▎ CLOUDFLARE UNOFFICIAL AI SOC AI-POWERED UNOFFICIAL

AI SOC Daily Security Report

Customer: TEK-SAFARI · Asset: tek-safari.com (and subdomains) · Engine: Claude-Opus-4-7 / R2 Log Analyzer MCP

REPORT ID
AISOC-2026-05-19-TS01
REPORT DATE (JST)
2026-05-19 (24h window)
DATA WINDOW (UTC)
2026-05-18T15:00 → 2026-05-19T15:00
CLASSIFICATION
TLP:AMBER (Unofficial)
ANALYST
AI Tier-2 Auto-correlation
HUMAN REVIEW
Pending
THREAT LEVEL: ELEVATED
観測ウィンドウ内に WAFブロック700件、攻撃比率 19.1%、前日比 +291% の急増を検知。 複数の標的型キャンペーン (Brute Force / Secret Discovery / Webshell Hunting / Content Scraping) が並行発生。 新規カスタムルール 9件の即時適用と Zero Trust 化を推奨。詳細は末尾「AI SOC 総評」参照。
Security Posture
STRONG GOOD NEEDS ATTENTION CRITICAL
Total Requests
3,656
▲ +136%
WAF Blocks
700
▲ +291%
Attack Ratio
19.1%
▲ +7.5pt
4xx Errors
1,782
▲ +98%
Unique Source IPs
15+
distinct attackers
200 OK
648
17.7%
Origin Health
99.7%
5xx: 0.3%
§1

Executive Summary

For C-Level / Management

本日24時間 (JST 2026-05-19) において、Cloudflare Unofficial AI SOC は tek-safari.com に対する 9件のセキュリティイベント (Critical: 2 / High: 2 / Medium: 3 / Low: 1 / Info: 1) を AI 自動相関分析にて検知しました。WAFブロック件数は 700件 で前日比 +291% と顕著な増加を示しています。

主な観測事項は以下の通りです:

  1. SOC-INC-001 (Critical): 単一IP (NL/AS48090) からの 736件のホームページスクレイピング — フィッシング用テンプレ作成またはコンテンツ盗用の疑い。
  2. SOC-INC-002 (Critical): WordPress ログイン総当たり攻撃 — 15カ国以上から /wp-login.php へPOST 242件。既存ルールでブロック済みだが正規ユーザー利用に支障。
  3. SOC-INC-003〜004 (High): 秘匿情報探索 (.env, .git/) およびALFA Webshell探索 — 自動化スキャナによる多段偵察。

すべての攻撃は現時点で Cloudflare WAF にて遮断されており、侵害の事実は確認されていません。ただし攻撃強度は明確に増加傾向にあり、追加対策の即時実装を強く推奨します。

CRITICAL
WP Brute Force (wp-login.php)
494 blocks · 15+ countries
CRITICAL
Mass Homepage Scraping
736 req · 1 IP (NL)
HIGH
Secret Discovery (.env, .git)
114 blocks · 10+ paths
HIGH
ALFA Webshell Hunting
12 req · TR-origin TTP
§2

Incident Register

9 incidents confirmed in this period
ID Severity Category Title Volume Status
SOC-INC-001CRITICALContent AbuseMass homepage scraping from single VPS IP736 reqMitigated (rule needed)
SOC-INC-002CRITICALCredential AttackWordPress wp-login.php distributed brute force494 blocksBlocked (refine)
SOC-INC-003HIGHInformation Disclosure.env / .git secret file discovery scan114 blocksBlocked (extend)
SOC-INC-004HIGHWebshell HuntingALFA TeaM webshell & PHP backdoor probing12 reqMitigated (rule needed)
SOC-INC-005MEDIUMVulnerability ProbeSEO Theme plugin RCE exploitation attempt14 reqBlocked (formalize)
SOC-INC-006MEDIUMLFI / Access ControlWordPress LFI & backup file probing58 blocksBlocked (Managed)
SOC-INC-007MEDIUMThreat Actor InfraCloud-hosted VM-origin attack persistence652 req (Azure)Mitigated (rule needed)
SOC-INC-008LOWGeo AnomalyNetherlands traffic surge (+10x WoW)929 reqMonitoring
SOC-INC-009INFOAttack SurfaceUnused subdomains exposed to reconnaissance4 hostsRecommendation
§3

