▎ CLOUDFLARE UNOFFICIAL AI SOC AI-POWERED UNOFFICIAL

AI SOC Daily Security Report

Customer: TEK-SAFARI · Asset: tek-safari.com (and subdomains) · Engine: Claude-Opus-4-7 / R2 Log Analyzer MCP

REPORT ID
AISOC-2026-05-22-TS01
REPORT DATE (JST)
2026-05-22 (24h window)
DATA WINDOW (UTC)
2026-05-21T15:00 → 2026-05-22T15:00
CLASSIFICATION
TLP:AMBER (Unofficial)
ANALYST
AI Tier-2 Auto-correlation
HUMAN REVIEW
Pending
THREAT LEVEL: ELEVATED
観測ウィンドウ内に WAFブロック474件、攻撃比率 7.2% (前日比 -56%)。 攻撃量は減少したが 2つの新たな兆候 を検知 — ① Go-http-client スキャナー (1,391件)、② 開発サブドメイン dev.tek-safari.com の偵察 (998件)
Security Posture
STRONG GOOD NEEDS ATTENTION CRITICAL
Total Requests
6,539
▲ +8% (vs 5/21)
WAF Blocks
474
▼ -56%
Attack Ratio
7.2%
▼ -10.6pt
Go-client Scanner
1,391
new threat (Go-http-client)
Dev Subdomain Hits
998
dev.tek-safari.com exposed
200 OK
1,055
16.1%
Origin Health
99.8%
5xx: 0.2%
§1

Executive Summary

For C-Level / Management

本日24時間 (JST 2026-05-22) において、Cloudflare Unofficial AI SOC は tek-safari.com に対する 7件のセキュリティイベント (Critical: 1 / High: 3 / Medium: 2 / Low: 1) を AI 自動相関分析にて検知しました。WAFブロック件数は 474件 で前日比 -56% と減少していますが、攻撃の質に大きな変化 が見られます。

主な観測事項は以下の通りです:

  1. SOC-INC-001 (Critical): 開発用サブドメイン dev.tek-safari.com の偵察 (998件) + beta.tek-safari.com (86件) も検出。本番未公開の開発環境が露出。
  2. SOC-INC-002 (High): Go-http-client による自動化スキャナー — Go-http-client/1.1 (694件) + 2.0 (697件) = 計1,391件。攻撃者が低コストな自動化に移行。
  3. SOC-INC-003 (High): Azure VM ローテーション攻撃が継続 — 191.234.188.166 (844件)、74.249.173.207 (678件)、34.154.179.242 (661件) など。
  4. SOC-INC-004 (High): WordPress LFI 攻撃が急増 — Managed Rule "WP Broken Access Control/LFI" が 12件 発火 (5/21: 1件、+1100%)。

すべての攻撃は WAF にて遮断され、侵害の事実は確認されていません。ただし 未公開の dev / beta サブドメインが攻撃者に発見されている ことは重大で、Cloudflare Access による即時保護を強く推奨します。

CRITICAL
Dev/Beta Subdomain Exposure
1,084 req · 2 environments leaked
HIGH
Go-http-client Mass Scanning
1,391 req · custom Go scanner
HIGH
Azure VM Campaign Continued
2,400+ req · 4+ Azure VMs
HIGH
WordPress LFI Surge
12 blocks · +1100% vs 5/21
§2

Incident Register

9 incidents confirmed in this period
ID Severity Category Title Volume Status
SOC-INC-001CRITICALAttack Surface LeakDev/Beta subdomain discovery — non-production environments exposed1,084 req · 2 hostsMitigated (Access urgent)
SOC-INC-002HIGHAutomated ScannerGo-http-client mass scanning (custom Go-based tool)1,391 req · 2 versionsMitigated (UA rule needed)
SOC-INC-003HIGHCloud VM RotationAzure VM coordinated attack (continued from 5/20)2,400+ req · 4+ Azure VMsMitigated (ASN rule needed)
SOC-INC-004HIGHWordPress AttackLFI / Broken Access Control attack surge12 blocks · +1100% DoDBlocked (Managed)
SOC-INC-005MEDIUMCredential Attackwp-login.php brute force (Day 5, declining)354 blocksBlocked (refine)
SOC-INC-006MEDIUMWebshell HuntingPHP backdoor path scanning (5/20 pattern returns)15+ paths · 250+ probesMitigated (rule needed)
SOC-INC-007LOWTrendAttack volume decrease (-56% DoD) — campaign tactics shiftingInformationContinue monitoring
§3

