▎ CLOUDFLARE UNOFFICIAL AI SOC AI-POWERED UNOFFICIAL

AI SOC Daily Security Report

Customer: TEK-SAFARI · Asset: tek-safari.com (and subdomains) · Engine: Claude-Opus-4-7 / R2 Log Analyzer MCP

REPORT ID
AISOC-2026-05-24-TS01
REPORT DATE (JST)
2026-05-24 (24h window · Sun)
DATA WINDOW (UTC)
2026-05-23T15:00 → 2026-05-24T15:00
CLASSIFICATION
TLP:AMBER (Unofficial)
ANALYST
AI Tier-2 Auto-correlation
HUMAN REVIEW
Pending
THREAT LEVEL: HIGH
日曜日にも関わらず WAFブロック1,212件 (期間中最大、+377%)、攻撃比率 21.4%大規模 .env スキャン (NL/AS211074 から 1,014件)env-checker という専用ツール (342件) の新規投入 を検知。 Host: tek-safari.com:443 ヘッダ異常も観測。緊急対応推奨。
Security Posture
STRONG GOOD NEEDS ATTENTION CRITICAL
Total Requests
5,672
▲ +13% (vs 5/23)
WAF Blocks
1,212
▲ +377% (period peak)
Attack Ratio
21.4%
▲ +16.4pt
.env scans (NL)
595
single attacker 1,014 req
env-checker UA
342
new dedicated tool
200 OK
567
10.0%
Origin Health
99.5%
5xx: 0.5%
§1

Executive Summary

For C-Level / Management

本日24時間 (JST 2026-05-24, 日曜日) において、Cloudflare Unofficial AI SOC は tek-safari.com に対する 8件のセキュリティイベント (Critical: 2 / High: 3 / Medium: 2 / Low: 1) を AI 自動相関分析にて検知しました。WAFブロック件数は 1,212件 で前日比 +377%本観測期間中の最大値 を記録。日曜日にも関わらず大規模攻撃が発生しています。

主な観測事項は以下の通りです:

  1. SOC-INC-001 (Critical): 単一IP 185.93.89.167 (NL, AS211074) から 1,014件の集中攻撃。 これは6日間で最大の単一IP攻撃。 .env スキャンが主目的。
  2. SOC-INC-002 (Critical): Mozilla/5.0 env-checker という専用ツール が新規検出 (342件、Luxembourg)。 .env ファイル窃取に特化した カスタム開発ツール
  3. SOC-INC-003 (High): .env 大規模スキャン — Managed Rule "Version Control Info Disclosure" が 595件 発火 (5/23: 7件、+8400%)。20種類以上のパス変種を網羅。
  4. SOC-INC-004 (High): Host ヘッダ :443 異常 — 342件の tek-safari.com:443 アクセス。HTTP Request Smuggling 試行の可能性。
  5. SOC-INC-005 (High): 大量サブドメイン enumerationwhm, portal, web, secure, login, accounts, shop, staging, backend, dashboard, auth, sso 等16以上のサブドメイン (各24件均一)。

すべての攻撃は WAF にて遮断され、侵害の事実は確認されていません。ただし 5/22-23 で予測した「月曜の攻撃再開」が前倒し で日曜に発生しており、攻撃者の活動パターンが変化しています。

CRITICAL
NL Single-IP Mass .env Scan
1,014 req · 185.93.89.167 (AS211074)
CRITICAL
env-checker Custom Tool
342 req · LU (Luxembourg)
HIGH
Mass .env Variant Scan
595 blocks · 20+ variants
HIGH
Subdomain Enumeration
16+ subdomains · 24 req each
§2