Incident Details & Recommended Mitigations

Per-incident analysis with proposed Cloudflare Ruleset rules
SOC-INC-001 CRITICAL
Mass homepage scraping from single VPS IP (NetCup AS48090)
First seen: 2026-05-18T17:42Z Last seen: 2026-05-19T14:53Z Duration: ~21h sustained
Observation
単一IP 93.123.109.15 から1日で 736件 のGETリクエスト、全てルートパス / へ。レスポンスは200 OK。さらに同IPは WAF にて 119件 ブロックされており、コンテンツ取得→脆弱性スキャンへ移行する典型行動を示している。
Source
93.123.109.15 · NL · AS48090 NetCup GmbH
UA: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0 (2016年リリース; 偽装)
Target
tek-safari.com/
TTPs (MITRE ATT&CK)
T1592 Gather Victim Host InfoT1190 Exploit Public-Facing AppT1071.001 Web Protocols
Impact
コンテンツ盗用 / フィッシングサイト用テンプレ作成 / オリジン負荷増加。商標・著作物利用の二次被害リスク。
Confidence
High — UA偽装+高頻度+単一IPの特徴的パターン
▎ RECOMMENDED MITIGATION
[SOC-RULE-001a] Block NetCup scraping IP/ASN on homepage BLOCK phase: http_request_firewall_custom
Expression
(ip.src eq 93.123.109.15)
or (ip.src.asnum eq 48090 and http.request.uri.path eq "/")
▸ Cloudflare API payload (POST /zones/$ZONE_ID/rulesets/$RULESET_ID/rules) 
{
  "action": "block",
  "description": "SOC-RULE-001a Block NetCup AS48090 scraping of homepage",
  "enabled": true,
  "expression": "(ip.src eq 93.123.109.15) or (ip.src.asnum eq 48090 and http.request.uri.path eq \"/\")",
  "action_parameters": {
    "response": { "status_code": 403, "content_type": "text/plain", "content": "Blocked: abusive scraping" }
  }
}
[SOC-RULE-001b] Rate limit hot pages for unverified clients RATE LIMIT phase: http_ratelimit
Expression
(http.request.uri.path in {"/" "/sitemap.xml" "/robots.txt"}
 and http.request.method eq "GET"
 and not cf.client.bot)
▸ Cloudflare API payload 
{
  "action": "managed_challenge",
  "description": "SOC-RULE-001b Rate limit hot pages for unverified clients",
  "enabled": true,
  "expression": "(http.request.uri.path in {\"/\" \"/sitemap.xml\" \"/robots.txt\"} and http.request.method eq \"GET\" and not cf.client.bot)",
  "ratelimit": {
    "characteristics": ["ip.src", "cf.colo.id"],
    "period": 60,
    "requests_per_period": 60,
    "mitigation_timeout": 600,
    "requests_to_origin": false
  }
}
SOC-INC-002 CRITICAL
WordPress distributed brute force on /wp-login.php
Volume: 494 blocks (70.6% of WAF events) Geo spread: 15+ countries
Observation
WAFブロック700件中 494件 (70.6%)/wp-login.php 宛て。POST 242件、明確な認証情報総当たり試行。攻撃元は 15カ国以上 に分散しており Botnet 型の協調攻撃。
Source
US/NL/FR/DE/VN/LK/IN/SG/CA/TR/ES/FI/LT/AT/MK 等。UAは Chrome 133, Firefox 47, "Mozlila/5.0" (typo→Bot確定) など多彩。
Target
tek-safari.com/wp-login.php, blog.tek-safari.com/wp-login.php
TTPs
T1110.001 Password GuessingT1110.003 Password SprayingT1078 Valid Accounts
Impact
アカウント乗っ取り → サイト改ざん・マルウェア配布。現状はWAFで全件ブロック済み。
▎ RECOMMENDED MITIGATION (replace existing rule edaa72c3...)
[SOC-RULE-002a] Rate limit wp-login.php POST (replaces full-block rule) RATE LIMIT phase: http_ratelimit
Expression
(http.request.uri.path eq "/wp-login.php"
 and http.request.method eq "POST")