Incident Details & Recommended Mitigations

Per-incident analysis with proposed Cloudflare Ruleset rules
SOC-INC-001 CRITICAL
Dev/Beta subdomain leak — non-production environments exposed
Volume: 1,084 requests across 2 hosts First seen: 5/22 (new finding)
Observation
本日初めて以下の 本番運用していないと思われるサブドメイン へのアクセスが大量検出:
dev.tek-safari.com: 998件
beta.tek-safari.com: 86件
internal.tek-safari.com: 4件 (新規)
en.tek-safari.com: 4件 (新規)
攻撃者が DNS enumeration や CT (Certificate Transparency) ログ漁りで 新しいサブドメインを発見 したと判断。
Source (IOC)
複数IPからの分散アクセス · Edge Colo: NRT (1,192件) が最多 — JP発信者の関与示唆
Why Critical
開発環境は WAFルールが本番より弱い / 認証が緩い / デバッグログが露出している 可能性が高く、侵入の足がかり として極めて魅力的なターゲット。Source maps、エラースタックトレース、テストアカウント情報の窃取リスク。
TTPs
T1590.005 Gather Network InfoT1593 Search Open Websites/DomainsT1595.001 Active Scanning
▎ RECOMMENDED MITIGATION
[SOC-RULE-001a] Cloudflare Access for dev/beta/internal subdomains CONFIG
Action (Cloudflare Zero Trust)
Zero Trust → Access → Applications
  - Application: dev.tek-safari.com
  - Application: beta.tek-safari.com
  - Application: internal.tek-safari.com
  Policy:
    Action:  Allow
    Include: emails ending in @yourcompany.com
    Require: WebAuthn or TOTP
    Session: 4h
# Outcome: 開発・ステージング環境は社内ユーザーのみアクセス可
[SOC-RULE-001b] Temporary Block of non-production subdomains BLOCK phase: http_request_firewall_custom
Expression (Access 適用前の暫定対応)
(http.host in {"dev.tek-safari.com"
               "beta.tek-safari.com"
               "internal.tek-safari.com"
               "en.tek-safari.com"
               "cpcontacts.tek-safari.com"}
 and not ip.src in {OFFICE_IPS})
▸ Cloudflare API payload
{
  "action": "block",
  "description": "SOC-RULE-001b Temporary block of non-production subdomains until Access is deployed",
  "enabled": true,
  "expression": "(http.host in {\"dev.tek-safari.com\" \"beta.tek-safari.com\" \"internal.tek-safari.com\" \"en.tek-safari.com\" \"cpcontacts.tek-safari.com\"} and not ip.src in {OFFICE_IPS})"
}
SOC-INC-002 HIGH
Go-http-client mass scanning — custom Go-based attack tooling
Volume: 1,391 requests (21% of total) First seen: 5/22 (new threat tooling)
Observation
Go-http-client (Go言語標準HTTPライブラリのデフォルトUA) からの大量アクセスを新規検出:
Go-http-client/2.0: 697件
Go-http-client/1.1: 694件
これまでブラウザUA偽装が中心だった攻撃者が、より高速・低コストな Go ベースの自動化ツールへ移行。検出回避を諦めて速度優先に切り替えたか、新たな攻撃グループの参入を示唆。
TTPs
T1595 Active ScanningT1592.002 Gather Victim Host Software
Note
Go-http-client は Prometheus exporter や正規Webhook等でも使われるため、完全Blockすると誤検知リスク。Managed Challenge から開始すべき。
▎ RECOMMENDED MITIGATION
[SOC-RULE-002] Challenge Go-http-client UA on attack surface CHALLENGE phase: http_request_firewall_custom
Expression
(starts_with(http.user_agent, "Go-http-client/")
 and not http.request.uri.path matches "^/(api/webhook|metrics)/"
 and (starts_with(http.request.uri.path, "/wp-")
      or http.request.uri.path eq "/xmlrpc.php"
      or http.request.uri.path matches "\\.php$"))
▸ Cloudflare API payload
{
  "action": "managed_challenge",
  "description": "SOC-RULE-002 Challenge Go-http-client UA on WordPress/PHP paths",
  "enabled": true,
  "expression": "(starts_with(http.user_agent, \"Go-http-client/\") and not http.request.uri.path matches \"^/(api/webhook|metrics)/\" and (starts_with(http.request.uri.path, \"/wp-\") or http.request.uri.path eq \"/xmlrpc.php\" or http.request.uri.path matches \"\\\\.php$\"))"
}
SOC-INC-003 HIGH
Azure VM rotation campaign continues (Day 3 of pattern)
Volume: 2,400+ req across 4+ Azure VMs Pattern: Persistent from 5/20
Observation
Microsoft Azure (AS8075) からの攻撃が 3日連続 で継続:
191.234.188.166: 844件 (新)
74.249.173.207: 678件 (新)
34.154.179.242: 661件 (新)
4.201.75.230: 226件 (5/20から継続)
172.202.92.73, 20.222.17.182, 104.211.76.60, 20.205.110.7 も検出
毎日異なるVMを使用しており、長期的・大規模なクラウドVM投資型攻撃 が確定。
TTPs
T1583.003 Acquire Infra: VPST1090 Proxy
▎ RECOMMENDED MITIGATION (urgent — implement today)
[SOC-RULE-003] Challenge cloud-hosted ASN → WP/PHP CHALLENGE phase: http_request_firewall_custom
Expression
(ip.src.asnum in {8075 14618 16509 396982 16276 24940 63949 14061 20473}
 and (starts_with(http.request.uri.path, "/wp-")
      or http.request.uri.path eq "/xmlrpc.php"
      or http.request.uri.path matches "\\.php$"))
SOC-INC-004 HIGH
WordPress LFI / Broken Access Control attack surge
Volume: 12 blocks (+1100% vs 5/21)
Observation
Managed Rule "Wordpress - Broken Access Control, File Inclusion" が 12件 発火 (5/21: 1件 → 5/22: 12件、+1100%)。さらに "Information Disclosure - File Extension" も 22件 と急増。
WordPress特定プラグインの LFI (Local File Inclusion) 脆弱性 を狙う攻撃が活発化している。
TTPs
T1190 Exploit Public-Facing AppT1083 File and Directory DiscoveryT1212 Exploitation for Credential Access
▎ RECOMMENDED MITIGATION
[SOC-RULE-004] Block LFI traversal patterns BLOCK phase: http_request_firewall_custom
Expression
(http.request.uri.query matches "(?i)(\\.\\./|\\.\\.\\\\|/etc/passwd|/proc/self|wp-config\\.php|php://filter|php://input|file://|expect://)"
 or lower(http.request.uri.path) matches "(\\.\\./|\\.\\.\\\\)")
SOC-INC-005 MEDIUM
wp-login.php brute force (Day 5 of campaign, declining)
Volume: 354 blocks Trend: declining
Observation
5日間の WP Brute Force 推移: 905 (5/18) → 494 (5/19) → 410 (5/20) → 943 (5/21) → 354 (5/22)。 5/21の急増後に大きく減少しているが、攻撃は 5日連続で継続。攻撃者は別ベクトル (Dev サブドメイン / Go scanner) にシフト。
TTPs
T1110.001 Password Guessing
▎ RECOMMENDED MITIGATION (continue existing rule)
[SOC-RULE-005] Maintain wp-login.php POST rate limit + GET challenge RATE LIMIT phase: http_ratelimit

