▎ CLOUDFLARE UNOFFICIAL AI SOC AI-POWERED UNOFFICIAL

AI SOC Daily Security Report

Customer: TEK-SAFARI · Asset: tek-safari.com (and subdomains) · Engine: Claude-Opus-4-7 / R2 Log Analyzer MCP

REPORT ID
AISOC-2026-05-25-TS01
REPORT DATE (JST)
2026-05-25 (24h window · Mon)
DATA WINDOW (UTC)
2026-05-24T15:00 → 2026-05-25T15:00
CLASSIFICATION
TLP:AMBER (Unofficial)
ANALYST
AI Tier-2 Auto-correlation
HUMAN REVIEW
Pending
THREAT LEVEL: HIGH
観測ウィンドウ内に WAFブロック915件、攻撃比率 14.9%新規CVE 検知 (CVE-2022-29078 / CVE-2025-55182)GB (UK) 発の集中攻撃 (194件) を観測。 3.10.206.240 (AWS, UK) から 182件、wp-login.php Brute Force が 622件で再加速
Security Posture
STRONG GOOD NEEDS ATTENTION CRITICAL
Total Requests
6,135
▲ +8% (vs 5/24)
WAF Blocks
915
▼ -25%
Attack Ratio
14.9%
▼ -6.5pt
New CVE Probing
7
CVE-2022-29078 + 2025-55182
wp-login BF (Mon)
622
▲ +30% (back from weekend)
200 OK
785
12.8%
Origin Health
100%
5xx: 0.0%
§1

Executive Summary

For C-Level / Management

本日24時間 (JST 2026-05-25, 月曜日) において、Cloudflare Unofficial AI SOC は tek-safari.com に対する 7件のセキュリティイベント (Critical: 1 / High: 3 / Medium: 2 / Low: 1) を AI 自動相関分析にて検知しました。WAFブロック件数は 915件 で前日比 -25%ですが、新規CVE悪用試行 という重大な転換点を観測しています。

主な観測事項は以下の通りです:

  1. SOC-INC-001 (Critical): 新規CVE悪用試行を初観測 — Managed Rule で CVE-2022-29078 (Ejs Code Injection) 5件 + CVE-2025-55182 (React RCE) 2件。攻撃者が 偵察フェーズから侵害試行フェーズへ移行
  2. SOC-INC-002 (High): GB (UK) 発の集中攻撃3.10.206.240 (AWS UK) から 182件、WAFブロックも 24件。新たな攻撃地理。
  3. SOC-INC-003 (High): wp-login.php Brute Force 月曜再加速 — 622件 (5/24: 478件、+30%)。「週末-平日」サイクルが明確化。
  4. SOC-INC-004 (High): Azure VM ローテーション継続 (Day 6)20.151.215.10 (604件)、20.197.232.217 (510件)、20.226.73.100 (488件) など 6+ 新規 Azure VM

すべての攻撃は WAF にて遮断され、侵害の事実は確認されていません。ただし CVE 悪用試行の開始 は重大な兆候で、5/22-23で展開した偵察と組み合わさり 攻撃キャンペーンが新しいフェーズに移行 しています。

CRITICAL
CVE Exploitation Attempts
7 blocks · CVE-2022-29078 + CVE-2025-55182
HIGH
GB Concentrated Attack
194 WAF blocks · top country
HIGH
WP Brute Force Re-acceleration
622 blocks (Mon ramp-up)
HIGH
Azure VM Rotation (Day 6)
2,400+ req · 6+ new Azure VMs
§2