▸ Cloudflare API payload 
{
  "action": "block",
  "description": "SOC-RULE-002a Rate limit wp-login.php POST",
  "enabled": true,
  "expression": "(http.request.uri.path eq \"/wp-login.php\" and http.request.method eq \"POST\")",
  "ratelimit": {
    "characteristics": ["ip.src"],
    "period": 60,
    "requests_per_period": 3,
    "mitigation_timeout": 3600,
    "requests_to_origin": false
  }
}
[SOC-RULE-002b] Managed Challenge on wp-login.php GET (UI access) CHALLENGE phase: http_request_firewall_custom
Expression
(http.request.uri.path eq "/wp-login.php"
 and http.request.method eq "GET")
▸ Cloudflare API payload 
{
  "action": "managed_challenge",
  "description": "SOC-RULE-002b Challenge wp-login.php GET",
  "enabled": true,
  "expression": "(http.request.uri.path eq \"/wp-login.php\" and http.request.method eq \"GET\")"
}
SOC-INC-003 HIGH
Secret discovery scan: .env / .git / backup files
Volume: 114 blocks (Managed Rule) Unique paths: 10+
Observation
Managed Rule "Version Control - Information Disclosure" が 114件発火。攻撃者は /.env, /api/.env, /app/.env, /backend/.env, /admin/.env, /core/.env, /.env.bak, /.git/config, /.git/HEAD, /wp-config.php.bak を順次試行。明確に自動化スキャナ。
Targeted Paths (IOC)
/.env · /.env.bak · /api/.env · /app/.env · /backend/.env · /admin/.env · /core/.env · /.git/config · /.git/HEAD · /wp-config.php.bak
TTPs
T1083 File and Directory DiscoveryT1213 Data from Information RepositoriesT1552.001 Credentials in Files
Impact
API キー / DB 認証情報 / OAuth secret / Git 履歴の漏洩 → 横展開・サプライチェーン攻撃のリスク。
▎ RECOMMENDED MITIGATION (defense-in-depth on top of Managed Rule)
[SOC-RULE-003] Comprehensive secret & backup path block BLOCK phase: http_request_firewall_custom
Expression
(lower(http.request.uri.path) matches "(^|/)\\.(env|git|svn|hg|aws|ssh|vscode|idea|ds_store)(/|$|\\.)"
 or lower(http.request.uri.path) matches "\\.(bak|backup|old|orig|swp|swo|save|tmp)$"
 or ends_with(lower(http.request.uri.path), "~")
 or lower(http.request.uri.path) matches "/(api|app|backend|admin|core|public|src|dev|prod|staging|test)/\\.env"
 or lower(http.request.uri.path) matches "/(wp-config|configuration|database|settings|config)\\.(php|inc|yml|yaml|json|js)\\.(bak|old|orig|swp|save)$")
▸ Cloudflare API payload 
{
  "action": "block",
  "description": "SOC-RULE-003 Block .env / .git / backup file probes",
  "enabled": true,
  "expression": "(lower(http.request.uri.path) matches \"(^|/)\\\\.(env|git|svn|hg|aws|ssh|vscode|idea|ds_store)(/|$|\\\\.)\" or lower(http.request.uri.path) matches \"\\\\.(bak|backup|old|orig|swp|swo|save|tmp)$\" or ends_with(lower(http.request.uri.path), \"~\") or lower(http.request.uri.path) matches \"/(api|app|backend|admin|core|public|src|dev|prod|staging|test)/\\\\.env\" or lower(http.request.uri.path) matches \"/(wp-config|configuration|database|settings|config)\\\\.(php|inc|yml|yaml|json|js)\\\\.(bak|old|orig|swp|save)$\")"
}
SOC-INC-004 HIGH
ALFA TeaM webshell & PHP backdoor hunting
Volume: 12 reqTA Reference: ALFA TeaM (TR-origin)