Incident Register

9 incidents confirmed in this period
ID Severity Category Title Volume Status
SOC-INC-001CRITICALConcentrated AttackNL single-IP mass .env scanning (1,014 req from 185.93.89.167)1,014 req · 1 IPMitigated (IP block urgent)
SOC-INC-002CRITICALCustom Toolingenv-checker — dedicated .env hunting tool (new TTP)342 req · LU originMitigated (UA block needed)
SOC-INC-003HIGHInformation DisclosureMass .env variant scanning (+8400% DoD)595 blocks · 20+ pathsBlocked (Managed)
SOC-INC-004HIGHProtocol AnomalyHost header :443 anomaly — HTTP smuggling attempt342 reqMitigated (rule needed)
SOC-INC-005HIGHSubdomain EnumMass subdomain enumeration (16+ hosts including whm/portal/sso)16+ subdomainsMitigated (rule needed)
SOC-INC-006MEDIUMCredential Attackwp-login.php brute force (Day 6, plateau at 478)478 blocksBlocked (refine)
SOC-INC-007MEDIUMGo ScannerGo-http-client mass scanning continues1,005 req · 2 versionsMitigated (challenge applied)
SOC-INC-008LOWTrendSunday attack surge — weekday-like activity returnsInformationContinue monitoring
§3

