▎ CLOUDFLARE UNOFFICIAL AI SOC AI-POWERED UNOFFICIAL

AI SOC Daily Security Report

Customer: TEK-SAFARI · Asset: tek-safari.com (and subdomains) · Engine: Claude-Opus-4-7 / R2 Log Analyzer MCP

REPORT ID
AISOC-2026-05-20-TS01
REPORT DATE (JST)
2026-05-20 (24h window)
DATA WINDOW (UTC)
2026-05-19T15:00 → 2026-05-20T15:00
CLASSIFICATION
TLP:AMBER (Unofficial)
ANALYST
AI Tier-2 Auto-correlation
HUMAN REVIEW
Pending
THREAT LEVEL: HIGH
観測ウィンドウ内に WAFブロック463件、攻撃比率 10.5%。 複数の Azure VM (AS8075) から協調的なBrute Forceを検知 — 攻撃者は クラウドVMをローテーション させている。 PHP Webshell探索パターンの多様化 (about.php / inputs.php / as.php …) も顕著。
Security Posture
STRONG GOOD NEEDS ATTENTION CRITICAL
Total Requests
4,440
▼ -34% (vs 5/19)
WAF Blocks
463
▼ -34%
Attack Ratio
10.5%
▼ -8.6pt
Azure VMs (AS8075)
5+
rotated attack IPs
PHP Webshell Probes
20+ paths
about.php / inputs.php / ...
200 OK
413
9.3%
Origin Health
99.7%
5xx: 0.3%
§1

Executive Summary

For C-Level / Management

本日24時間 (JST 2026-05-20) において、Cloudflare Unofficial AI SOC は tek-safari.com に対する 7件のセキュリティイベント (Critical: 1 / High: 3 / Medium: 2 / Low: 1) を AI 自動相関分析にて検知しました。WAFブロック件数は 463件 で前日比 -34% と減少していますが、攻撃の 質的変化 が顕著です。

主な観測事項は以下の通りです:

  1. SOC-INC-001 (Critical): Azure VM (AS8075) ローテーション攻撃20.151.117.104 623件、20.226.60.108 623件、4.201.75.230 504件、20.104.75.194 431件など、5IPで2,200件以上のクラウドVM協調攻撃。
  2. SOC-INC-002 (High): /wp-login.php 総当たり 410件継続。前日からの攻撃継続。
  3. SOC-INC-003 (High): PHP Webshell探索の多様化/about.php, /inputs.php, /as.php, /adminfuns.php, /sf.php など 20以上の異なるPHPパス を体系的にスキャン。
  4. SOC-INC-004 (High): ALFA TeaM Webshell探索 11件 + SEO Theme RCE 8件 — 5/18-19から継続する偵察キャンペーン。

すべての攻撃は WAF にて遮断されており、侵害の事実は確認されていません。攻撃者は クラウドVMをローテーションする戦術的洗練度 を見せており、ASN単位での対策強化を強く推奨します。

CRITICAL
Azure VM Rotated Attack
2,200+ req from 5 Azure IPs
HIGH
PHP Webshell Probe Diversification
20+ paths · automated scanner
HIGH
WP Brute Force (continued)
410 blocks · day 3 of campaign
HIGH
ALFA Webshell Hunting (escalated)
11 req · +275% vs 5/19
§2

Incident Register

9 incidents confirmed in this period
ID Severity Category Title Volume Status
SOC-INC-001CRITICALCloud VM RotationCoordinated Azure VM attack infrastructure2,200+ req · 5 IPsMitigated (ASN rule needed)
SOC-INC-002HIGHCredential Attackwp-login.php brute force (sustained campaign day 3)410 blocksBlocked (refine)
SOC-INC-003HIGHWebshell HuntingPHP backdoor path diversification20+ paths · 200+ probesMitigated (rule needed)
SOC-INC-004HIGHWebshell HuntingALFA TeaM & SEO Theme RCE escalation19 req · +316% vs 5/19Blocked (formalize)
SOC-INC-005MEDIUMInformation Disclosure.env / .git / wp-config backup scan (diversified)13 blocks · 6 variantsBlocked (extend)
SOC-INC-006MEDIUMSubdomain Exposurewebdisk / cpcontacts / cpcalendars / webmail exposure88 req · 4 cPanel-style hostsRecommendation
SOC-INC-007LOWTrendOverall attack volume decrease (-34% WoW)InformationContinue monitoring
§3