Observation
/ALFA_DATA/alfacgiapi/perl.alfa および /alfacgiapi/perl.alfa へ各6件のアクセス。ALFA TeaM は既知のトルコ系攻撃者集団で、Webshell設置後の踏み台奪取を目的とした探索行動が確認されている。
Targeted Paths (IOC)
/ALFA_DATA/alfacgiapi/perl.alfa · /alfacgiapi/perl.alfa
TTPs
T1505.003 Web ShellT1083 File and Directory DiscoveryT1059.004 Unix Shell
Impact
残置 Webshell が発見されれば RCE / コンテナ脱出 / オリジン完全制圧の可能性。「攻撃者が既に侵害されている前提」で行動している点に注意。
▎ RECOMMENDED MITIGATION
[SOC-RULE-004a] Known webshell path block BLOCK phase: http_request_firewall_custom
Expression
(lower(http.request.uri.path) matches "(alfa_data|alfacgiapi|\\.alfa|/r57|/c99|/wso|/b374k|/lite_shell|/wp_filemanager|/marijuana|/indoxploit|/anonghost|/priv8|/0byt3m1n1|/madspot)"
 or lower(http.request.uri.path) matches "/(shell|backdoor|cmd|exec|webshell|adminer)\\.(php|phtml|phar)$"
 or lower(http.request.uri.path) eq "/phpmyadmin/scripts/setup.php")
▸ Cloudflare API payload 
{
  "action": "block",
  "description": "SOC-RULE-004a Block ALFA/known PHP webshell paths",
  "enabled": true,
  "expression": "(lower(http.request.uri.path) matches \"(alfa_data|alfacgiapi|\\\\.alfa|/r57|/c99|/wso|/b374k|/lite_shell|/wp_filemanager|/marijuana|/indoxploit|/anonghost|/priv8|/0byt3m1n1|/madspot)\" or lower(http.request.uri.path) matches \"/(shell|backdoor|cmd|exec|webshell|adminer)\\\\.(php|phtml|phar)$\" or lower(http.request.uri.path) eq \"/phpmyadmin/scripts/setup.php\")"
}
[SOC-RULE-004b] Deny PHP/CGI exec under upload dirs (defense-in-depth) BLOCK phase: http_request_firewall_custom
Expression
(lower(http.request.uri.path) matches "/(wp-content/uploads|uploads|files|media|images|cache|tmp)/.*\\.(php|phar|phtml|php3|php5|php7|pht|inc|cgi|pl|py|sh|asp|aspx|jsp)$")
▸ Cloudflare API payload 
{
  "action": "block",
  "description": "SOC-RULE-004b Deny PHP/CGI execution under upload dirs",
  "enabled": true,
  "expression": "(lower(http.request.uri.path) matches \"/(wp-content/uploads|uploads|files|media|images|cache|tmp)/.*\\\\.(php|phar|phtml|php3|php5|php7|pht|inc|cgi|pl|py|sh|asp|aspx|jsp)$\")"
}
[SOC-ACTION-004c] Origin-side residual webshell audit MANUAL
Action
$ find / -type f \( -name "*.alfa" -o -name "alfacgiapi" -o -name "ALFA_DATA" \
                    -o -iname "c99*.php" -o -iname "r57*.php" -o -iname "wso*.php" \) 2>/dev/null
# 検知ファイルがあれば即時隔離 → フォレンジック (取得日・所有者・実行履歴)
SOC-INC-005 MEDIUM
SEO Theme plugin RCE exploitation attempt
Volume: 14 reqResult: 403 (blocked at edge)
Observation
/wp-content/themes/seotheme/db.php へ 14 件のアクセス。SEO Theme プラグインの旧 RCE 脆弱性を狙う典型パターン。すべて403で阻止済み。
Source (IOC)
52.138.3.25 (CA) · 45.92.1.17 (NL)
UA: Mozlila/5.0 ... SM-G892A Bulid/NRD90M ... Moblie Safari (typo複数→Bot確定)
TTPs
T1190 Exploit Public-Facing ApplicationT1505.003 Web Shell
▎ RECOMMENDED MITIGATION (formalize as explicit rule)
[SOC-RULE-005] Block known vulnerable WP plugin/theme paths BLOCK phase: http_request_firewall_custom
Expression