Incident Details & Recommended Mitigations

Per-incident analysis with proposed Cloudflare Ruleset rules
SOC-INC-001 CRITICAL
NL single-IP mass .env scanning campaign
Volume: 1,014 HTTP requests · 624 WAF blocks Source: 185.93.89.167 (NL, AS211074)
Observation
単一IP 185.93.89.167 (NL, AS211074) から 1,014件。 主目的は .env ファイル群の網羅的スキャン。20種類以上の派生パスを順次試行。
AS211074 は Datacamp Limited (Datapacket VPN) で、コスト効率の良い攻撃用VPSとして使用される。
Targeted Paths
/.env, /api/.env, /backend/.env, /laravel/.env, /admin/.env, /app/.env, /demo/.env, /portal/.env, /dev/.env, /server/.env, /core/.env, /staging/.env, /API/.env など
TTPs
T1083 File and Directory DiscoveryT1552.001 Credentials in FilesT1595.001 Active Scanning
▎ RECOMMENDED MITIGATION
[SOC-RULE-001] Block 185.93.89.167 + AS211074 (Datacamp) BLOCK phase: http_request_firewall_custom
Expression
(ip.src eq 185.93.89.167)
or (ip.src.asnum eq 211074)
▸ Cloudflare API payload
{
  "action": "block",
  "description": "SOC-RULE-001 Block NL VPS .env scanner + Datacamp ASN",
  "enabled": true,
  "expression": "(ip.src eq 185.93.89.167) or (ip.src.asnum eq 211074)"
}
SOC-INC-002 CRITICAL
env-checker — dedicated .env hunting tool (new TTP)
Volume: 342 requests Origin: Luxembourg
Observation
UA Mozilla/5.0 env-checker という 専用に開発されたカスタムツール が新規検出 (342件)。 LU (Luxembourg) からのアクセスで、Host ヘッダの異常 (tek-safari.com:443) も併発。
env-checker という名称から、.env ファイル窃取に特化した自動スキャナー であることが明白。 Go-http-client より洗練された シグネチャ付きカスタムツール
TTPs
T1083 File and Directory DiscoveryT1552.001 Credentials in FilesT1595.001 Active Scanning
▎ RECOMMENDED MITIGATION
[SOC-RULE-002] Block env-checker UA signature BLOCK phase: http_request_firewall_custom
Expression
(http.user_agent contains "env-checker"
 or lower(http.user_agent) matches "(env-?check|env-?hunt|env-?scan|envscanner)")
SOC-INC-003 HIGH
Mass .env variant scanning (+8400% DoD)
Volume: 595 blocks · 20+ unique paths
Observation
Managed Rule "Version Control Information Disclosure" が 595件 発火 (5/23: 7件、+8400%)。
観測された .env パス変種:
/.env (63) · /api/.env (53) · /backend/.env (53) · /laravel/.env (52) · /admin/.env (52) · /app/.env (27) · /demo/.env (26) · /portal/.env (26) · /dev/.env (26) · /server/.env (26) · /core/.env (26) · /staging/.env (26) · /API/.env (26) · /.env.production (30) · /.env.save (29) など。
▎ RECOMMENDED MITIGATION
[SOC-RULE-003] Comprehensive .env variant block (extended) BLOCK
Expression
(lower(http.request.uri.path) matches "(^|/)\\.env(\\.(production|save|backup|local|dev|test|staging|prod))?$"
 or lower(http.request.uri.path) matches "/(api|backend|laravel|admin|app|demo|portal|dev|server|core|staging|src|config)/?\\.env")
SOC-INC-004 HIGH
Host header :443 anomaly — HTTP smuggling attempt
Volume: 342 requests
Observation
Host: tek-safari.com:443 のように 明示的にポート番号を含む Host ヘッダ が 342件観測。 通常の HTTP/HTTPS リクエストでは Host: tek-safari.com のみで十分なため、これは HTTP Request Smuggling 試行 または カスタムツールの不適切な実装 の可能性。
env-checker UA と発生件数が完全一致 (342件) しており、同一の攻撃キャンペーン
TTPs
T1499.004 Application Exhaustion FloodT1190 Exploit Public-Facing App
▎ RECOMMENDED MITIGATION
[SOC-RULE-004] Block Host header with explicit port number BLOCK
Expression
(http.host matches ":[0-9]+$")
SOC-INC-005 HIGH
Mass subdomain enumeration (16+ hosts)
Volume: 16+ unique subdomains, each 24 req
Observation
攻撃者が一気に 16以上のサブドメイン を発見・偵察:
▸ 認証系: login, auth, sso, accounts, secure
▸ 管理系: whm, cpanel, portal, dashboard, admin, backend
▸ Web系: www, web, m, shop
▸ 環境系: demo, staging, mail
各サブドメインへの 均一に24件 のアクセスから、事前に用意された対象リストでの体系的偵察。 5/23 の API サブドメイン偵察 (6 hosts) を遥かに超える規模。
TTPs
T1590.005 Gather Network InfoT1595.001 Active Scanning
▎ RECOMMENDED MITIGATION
[SOC-RULE-005] Comprehensive subdomain protection via Access CONFIG
Action
1. DNS監査: 上記サブドメインで本当に使われているものを特定
2. 未使用サブドメイン: DNS削除
3. 管理系サブドメイン (whm, cpanel, portal, dashboard,
   admin, backend, login, auth, sso, accounts, secure):
   Cloudflare Access (Zero Trust) で社内のみ公開
SOC-INC-006 MEDIUM
wp-login.php brute force (Day 6 — plateau)
Volume: 478 blocks
Observation
7日間の WP Brute Force 推移: 905 → 494 → 410 → 943 → 354 → 228 → 478。 土曜の沈静化 (228) から日曜は +110% 急増。 攻撃者の「週末でも完全には休まない」パターンを確認。
SOC-INC-007 MEDIUM
Go-http-client mass scanning continues
Volume: 1,005 req (Go-http-client 1.1 + 2.0)
Observation
5/22に初観測した Go-http-client 自動スキャナーが継続稼働:
Go-http-client/2.0: 504件 · Go-http-client/1.1: 501件
全リクエストの 17.7% を占める。 5/22 (1,391件) からはやや減少したが、依然として主要な攻撃ベクトル。
SOC-INC-008 LOW
Sunday attack surge — weekday-like activity returns
Metric: WAF blocks 254 → 1,212 (+377% DoD)
Observation
7日間のWAFブロック推移: 922 → 700 → 463 → 1,077 → 474 → 254 → 1,212。 5/23 の週末効果から日曜は 劇的に攻撃量が回復。 これは AI SOC が 5/23 で予測した「日曜も同様に減少」とは異なるパターン。
新攻撃者の登場: NL VPS (185.93.89.167) と LU env-checker は 5/22 以前は見られなかった存在。
キャンペーンの新フェーズ: .env スキャンと サブドメイン enumeration が同時並行で発生。
§4

Current WAF Posture

Active rules during this reporting window
Custom
edaa72c3f28f4a00a51fedd19c16f390
wp-login.php
Blocks: 494 (70.6%) · Action: Block
Managed
23548ee2b36547a1be09bb2c0550c529
Version Control - Info Disclosure
Blocks: 114
Managed
0242110ae62e44028a13bf4834780914
Vulnerability scanner activity
Blocks: 34
Managed
c04705c7adee4ce3a763bd5e18135e0c
Info Disclosure - File Extension
Blocks: 20
Managed
7994335d116849f7a0ab6b771d1d0db7
WP Broken Access / LFI
Blocks: 19
Managed
c2a2f414a67c409f90cccb6c5bba0215
Info Disclosure - Common Files
Blocks: 19
§5