既存ルール継続。POST制限 3req/min/IP・GETはManaged Challenge化を継続。

SOC-INC-006 MEDIUM
PHP backdoor path scanning (5/20 pattern returns)
Volume: 15+ paths · 250+ probes
Observation
5/20と同じ PHP Webshell 探索パターンが再来:
/goods.php (41) · /ioxi-o.php (38) · /file.php (33) · /classwithtostring.php (33) · /chosen.php (31) · /index/function.php (29) · /info.php (29) · /as.php (29) · /inputs.php (29) · /about.php (29) など。
ALFA TeaM Webshell 探索 (perl.alfa) も 12件 継続。
▎ RECOMMENDED MITIGATION (apply SOC-RULE from 5/20)
[SOC-RULE-006] Block suspicious PHP root paths BLOCK phase: http_request_firewall_custom
Expression
(lower(http.request.uri.path) matches "^/(about|inputs|as|adminfuns|sf|goods|info|ioxi-o|themes|admin|abc|cache|file|404|classwithtostring|chosen|config|style)\\.php$"
 or lower(http.request.uri.path) matches "^/index/function\\.php$"
 or lower(http.request.uri.path) matches "(alfa_data|alfacgiapi|\\.alfa)")
SOC-INC-007 LOW
Attack volume trend — campaign shifting tactics
Metric: WAF blocks 1,077 → 474 (-56% DoD)
Observation
5日間のWAFブロック推移: 922 (5/18) → 700 (5/19) → 463 (5/20) → 1,077 (5/21) → 474 (5/22)。 5/21にピーク後、本日は急減。ただし 地理分布が大きく変化:
▸ JPからの流入急増 (39 → 1,240件) · 主に Dev サブドメイン
▸ IT からの新規大量流入 (665件) · 5/21は無し
▸ NL は減少 (1,478 → 337) · 過去攻撃者の沈静化
Insight
同一の攻撃グループが地理を切り替えながら継続している 可能性。プロキシ/VPN ローテーションを使い分けて検知回避を試行。
§4