Incident Details & Recommended Mitigations

Per-incident analysis with proposed Cloudflare Ruleset rules
SOC-INC-001 CRITICAL
Coordinated Azure VM attack infrastructure rotation
Volume: 2,200+ requests across 5 Azure IPs ASN: AS8075 Microsoft Azure
Observation
Microsoft Azure (AS8075) 内の 少なくとも5つの異なるVM から協調的な攻撃を観測:
20.151.117.104 623件 / 20.226.60.108 623件 / 4.201.75.230 504件 / 20.104.75.194 431件 / 20.104.227.76 252件
合計 2,433件。攻撃者は Azure VM をローテーション させて単一IPブロックを回避する戦術を採用。
Source (IOC)
5+ Azure VMs (AS8075) · 20.x range concentration
TTPs
T1583.003 Acquire Infra: VPST1090 ProxyT1110 Brute Force
Impact
クラウドVMの大量取得は 攻撃者が予算を投入する標的型キャンペーン の典型兆候。ASN単位の対策が必要。
▎ RECOMMENDED MITIGATION
[SOC-RULE-001] Challenge cloud-hosted ASN → WordPress paths CHALLENGE phase: http_request_firewall_custom
Target ASNs
8075 (Azure) · 14618/16509 (AWS) · 396982 (GCP)
16276 (OVH) · 24940 (Hetzner) · 63949 (Linode) · 14061 (DigitalOcean) · 20473 (Vultr)
Expression
(ip.src.asnum in {8075 14618 16509 396982 16276 24940 63949 14061 20473}
 and (starts_with(http.request.uri.path, "/wp-")
      or http.request.uri.path eq "/xmlrpc.php"
      or http.request.uri.path matches "\\.php$"))
▸ Cloudflare API payload 
{
  "action": "managed_challenge",
  "description": "SOC-RULE-001 Challenge cloud-hosted IPs hitting WP/PHP",
  "enabled": true,
  "expression": "(ip.src.asnum in {8075 14618 16509 396982 16276 24940 63949 14061 20473} and (starts_with(http.request.uri.path, \"/wp-\") or http.request.uri.path eq \"/xmlrpc.php\" or http.request.uri.path matches \"\\\\.php$\"))"
}
SOC-INC-002 HIGH
wp-login.php brute force (sustained campaign — day 3)
Volume: 410 blocks (continuing from 5/18-19)
Observation
5/18 (905件) → 5/19 (494件) → 5/20 (410件) と 3日連続でwp-login.php攻撃キャンペーン が継続。攻撃強度は徐々に低下しているが、まだ高水準。
TTPs
T1110.001 Password GuessingT1110.003 Password Spraying
▎ RECOMMENDED MITIGATION (refine existing rule)
[SOC-RULE-002] Rate limit wp-login.php POST RATE LIMIT phase: http_ratelimit
Expression
(http.request.uri.path eq "/wp-login.php"
 and http.request.method eq "POST")
Rate Limit Config
characteristics: [ip.src]
period: 60s · requests_per_period: 3 · mitigation_timeout: 3600s
SOC-INC-003 HIGH
PHP backdoor path diversification (Scanner Evolution)
Volume: 20+ unique PHP paths · 200+ probes
Observation
攻撃者が 体系的に多数のPHP Webshellパスをスキャン。5/19の /seotheme/db.php 単発から大幅に拡大:
/about.php (20) · /inputs.php (20) · /as.php (20) · /adminfuns.php (20) · /index/function.php (20) · /info.php (20) · /ioxi-o.php (18) · /themes.php (16) · /sf.php (16) · /goods.php (16) など。
TTPs
T1505.003 Web ShellT1083 File and Directory DiscoveryT1190 Exploit Public-Facing App
Impact
スキャナーが 新しいシグネチャ辞書を使用 している可能性。発見されたWebshellパスは数十~数百種類に上ることが多い。
▎ RECOMMENDED MITIGATION
[SOC-RULE-003a] Block suspicious PHP root paths BLOCK phase: http_request_firewall_custom
Expression
(lower(http.request.uri.path) matches "^/(about|inputs|as|adminfuns|sf|goods|info|ioxi-o|themes|admin|abc|cache|file|404|classwithtostring|config|style|2|66)\\.php$"
 or lower(http.request.uri.path) matches "^/index/function\\.php$"
 or lower(http.request.uri.path) matches "/wp-content/uploads/.*\\.php$")
▸ Cloudflare API payload 
{
  "action": "block",
  "description": "SOC-RULE-003a Block scanner PHP backdoor probes",
  "enabled": true,