(lower(http.request.uri.path) matches "/wp-content/(themes|plugins)/(seotheme|hellopress|easy-wp-smtp|wp-file-manager|file-manager-advanced|essential-addons-for-elementor-lite|duplicator|wpdiscuz|ultimate-member)/"
 and lower(http.request.uri.path) matches "\\.(php|phar|phtml)$")
▸ Cloudflare API payload 
{
  "action": "block",
  "description": "SOC-RULE-005 Block known vulnerable WP plugin/theme PHP paths",
  "enabled": true,
  "expression": "(lower(http.request.uri.path) matches \"/wp-content/(themes|plugins)/(seotheme|hellopress|easy-wp-smtp|wp-file-manager|file-manager-advanced|essential-addons-for-elementor-lite|duplicator|wpdiscuz|ultimate-member)/\" and lower(http.request.uri.path) matches \"\\\\.(php|phar|phtml)$\")"
}
SOC-INC-006 MEDIUM
WordPress LFI / Broken Access Control / Info Disclosure attempts
Volume: 58 blocks (Managed Rule total)
Observation
Managed Rule "WP Broken Access Control / LFI" 19件、"Info Disclosure - Common Files" 19件、"Info Disclosure - File Extension" 20件発火。バックアップ系拡張子と共通機密ファイルを狙うパターン。
TTPs
T1190 Exploit Public-Facing AppT1083 File and Directory Discovery
▎ RECOMMENDED MITIGATION
[SOC-RULE-006a] Block /xmlrpc.php (assuming Jetpack not used) BLOCK phase: http_request_firewall_custom
Expression
(http.request.uri.path eq "/xmlrpc.php")
▸ Cloudflare API payload 
{
  "action": "block",
  "description": "SOC-RULE-006a Block xmlrpc.php entirely",
  "enabled": true,
  "expression": "(http.request.uri.path eq \"/xmlrpc.php\")"
}
[SOC-CONFIG-006b] Ensure Cloudflare Managed Rulesets are in Block mode CONFIG
Action (Dashboard / API)
Security → WAF → Managed rules:
  ▸ Cloudflare Managed Ruleset           → action: block
  ▸ Cloudflare OWASP Core Ruleset        → action: block (Sensitivity: High, Score ≥ 40)
  ▸ Cloudflare Exposed Credentials Check → action: block
SOC-INC-007 MEDIUM
Cloud-hosted VM-origin attack persistence (Azure)
Volume: 652 req (single Azure IP)Trend: Day-over-day rotation observed
Observation
20.12.236.157 (Azure AS8075) から1日652件のアクセス。前日も別の Azure IP からの攻撃を観測しており、攻撃者は VM を継続的にローテーション。Bulletproof Hosting系 (2602:fb54:1400::1d6, 45.148.10.21, 45.154.98.229) も常連。
TTPs
T1583.003 Acquire Infra: Virtual Private ServerT1090 Proxy
▎ RECOMMENDED MITIGATION
[SOC-RULE-007] Challenge cloud-hosted ASN → WordPress paths CHALLENGE phase: http_request_firewall_custom
Target ASNs
8075 (Azure) · 14618/16509 (AWS) · 396982 (GCP) · 48090 (NetCup)
16276 (OVH) · 24940 (Hetzner) · 63949 (Linode) · 14061 (DigitalOcean) · 20473 (Vultr)
Expression
(ip.src.asnum in {8075 14618 16509 396982 48090 16276 24940 63949 14061 20473}
 and (starts_with(http.request.uri.path, "/wp-")
      or http.request.uri.path eq "/xmlrpc.php"))
▸ Cloudflare API payload 
{
  "action": "managed_challenge",
  "description": "SOC-RULE-007 Challenge cloud-hosted IPs hitting WordPress",
  "enabled": true,
  "expression": "(ip.src.asnum in {8075 14618 16509 396982 48090 16276 24940 63949 14061 20473} and (starts_with(http.request.uri.path, \"/wp-\") or http.request.uri.path eq \"/xmlrpc.php\"))"
}
SOC-INC-008 LOW