Current WAF Posture

Active rules during this reporting window
Custom
edaa72c3f28f4a00a51fedd19c16f390
wp-login.php
Blocks: 494 (70.6%) · Action: Block
Managed
23548ee2b36547a1be09bb2c0550c529
Version Control - Info Disclosure
Blocks: 114
Managed
0242110ae62e44028a13bf4834780914
Vulnerability scanner activity
Blocks: 34
Managed
c04705c7adee4ce3a763bd5e18135e0c
Info Disclosure - File Extension
Blocks: 20
Managed
7994335d116849f7a0ab6b771d1d0db7
WP Broken Access / LFI
Blocks: 19
Managed
c2a2f414a67c409f90cccb6c5bba0215
Info Disclosure - Common Files
Blocks: 19
§5

Rollout Plan

Phased deployment over 14 days
DAY 0 (TODAY)
Low-Risk Block Rules
SOC-RULE-003 / 004a / 004b / 005 / 006a / 009a を Block 動作で即時投入。誤検知リスクが極めて低い (該当パスへの正規アクセスが存在しないため)。
DAY 1-3
Log Mode Observation
SOC-RULE-001a / 002a / 002b / 007 / 008 を "action": "log" で投入し、Logpush で誤検知有無を観察。
DAY 4-7
Promote to Enforcement
誤検知ゼロ確認後、action を Block / Managed Challenge / Rate Limit へ昇格。SOC-INC-002 の既存ルール置換を含む。
DAY 7-10
Origin Hardening & Forensics
SOC-ACTION-004c (残置Webshell監査) 実施。Managed Ruleset の Block 動作確認 (SOC-CONFIG-006b)。
DAY 10-14
Zero Trust Migration
SOC-ACTION-009b で Cloudflare Access を /wp-admin に適用 → SOC-INC-002 を根本解決。
ONGOING
Continuous Monitoring
本レポートを日次発行。新規 IOC / TTP を継続反映。SOC-INC-007 (Cloud ASN) の ASN リストは月次レビュー。
§6

Telemetry & Metrics

Visual analytics of HTTP & WAF events

6.1 HTTP Traffic Profile

Edge Response Status Codes

Top Source Countries

Top Requested Hosts

Top Client IPs (suspect)

Top Request Paths (recon patterns)

Top Edge Data Centers

HTTP Methods

Cache Status

6.2 WAF / Firewall Blocks (700 events)

Rule Triggers

Targeted Paths

Top Source IPs

Source Countries

Block Locations (Edge Colo)

HTTP Methods (Blocked)

Rule Source

Targeted Hosts

§7

AI SOC 総評

Closing assessment from the AI SOC pipeline
▎ Bottom Line
攻撃量は -56% と減少したが、攻撃の本質が「正面突破」から「攻撃面の拡大探索」へ進化。 最重要発見は 未公開の Dev/Beta サブドメインへの大量アクセス (1,084件)Go-http-client による高速スキャナーの新規投入 (1,391件)。 Cloudflare Access による開発環境の即時保護を最優先で推奨。
Posture: NEEDS ATTENTION GOOD (Access for dev/beta 適用後) STRONG (全管理エンドポイント Zero Trust 化)
Analysis Confidence
90% ⚠ AI生成分析 · 本番投入前に人間SOCアナリストの査読を推奨
Attack Phase
Surface Expansion
Dev/Beta subdomains discovered
New Tooling
Go-http-client
1,391 req · 新スキャナー
Block Change (DoD)
-56%
1,077 → 474 blocks
Compromise Status
Not Observed
5xx 0.2% · WAF blocking all
Overall Assessment — 攻撃面拡大フェーズへ移行
本番から開発環境へのピボット

本日の攻撃は 「量から質、本番から開発、ブラウザ偽装から高速スキャナーへ」 という3つの大きな転換点を示しています:

① 攻撃面の拡大: 本番ドメインのみへの攻撃 → Dev/Beta/Internal/En など 4つの非本番サブドメインの新規発見 (1,084件)。
② ツールの進化: ブラウザUA偽装中心 → Go-http-client による高速スキャナー (1,391件、全リクエストの21%)。
③ 地理の切り替え: NL/SG 中心 → JP (1,240件) + IT (665件) に主軸シフト。