  "expression": "(lower(http.request.uri.path) matches \"^/(about|inputs|as|adminfuns|sf|goods|info|ioxi-o|themes|admin|abc|cache|file|404|classwithtostring|config|style|2|66)\\\\.php$\" or lower(http.request.uri.path) matches \"^/index/function\\\\.php$\" or lower(http.request.uri.path) matches \"/wp-content/uploads/.*\\\\.php$\")"
}
SOC-INC-004 HIGH
ALFA TeaM Webshell & SEO Theme RCE escalation
Volume: 19 attempts (+316% vs 5/19)
Observation
/ALFA_DATA/alfacgiapi/perl.alfa11件 (5/19比+275%) と急増。さらに /wp-content/themes/seotheme/db.php も8件と継続観測。Managed Rule "Malware, Web Shell" が 8件発火
Target Paths
/ALFA_DATA/alfacgiapi/perl.alfa · /alfacgiapi/perl.alfa · /wp-content/themes/seotheme/db.php · /images/images/cache.php · //C2dbB.php · //wp-plain.php
TTPs
T1505.003 Web ShellT1190 Exploit Public-Facing App
▎ RECOMMENDED MITIGATION
[SOC-RULE-004] Known webshell & vulnerable plugin path block BLOCK phase: http_request_firewall_custom
Expression
(lower(http.request.uri.path) matches "(alfa_data|alfacgiapi|\\.alfa|/r57|/c99|/wso|/b374k|/wp_filemanager|c2dbb|wp-plain)"
 or lower(http.request.uri.path) matches "/wp-content/(themes|plugins)/(seotheme|hellopress|easy-wp-smtp|wp-file-manager)/"
 or lower(http.request.uri.path) matches "/images/.*/cache\\.php$")
SOC-INC-005 MEDIUM
Secret discovery scan diversification
Volume: 13 blocks · 6 variants
Observation
.env / .git / wp-config 系の漏洩スキャンが 新しいバリエーション で発生:
/.env (4) · /wp-config.php · /wp-config.php~ · /wp-config.php.old · /.env.local.swp · /.env.production.bak · /.git/logs/HEAD。スキャナが 編集中バックアップ拡張子も網羅 する戦術。
TTPs
T1083 File and Directory DiscoveryT1552.001 Credentials in Files
▎ RECOMMENDED MITIGATION
[SOC-RULE-005] Extended secret & editor backup file block BLOCK phase: http_request_firewall_custom
Expression
(lower(http.request.uri.path) matches "(^|/)\\.(env|git|svn|hg|aws|ssh|vscode|idea|ds_store)(/|$|\\.)"
 or lower(http.request.uri.path) matches "\\.(bak|backup|old|orig|swp|swo|save|tmp)$"
 or ends_with(lower(http.request.uri.path), "~")
 or lower(http.request.uri.path) matches "/wp-config\\.php(~|\\.(bak|old|orig|swp|save))?$"
 or lower(http.request.uri.path) matches "/\\.env(\\.|$)")
SOC-INC-006 MEDIUM
cPanel-style subdomain reconnaissance
Volume: 88 req across 4 hosts
Observation
cPanel 管理用サブドメイン群への偵察:
cpcontacts.tek-safari.com (25) · webdisk.tek-safari.com (22) · admin.tek-safari.com (22) · cpcalendars.tek-safari.com (22) · webmail.tek-safari.com (22)
本番運用されていない可能性が高く、攻撃面として閉じるべき。
TTPs
T1590.005 Gather Network InfoT1595.001 Active Scanning
▎ RECOMMENDED MITIGATION
[SOC-RULE-006] Block cPanel-style unused subdomains BLOCK phase: http_request_firewall_custom
Expression
(http.host in {"cpcontacts.tek-safari.com"
               "webdisk.tek-safari.com"
               "admin.tek-safari.com"
               "cpcalendars.tek-safari.com"
               "webmail.tek-safari.com"
               "autodiscover.tek-safari.com"})
SOC-INC-007 LOW
Attack volume trend — overall decrease (-34% WoW)
Metric: WAF blocks 700 → 463
Observation
WAFブロック件数は前日比 -34% と減少 (700 → 463)。攻撃強度は鈍化したが、攻撃の質的洗練度は上昇 しているため警戒継続が必要。
▸ 国別分布: CA 1336, BR 1137, US 1005 — 主要攻撃源が 南北アメリカ大陸 に集中。
▸ Edge Colo: YYZ 1334, GRU 1135 — 攻撃元プロキシも同地域。
Note
攻撃量の減少≠脅威の減少。Webshell探索の多様化と Azure VM ローテーション が示すように、攻撃者は手法を高度化している。
§4

