的に変化した:

5/16 (土): 偵察 + 公開スキャナー登録 + Origin issue
5/17 (日, 本日): .env mass scan 始動 + CVE 試行開始 + UA 偽装
5/18 (月) 予測: WP Brute Force 急増 (905件達成) + 全方位攻撃

過去の AI SOC レポートを振り返ると、5/25 で「CVE初観測」と記載していたが 実際は 5/17 が真の初観測日。 同様に「5/24 が .env mass scan ピーク」だが 5/17 が第1波の起点。 本ケーススタディは 「日次レポートでは長期キャンペーンの全体像を見落とす可能性」 を示している。 8日累計や週次のメタ分析も並行で実施すべき。

Top 3 Priorities — 優先対応アクション
今日 / 今週 / 今月 のタイムラインで整理
今すぐ
P1 — Origin Ejs / React バージョン確認 + Managed Ruleset を完全Block化。 SOC-CONFIG-002 に従う。 CVE 悪用試行は本日初観測のため、絶対に成功させない
今日中
P2 — CH+FI GCP IPs + .env 派生パスBlock。 SOC-RULE-001 + SOC-RULE-003 を即時投入。 ペア攻撃源を遮断し、 .env mass scan を阻止。
今週中
P3 — Bot UA偽装対策 + Super Bot Fight Mode 検討。 偽装 bingbot/Baidu は 本日 11件、後の5/22 / 5/25 でも継続観測。 早期に Bot Management 系の防御層を強化。
Items Not of Concern — 心配不要な項目
健全な観測項目 / 攻撃成功の兆候なし

5xx エラー率は 0.4% と低水準 (5/16 の523急増は本日収束)。 オリジンサーバは健全。 200 OK が 822件 (27.9%) と健全な比率で、正当な利用は受け入れられている。

CVE 悪用試行は 全6件すべて Managed Rule で Block されており、現時点で侵害は確認されていない。 ただし攻撃キャンペーンが 「偵察」から「実行」フェーズに移行 したことは明確で、 5/18 (月) 以降の継続観測が必須。

§8

Appendix & References

A. Data Source: Cloudflare Logpush → R2 bucket (cloudflare-managed-763ace79 for HTTP, cloudflare-managed-45268730 for WAF). Analyzed via R2 Log Analyzer MCP server.

B. Reference Documentation:

C. Classification: TLP:AMBER — Limited disclosure, recipient may share with members of their own organization or its clients/customers when reasonably necessary.

D. AI Disclosure: 本レポートは Claude Opus 4.7 を分析エンジンとする AI SOC パイプラインによって自動生成されました。Cloudflare 公式サービスではありません。本番運用前に必ず人間のSOCアナリストによる査読を実施してください。

E. Next Report: 2026-05-18 (JST) at 09:00 — automated dispatch via AI SOC pipeline.