Rollout Plan

Phased deployment over 14 days
DAY 0 (TODAY)
Low-Risk Block Rules
SOC-RULE-003 / 004a / 004b / 005 / 006a / 009a を Block 動作で即時投入。誤検知リスクが極めて低い (該当パスへの正規アクセスが存在しないため)。
DAY 1-3
Log Mode Observation
SOC-RULE-001a / 002a / 002b / 007 / 008 を "action": "log" で投入し、Logpush で誤検知有無を観察。
DAY 4-7
Promote to Enforcement
誤検知ゼロ確認後、action を Block / Managed Challenge / Rate Limit へ昇格。SOC-INC-002 の既存ルール置換を含む。
DAY 7-10
Origin Hardening & Forensics
SOC-ACTION-004c (残置Webshell監査) 実施。Managed Ruleset の Block 動作確認 (SOC-CONFIG-006b)。
DAY 10-14
Zero Trust Migration
SOC-ACTION-009b で Cloudflare Access を /wp-admin に適用 → SOC-INC-002 を根本解決。
ONGOING
Continuous Monitoring
本レポートを日次発行。新規 IOC / TTP を継続反映。SOC-INC-007 (Cloud ASN) の ASN リストは月次レビュー。
§6

Telemetry & Metrics

Visual analytics of HTTP & WAF events

6.1 HTTP Traffic Profile

Edge Response Status Codes

Top Source Countries

Top Requested Hosts

Top Client IPs (suspect)

Top Request Paths (recon patterns)

Top Edge Data Centers

HTTP Methods

Cache Status

6.2 WAF / Firewall Blocks (700 events)

Rule Triggers

Targeted Paths

Top Source IPs

Source Countries

Block Locations (Edge Colo)

HTTP Methods (Blocked)

Rule Source

Targeted Hosts

§7

AI SOC 総評

Closing assessment from the AI SOC pipeline
▎ Bottom Line
日曜日にも関わらず 過去最高の攻撃量 (1,212件、+377%) を記録。 NL VPS から1,014件の集中.env スキャン + env-checker という専用カスタムツール (LU、342件) を新規検出。 さらに 16以上のサブドメインへの大規模enumeration も発生。緊急対応推奨。
Posture: NEEDS ATTENTION GOOD (Access for dev/beta 適用後) STRONG (全管理エンドポイント Zero Trust 化)
Analysis Confidence
94% ⚠ AI生成分析 · 本番投入前に人間SOCアナリストの査読を推奨
Attack Phase
Secret Harvesting
.env mass scanning campaign
New Tooling
env-checker
342 req · custom tool
Block Surge (DoD)
+377%
254 → 1,212 (period peak)
Compromise Status
Not Observed
5xx 0.5% · WAF blocking all
Overall Assessment — 攻撃面拡大フェーズへ移行
本番から開発環境へのピボット

本日 (日曜日) は 過去7日間で最大の攻撃量 (1,212件) を記録。 5/23 で予測した「日曜も同様に減少」は外れ、逆に劇的な急増 (+377%) が発生:

① 新たな攻撃者の登場: NL VPS (185.93.89.167) は5/22以前は無し。LU の env-checker UA は今日初観測。 これらは 過去の攻撃者とは別グループ
② キャンペーンの新フェーズ: 5/22-23 が「偵察」フェーズなら、本日は 「.env シークレット収集」フェーズ に移行。 595件の .env スキャン (+8400%) が証拠。
③ 自動化ツールの洗練: Go-http-client (5/22登場) に加え、env-checker という 専用のカスタムツール が登場。 攻撃者は このターゲットに対する投資を加速