Current WAF Posture

Active rules during this reporting window
Custom
edaa72c3f28f4a00a51fedd19c16f390
wp-login.php
Blocks: 494 (70.6%) · Action: Block
Managed
23548ee2b36547a1be09bb2c0550c529
Version Control - Info Disclosure
Blocks: 114
Managed
0242110ae62e44028a13bf4834780914
Vulnerability scanner activity
Blocks: 34
Managed
c04705c7adee4ce3a763bd5e18135e0c
Info Disclosure - File Extension
Blocks: 20
Managed
7994335d116849f7a0ab6b771d1d0db7
WP Broken Access / LFI
Blocks: 19
Managed
c2a2f414a67c409f90cccb6c5bba0215
Info Disclosure - Common Files
Blocks: 19
§5

Rollout Plan

Phased deployment over 14 days
DAY 0 (TODAY)
Low-Risk Block Rules
SOC-RULE-003 / 004a / 004b / 005 / 006a / 009a を Block 動作で即時投入。誤検知リスクが極めて低い (該当パスへの正規アクセスが存在しないため)。
DAY 1-3
Log Mode Observation
SOC-RULE-001a / 002a / 002b / 007 / 008 を "action": "log" で投入し、Logpush で誤検知有無を観察。
DAY 4-7
Promote to Enforcement
誤検知ゼロ確認後、action を Block / Managed Challenge / Rate Limit へ昇格。SOC-INC-002 の既存ルール置換を含む。
DAY 7-10
Origin Hardening & Forensics
SOC-ACTION-004c (残置Webshell監査) 実施。Managed Ruleset の Block 動作確認 (SOC-CONFIG-006b)。
DAY 10-14
Zero Trust Migration
SOC-ACTION-009b で Cloudflare Access を /wp-admin に適用 → SOC-INC-002 を根本解決。
ONGOING
Continuous Monitoring
本レポートを日次発行。新規 IOC / TTP を継続反映。SOC-INC-007 (Cloud ASN) の ASN リストは月次レビュー。
§6

Telemetry & Metrics

Visual analytics of HTTP & WAF events

6.1 HTTP Traffic Profile

Edge Response Status Codes

Top Source Countries

Top Requested Hosts

Top Client IPs (suspect)

Top Request Paths (recon patterns)

Top Edge Data Centers

HTTP Methods

Cache Status

6.2 WAF / Firewall Blocks (700 events)

Rule Triggers

Targeted Paths

Top Source IPs

Source Countries

Block Locations (Edge Colo)

HTTP Methods (Blocked)

Rule Source

Targeted Hosts

§7

AI SOC 総評

Closing assessment from the AI SOC pipeline
▎ Bottom Line
攻撃量は前日比 -34% と減少したが、これは 「平和になった」ではなく「攻撃手法が高度化した」 兆候。 5つの異なる Azure VM から協調攻撃、Webshell探索パスが 20種類以上に多様化。 ASN単位での Challenge 適用と スキャナー検知ルールの追加を強く推奨。
Posture: NEEDS ATTENTION GOOD (ASN Challenge + Scanner Block 後) STRONG (Zero Trust 化後)
Analysis Confidence
89% ⚠ AI生成分析 · 本番投入前に人間SOCアナリストの査読を推奨
Attack Phase
Tactical Refinement
VM rotation + Path diversification
Cloud VMs Identified
5+ Azure IPs
AS8075 coordinated
Webshell Paths Probed
20+ unique
vs 2 paths on 5/19
Compromise Status
Not Observed
5xx 0.3% · WAF blocking all
Overall Assessment — 状況評価
なぜ「攻撃量減少」が安心材料にならないのか