Netherlands traffic surge (+10x WoW)
Volume: 929 req (25.4%)Baseline: rank #10 last week
Observation
NL からのリクエストが 929件 (US 2006 に次ぐ第2位)。前日 (5/20) は10位以下だったため明確な急増。Bulletproof系 (AS49434等) や NetCup (AS48090) の集中が要因。
▎ RECOMMENDED MITIGATION
[SOC-RULE-008] Challenge high-risk geos hitting WP admin CHALLENGE phase: http_request_firewall_custom
Expression
(ip.src.country in {"NL" "VN" "LK" "TR" "BG" "RU" "IR" "KP" "CN" "BY"}
 and (starts_with(http.request.uri.path, "/wp-admin")
      or starts_with(http.request.uri.path, "/wp-login")
      or starts_with(http.request.uri.path, "/wp-includes")
      or http.request.uri.path eq "/xmlrpc.php"))
▸ Cloudflare API payload 
{
  "action": "managed_challenge",
  "description": "SOC-RULE-008 Challenge high-risk geos hitting WP admin",
  "enabled": true,
  "expression": "(ip.src.country in {\"NL\" \"VN\" \"LK\" \"TR\" \"BG\" \"RU\" \"IR\" \"KP\" \"CN\" \"BY\"} and (starts_with(http.request.uri.path, \"/wp-admin\") or starts_with(http.request.uri.path, \"/wp-login\") or starts_with(http.request.uri.path, \"/wp-includes\") or http.request.uri.path eq \"/xmlrpc.php\"))"
}
SOC-INC-009 INFO
Attack surface: unused subdomains exposed to reconnaissance
Hosts identified: 6
Observation
contorller (typo), cpcontacts, autodiscover, webdisk, blog.blog, demo.hostmaster など、本番運用していないと思われるホスト名へのアクセスが多数。これらは攻撃者の偵察対象となっている。
TTPs
T1590.005 Gather Network InfoT1595.001 Active Scanning
▎ RECOMMENDED MITIGATION
[SOC-RULE-009a] Block unused / typo subdomains BLOCK phase: http_request_firewall_custom
Expression
(http.host in {"contorller.tek-safari.com"
               "cpcontacts.tek-safari.com"
               "autodiscover.tek-safari.com"
               "webdisk.tek-safari.com"
               "blog.blog.tek-safari.com"
               "demo.hostmaster.tek-safari.com"})
▸ Cloudflare API payload 
{
  "action": "block",
  "description": "SOC-RULE-009a Block unused/typo subdomains",
  "enabled": true,
  "expression": "(http.host in {\"contorller.tek-safari.com\" \"cpcontacts.tek-safari.com\" \"autodiscover.tek-safari.com\" \"webdisk.tek-safari.com\" \"blog.blog.tek-safari.com\" \"demo.hostmaster.tek-safari.com\"})"
}
[SOC-ACTION-009b] Cloudflare Access (Zero Trust) for /wp-admin CONFIG
Action
Zero Trust → Access → Applications → Add (Self-hosted)
  Application Domain: tek-safari.com/wp-admin*  ,  tek-safari.com/wp-login.php
  Policy:
    Action:    Allow
    Include:   emails ending in @yourcompany.com
    Require:   WebAuthn or TOTP
    Session:   8h
# Outcome: 認可ユーザー以外は WAF より手前で完全遮断され、SOC-INC-002 を根本解決
[SOC-ACTION-009c] DNS hygiene: remove unused subdomains MANUAL 
DNS records to retire (or change to "Paused"):
  contorller.tek-safari.com   (typo — confirm not in use)
  cpcontacts.tek-safari.com
  autodiscover.tek-safari.com (if not using MS Exchange)
  webdisk.tek-safari.com      (if not using cPanel WebDisk)
  blog.blog.tek-safari.com    (nested duplicate)
  demo.hostmaster.tek-safari.com
§4