これは 「正面突破が困難になった攻撃者が、より弱い部分を探し始めた」 古典的な進化パターンです。WAFが効果的に機能していることの裏返しでもありますが、開発環境のセキュリティが本番より弱い場合、ここから侵入される可能性 があります。

Threat Actor Profile — 進化する攻撃者群
3つの異なる攻撃グループの同時並行活動
NEW ①
DNS/CT Enumerator (JP-origin)
Dev/Beta/Internal サブドメインを 体系的に発見・偵察。Edge Colo NRT 集中から JP 発信が示唆。CT (Certificate Transparency) ログ漁りツールを使用している可能性。
OpSec: Medium (Tool-savvy)
NEW ②
Go-based Mass Scanner
Go-http-client (1.1 + 2.0) で 1,391件の高速スキャン。検知回避を諦めて速度優先に切り替えた可能性。ブラウザUA偽装より 10-100倍高速
OpSec: Low-Medium (Speed-focused)
PERSISTENT
Azure VM Rotator
5/20から 3日連続 でAzure VMを毎日交換しながら継続攻撃。継続的な月額コスト投入で 長期キャンペーン化
Persistence: High (Funded)
Why This Matters — 5日間キャンペーン総括
5/18-22 攻撃パターン総覧と次の予測

5日間 (5/18-22) の攻撃進化パターン:

5/18 (月): 922件 ← 第1波: SG単一IP集中Brute Force
5/19 (火): 700件 ← 第2波: 多段攻撃 (Scraper + Botnet + Webshell Hunter)
5/20 (水): 463件 ← : Azure VMローテーション開始
5/21 (木): 1,077件第3波: 過去攻撃者の再来
5/22 (金): 474件転換点: 攻撃面拡大 + Go scanner + 開発環境発見

本日の最大の懸念は 「攻撃量の減少 ≠ 脅威の減少」。むしろ 攻撃者が新しい侵入経路 (Dev/Beta) を見つけたため、本番への正面攻撃を縮小した という解釈の方が確からしい。Dev サブドメインの998件は全リクエストの15% を占めており、明確な意図のある偵察。

予測 (5/23-25): 開発環境の脆弱性スキャンが本格化する。Cloudflare Access による即時保護が間に合えば 完全に防げるが、適用が遅れると 開発環境経由での侵害リスク が現実化する。

Top 3 Priorities — 優先対応アクション
今日 / 今週 / 今月 のタイムラインで整理
今すぐ
P1 — Cloudflare Access for Dev/Beta サブドメイン。 SOC-RULE-001adev.tek-safari.com, beta.tek-safari.com, internal.tek-safari.com を Zero Trust 化。 暫定対応として SOC-RULE-001b でオフィスIP以外をBlock。最重要対応。
今日中
P2 — Go-http-client UA Challenge。 SOC-RULE-002 で Go-http-client UA に Managed Challenge を強制。 Prometheus exporter 等の正規利用を除外しつつ、攻撃用スキャナーを無効化。
今週中
P3 — Azure ASN Challenge を本日中に展開。 SOC-RULE-003 で AS8075 等のクラウドASN からの WP/PHP アクセスを Challenge 化。 3日連続でVMローテーション攻撃が続いているため、即時投入を強く推奨。
Items Not of Concern — 心配不要な項目
健全な観測項目 / 攻撃成功の兆候なし

パッチ未適用の既知脆弱性悪用は観測されていません。5xx エラー率は 0.2% と低く、オリジンサーバは健全。WAFは全474件を正常に遮断しており、本番ドメインの正規応答も 1,055件 (16.1%) 維持できています。

5/21の主要攻撃者 (161.118.x.x, 195.178.110.33) は本日完全に沈黙。3-4日サイクル予測は正しかった が、攻撃者は別の戦術 (Dev サブドメイン発見) を試している。今すぐ P1 を投入すれば次の波に間に合う 状況です。

§8

Appendix & References

A. Data Source: Cloudflare Logpush → R2 bucket (cloudflare-managed-763ace79 for HTTP, cloudflare-managed-45268730 for WAF). Analyzed via R2 Log Analyzer MCP server.

B. Reference Documentation:

C. Classification: TLP:AMBER — Limited disclosure, recipient may share with members of their own organization or its clients/customers when reasonably necessary.

D. AI Disclosure: 本レポートは Claude Opus 4.7 を分析エンジンとする AI SOC パイプラインによって自動生成されました。Cloudflare 公式サービスではありません。本番運用前に必ず人間のSOCアナリストによる査読を実施してください。

E. Next Report: 2026-05-23 (JST) at 09:00 — automated dispatch via AI SOC pipeline.