WAFブロック数は前日比 -34% と減少しましたが、これは 攻撃者が量から質へとシフトした兆候 です。本日観測された変化は以下の3点で、いずれも「より洗練された攻撃」を示します:

① インフラ多様化: 単一IP集中(5/18) → 単一VPS長時間(5/19) → 複数Azure VMローテーション(5/20) へ進化
② 攻撃パス多様化: seotheme/db.php 1種(5/19) → 20種以上のPHPパス(5/20) へ拡大
③ 偵察拡張: cPanel系サブドメイン(webdisk, cpcontacts, admin, cpcalendars, webmail) への系統的探索開始

これは攻撃者が 本資産への投資を継続している 強い証拠です。

Threat Actor Profile — Azure VM ローテーションの戦術
クラウドVMを使い分ける中級〜上級アクター
PRIMARY
Azure VM Operator
AS8075 内で 5+ VMをローテーション 使用。20.x レンジに集中していることから、同一サブスクリプション内の複数VPSを並列稼働。月額コストを払って継続攻撃する 中級〜上級アクター
OpSec: Medium-High (Persistent)
SECONDARY
PHP Webshell Scanner
20以上のPHPパスを系統的にスキャン。商用 Vulnerability Scanner または カスタムビルドのスキャナ。各パスで均一に20件前後 = 規則的なスキャン挙動。
OpSec: Medium (Automated)
BACKGROUND
ALFA-aligned Actor (Escalating)
5/19から+275%増加。Webshell探索強度を着実に上げており、侵害成功への確信または別の侵入ルート発見 の可能性がある。
Impact: Critical if successful
Why This Matters — 3日間のキャンペーン総括
5/18-19-20 の攻撃進化パターン

本観測ウィンドウ (5/18-20) の3日間を総括すると、攻撃者は 明確な学習曲線 を描いています:

Day 1 (5/18): 単一IP集中攻撃 → 即IP Block されることを学習
Day 2 (5/19): 単一VPS長時間 + UA偽装多様化 → スクレイピングと併用学習
Day 3 (5/20): 複数 Azure VM ローテーション + パス多様化 → 持続的攻撃インフラの構築

これは 同一の攻撃者または攻撃グループが学習・適応している 強い証拠です。今後 (5/21以降) は セッション維持型 / Cookie 操作型 / API 攻撃 へとさらに進化する可能性が高いと予測されます。

Top 3 Priorities — 優先対応アクション
今日 / 今週 / 今月 のタイムラインで整理
今すぐ
P1 — Azure ASN Challenge ルール投入。 SOC-RULE-001 で AS8075 等のクラウドASN からの WordPress/PHP アクセスに Managed Challenge を強制。VMローテーションを無効化。
今日中
P2 — PHP Webshellパスの一括Block。 SOC-RULE-003a (PHP ルートパス) と SOC-RULE-004 (既知Webshell) を即時投入。攻撃者のスキャン辞書を機能不全に。
今週中
P3 — cPanel系サブドメイン整理 + Zero Trust。 SOC-RULE-006 で未使用サブドメインをBlock。さらに /wp-admin を Cloudflare Access で完全私有化。
Items Not of Concern — 心配不要な項目
健全な観測項目 / 攻撃成功の兆候なし

パッチ未適用の既知脆弱性悪用は観測されていません。5xx エラー率は 0.3% と低く、オリジンサーバは健全。攻撃量も前日比 -34% と減少しています。

ただし「攻撃量減少」が 「脅威減少」ではなく「手法の高度化」 を意味することは前述の通り。次の48時間は警戒継続を強く推奨します。

§8

Appendix & References

A. Data Source: Cloudflare Logpush → R2 bucket (cloudflare-managed-763ace79 for HTTP, cloudflare-managed-45268730 for WAF). Analyzed via R2 Log Analyzer MCP server.

B. Reference Documentation:

C. Classification: TLP:AMBER — Limited disclosure, recipient may share with members of their own organization or its clients/customers when reasonably necessary.

D. AI Disclosure: 本レポートは Claude Opus 4.7 を分析エンジンとする AI SOC パイプラインによって自動生成されました。Cloudflare 公式サービスではありません。本番運用前に必ず人間のSOCアナリストによる査読を実施してください。

E. Next Report: 2026-05-20 (JST) at 09:00 — automated dispatch via AI SOC pipeline.