Current WAF Posture

Active rules during this reporting window
Custom
edaa72c3f28f4a00a51fedd19c16f390
wp-login.php
Blocks: 494 (70.6%) · Action: Block
Managed
23548ee2b36547a1be09bb2c0550c529
Version Control - Info Disclosure
Blocks: 114
Managed
0242110ae62e44028a13bf4834780914
Vulnerability scanner activity
Blocks: 34
Managed
c04705c7adee4ce3a763bd5e18135e0c
Info Disclosure - File Extension
Blocks: 20
Managed
7994335d116849f7a0ab6b771d1d0db7
WP Broken Access / LFI
Blocks: 19
Managed
c2a2f414a67c409f90cccb6c5bba0215
Info Disclosure - Common Files
Blocks: 19
§5

Rollout Plan

Phased deployment over 14 days
DAY 0 (TODAY)
Low-Risk Block Rules
SOC-RULE-003 / 004a / 004b / 005 / 006a / 009a を Block 動作で即時投入。誤検知リスクが極めて低い (該当パスへの正規アクセスが存在しないため)。
DAY 1-3
Log Mode Observation
SOC-RULE-001a / 002a / 002b / 007 / 008 を "action": "log" で投入し、Logpush で誤検知有無を観察。
DAY 4-7
Promote to Enforcement
誤検知ゼロ確認後、action を Block / Managed Challenge / Rate Limit へ昇格。SOC-INC-002 の既存ルール置換を含む。
DAY 7-10
Origin Hardening & Forensics
SOC-ACTION-004c (残置Webshell監査) 実施。Managed Ruleset の Block 動作確認 (SOC-CONFIG-006b)。
DAY 10-14
Zero Trust Migration
SOC-ACTION-009b で Cloudflare Access を /wp-admin に適用 → SOC-INC-002 を根本解決。
ONGOING
Continuous Monitoring
本レポートを日次発行。新規 IOC / TTP を継続反映。SOC-INC-007 (Cloud ASN) の ASN リストは月次レビュー。
§6

Telemetry & Metrics

Visual analytics of HTTP & WAF events

6.1 HTTP Traffic Profile

Edge Response Status Codes

Top Source Countries

Top Requested Hosts

Top Client IPs (suspect)

Top Request Paths (recon patterns)

Top Edge Data Centers

HTTP Methods

Cache Status

6.2 WAF / Firewall Blocks (700 events)

Rule Triggers

Targeted Paths

Top Source IPs

Source Countries

Block Locations (Edge Colo)

HTTP Methods (Blocked)

Rule Source

Targeted Hosts

§7

AI SOC 総評

Closing assessment from the AI SOC pipeline
▎ Bottom Line
tek-safari.com は 偵察フェーズから標的型キャンペーンフェーズへ移行中。 WAFブロック +291% の急増と 3つの独立した脅威アクター の並行活動を確認。 現時点で侵害は未確認だが、推奨ルール9件の即時投入と Zero Trust 化を強く推奨。
Posture: NEEDS ATTENTION GOOD (推奨9ルール実装後) STRONG (Zero Trust 化後)
Analysis Confidence
87% ⚠ AI生成分析 · 本番投入前に人間SOCアナリストの査読を推奨
Attack Phase
Targeted Campaign
L7 偵察フェーズに留まる
Threat Actors
3 (Independent)
Scraper / Botnet / Webshell Hunter
Block Surge (WoW)
+291%
179 → 700 blocks
Compromise Status
Not Observed
5xx 0.3% · 既知CVE悪用なし
Overall Assessment — 状況評価
なぜ「標的型キャンペーン」と判断したか