これは 「攻撃者は人間オペレーター駆動 (5/23仮説) ではなく、自動化+人間複合運用」 である可能性が高い。 週末でも自動スキャナーは継続稼働する。

Threat Actor Profile — 進化する攻撃者群
3つの異なる攻撃グループの同時並行活動
NEW
NL Datacamp Mass Scanner
185.93.89.167 (AS211074 Datacamp Limited) から 1日 1,014件の集中攻撃。.env スキャン特化型。低コストVPN/VPSサービス利用で、使い捨てインフラ 戦略。
OpSec: Medium (Concentrated)
NEW
env-checker Tool Operator
UA Mozilla/5.0 env-checker という 自作ツール を Luxembourg から運用 (342件)。 名称から目的が明確 = OpSec が低いか、検出を気にしていない。 Host header :443 異常も併発。
OpSec: Low (Named tool)
PERSISTENT
Go-http-client Scanner
5/22から3日連続で稼働。本日も1,005件と継続。大規模サブドメイン enumeration の主力ツール。
Persistence: High
Why This Matters — 5日間キャンペーン総括
5/18-22 攻撃パターン総覧と次の予測

7日間 (5/18-24) の攻撃進化パターン:

5/18 (月): 922件 ← 第1波: SG単一IP集中BF
5/19 (火): 700件 ← 第2波: 多段攻撃
5/20 (水): 463件 ← Azure VMローテーション開始
5/21 (木): 1,077件 ← 第3波: 過去攻撃者の再来
5/22 (金): 474件 ← 攻撃面拡大 + Dev/Beta 発見
5/23 (土): 254件 ← 週末効果 + API偵察開始
5/24 (日): 1,212件 ← 過去最高: .env mass scan + env-checker

本日の最大の発見は 5/23 仮説の修正:

▸ 5/23 仮説: 「攻撃者は人間オペレーター駆動 → 週末は活動緩和」
▸ 5/24 観測: 「日曜にも関わらず過去最高の攻撃 → 自動化が主体」
▸ 修正仮説: 「自動化スキャナー (env-checker, Go-http-client) は週末も動作。 過去攻撃者 (SG /16, Firefox 47) のみ人間オペレーター駆動」

予測 (5/25-27): 月曜以降、Azure VM ローテーションが復活 + 過去攻撃者の再来 + 本日始まった .env スキャンキャンペーンの継続 = 3-4種類の攻撃の並行発生。Cloudflare Access for Dev/Beta/API/管理系サブドメインの即時投入が最重要。

Top 3 Priorities — 優先対応アクション
今日 / 今週 / 今月 のタイムラインで整理
今すぐ (緊急)
P1 — 185.93.89.167 + AS211074 即時Block + env-checker UA Block。 SOC-RULE-001 + SOC-RULE-002 を即時投入。 1,000件超の集中攻撃を即停止。
今日中
P2 — Host ヘッダ :443 異常Block + .env 全パターンBlock。 SOC-RULE-003 + SOC-RULE-004 で smuggling 試行と .env スキャンを根絶。
月曜まで
P3 — 管理系サブドメイン (whm/portal/sso 等) を Zero Trust 化。 SOC-RULE-005 の DNS 監査結果に基づき、Cloudflare Access for 認証/管理系を投入。
Items Not of Concern — 心配不要な項目
健全な観測項目 / 攻撃成功の兆候なし

パッチ未適用の既知脆弱性悪用は観測されていません。5xx エラー率は 0.5% とやや高め (27件の504 timeout) ですが、これは原系の応答遅延であり侵害の兆候ではありません。WAFは全1,212件を正常に遮断しており、200 OK 応答も 567件 (10.0%) 維持。

過去最大の攻撃量にも関わらず侵害は確認されていないため、WAFの基本防御は機能している。 今後の課題は .env スキャンと サブドメイン enumeration の根絶

§8

Appendix & References

A. Data Source: Cloudflare Logpush → R2 bucket (cloudflare-managed-763ace79 for HTTP, cloudflare-managed-45268730 for WAF). Analyzed via R2 Log Analyzer MCP server.

B. Reference Documentation:

C. Classification: TLP:AMBER — Limited disclosure, recipient may share with members of their own organization or its clients/customers when reasonably necessary.

D. AI Disclosure: 本レポートは Claude Opus 4.7 を分析エンジンとする AI SOC パイプラインによって自動生成されました。Cloudflare 公式サービスではありません。本番運用前に必ず人間のSOCアナリストによる査読を実施してください。

E. Next Report: 2026-05-25 (JST) at 09:00 — automated dispatch via AI SOC pipeline.