WAFブロック数の前日比 +291% という急増は単なるノイズではなく、複数の独立した攻撃グループが同時並行で本資産を狙っている兆候です。

特に 93.123.109.15 の長時間スクレイピング (21時間継続) と ALFA TeaM Webshell 探索の併発は、「コンテンツ複製 → フィッシングサイト構築 → 元サイト侵害」 という多段攻撃シナリオの典型的初期段階に合致します。

Threat Actors — 識別された3つの攻撃グループ
TTP相関分析による仮説 (Hypothesis)
ACTOR ①
Scraper (NetCup VPS)
商業的コンテンツ複製または BEC/フィッシング準備の偵察役。Firefox 47 という古いUAを使用。
OpSec: Low (Script Kiddie〜中級)
ACTOR ②
Botnet Operator (15+ countries)
wp-login.php 総当たりを実行。UA偽装の質と地理分散の規模から、商用 BFaaS の利用が疑われる。
OpSec: Medium (Commercial BFaaS)
ACTOR ③
ALFA-aligned Actor
Webshell探索の手法から、既存の被害サーバを横取りする「Web Defacement Hunter」系。侵害成功時の影響は致命的。
Impact: Critical if successful
Why This Matters — なぜ今すぐ対策が必要か
人間トラフィックほぼゼロ × 高頻度攻撃の矛盾

200 OK が 648件あるにも関わらず、その大半 (DotBot 672, NetCup 736) がボット由来。これは「真の人間トラフィックがほぼ存在しない資産が、攻撃者にとっては高優先ターゲットになっている」という矛盾した状況を示します。

WordPress を運用していること自体が攻撃者を呼び寄せており、本資産が事業上アクティブでない場合、攻撃面そのものを縮小する (=サイトを静的化 or Cloudflare Pages 移行) ことが最も費用対効果の高い対策 と判断します。

Top 3 Priorities — 優先対応アクション
今日 / 今週 / 今月 のタイムラインで整理
今日中
P1 — 誤検知ゼロの即時Block。 SOC-RULE-003 (秘匿ファイル全Block) と SOC-RULE-004a/b (Webshell全Block) を即時投入。 これらは正規アクセスがゼロのため誤検知リスクなし。
今週中
P2 — Zero Trust 適用。 SOC-ACTION-009b による Cloudflare Access (Zero Trust) の /wp-admin 適用。 これだけで SOC-INC-002 (Brute Force) が 根本解決
今月中
P3 — 攻撃面の縮小。 未使用サブドメイン6件の DNS 削除と、WordPress 自体の必要性再評価。 事業ニーズが低ければ静的サイトへの移行を強く推奨。
Items Not of Concern — 心配不要な項目
健全な観測項目 / 攻撃成功の兆候なし

パッチ未適用の既知脆弱性悪用は現時点で観測されていません。5xx エラー率は 0.3% と低く、オリジンサーバは健全。DDoS 規模の volumetric 攻撃も検知されておらず、現状の攻撃は L7 偵察フェーズに留まっています

これは「対策を打つ時間的余裕がまだある」ことを意味します。今のうちに防御層を強化すべきです。

§8

Appendix & References

A. Data Source: Cloudflare Logpush → R2 bucket (cloudflare-managed-763ace79 for HTTP, cloudflare-managed-45268730 for WAF). Analyzed via R2 Log Analyzer MCP server.

B. Reference Documentation:

C. Classification: TLP:AMBER — Limited disclosure, recipient may share with members of their own organization or its clients/customers when reasonably necessary.

D. AI Disclosure: 本レポートは Claude Opus 4.7 を分析エンジンとする AI SOC パイプラインによって自動生成されました。Cloudflare 公式サービスではありません。本番運用前に必ず人間のSOCアナリストによる査読を実施してください。

E. Next Report: 2026-05-20 (JST) at 09:00 — automated dispatch via AI SOC pipeline.