Incident Register

9 incidents confirmed in this period
ID Severity Category Title Volume Status
SOC-INC-001CRITICALCVE ExploitationKnown CVE exploitation attempts (Ejs CVE-2022-29078, React CVE-2025-55182)7 blocks · 2 CVEsBlocked (Managed)
SOC-INC-002HIGHCloud VM RotationAzure VM coordinated attack (Day 6 of campaign)2,400+ req · 6+ Azure VMsMitigated (ASN rule needed)
SOC-INC-003HIGHCredential Attackwp-login.php brute force (Day 7, Monday re-acceleration)622 blocksBlocked (refine)
SOC-INC-004HIGHGeographic SurgeGB (UK) attack source emergence — 3.10.206.240 (AWS)194 WAF blocksMitigated (CIDR block needed)
SOC-INC-005MEDIUMInformation Disclosure.env scanning (continuing from 5/24)209 blocksBlocked (Managed)
SOC-INC-006MEDIUMWordPress LFIBroken Access Control / LFI surge26 blocks · +117% DoDBlocked (Managed)
SOC-INC-007LOWTrendCampaign phase transition — recon → exploitationInformationContinue monitoring
§3

Incident Details & Recommended Mitigations

Per-incident analysis with proposed Cloudflare Ruleset rules
SOC-INC-001 CRITICAL
Known CVE exploitation attempts (Ejs & React)
Volume: 7 blocks (5 + 2) First seen: 5/25 (new campaign phase)
Observation
本日初めて 具体的なCVE悪用試行 を観測:
CVE-2022-29078: Ejs Template Engine の Code Injection 脆弱性 (5件発火)。 Cloudflare Managed Rule 3fe69f2a728e40dfabd2cfb602a9ee96
CVE-2025-55182: React Server Components の RCE 脆弱性 (2件発火)。 Cloudflare Managed Rule 33aa8a8a948b48b28d40450c5fb92fba
▸ さらに "Wordpress, Drupal - Code Injection, Deserialization - Stream Wrapper - CVE:CVE-2..." (1件) も発火。
Why Critical
これまでの 偵察・スキャン中心 から 具体的な既知脆弱性の悪用試行 へ転換。 攻撃者が本サイトで使われている技術スタックを特定し、それに対応する攻撃を選択している。
TTPs
T1190 Exploit Public-Facing AppT1059.007 JavaScript ExecutionT1203 Exploitation for Client Execution
▎ RECOMMENDED MITIGATION
[SOC-CONFIG-001] Verify Managed Ruleset is in Block mode + audit stack CONFIG
Action
1. Cloudflare Dashboard → Security → WAF → Managed rules
   ▸ Cloudflare Managed Ruleset → action: BLOCK (current may be log)
   ▸ Cloudflare OWASP Core Ruleset → action: BLOCK (Sensitivity: High)
2. Origin server audit:
   ▸ Ejs (Node.js): バージョン確認 → CVE-2022-29078 修正版へ
   ▸ React: 26.x 系統使用なら CVE-2025-55182 パッチ確認
3. Cloudflare WAF Custom Rule で疑わしいペイロードを Block
   (上記 Managed rule IDs を明示的に Block 設定)
SOC-INC-002 HIGH
Azure VM rotation campaign (Day 6)
Azure VM rotation campaign (Day 6)
Volume: 2,400+ req · 6+ new Azure VMs
Observation
Microsoft Azure (AS8075) からの攻撃が 6日連続 で継続:
20.151.215.10: 604件 (新) · 20.197.232.217: 510件 (新) · 20.226.73.100: 488件 (新)
191.237.255.78: 310件 (新) · 20.195.192.35: 308件 (新) · 20.151.4.8: 160件 (新)
20.100.172.37: 159件 · 52.238.197.40: 134件 · 4.205.25.159: 102件
新規VM 6+ 投入。Azure ASN への Challenge ルール投入が遅れています。
SOC-INC-003 HIGH
wp-login.php brute force (Day 7, Monday re-acceleration)
Volume: 622 blocks (+30% DoD)
Observation
8日間の WP Brute Force 推移: 905 → 494 → 410 → 943 → 354 → 228 → 478 → 622。 月曜日に再加速 (+30%)。 5/23-24 で見られた週末-平日サイクルは引き続き明確。
5/21 (木) 943 以来の高水準
▸ POST 311件と認証突破試行を継続
▎ RECOMMENDED MITIGATION
[SOC-RULE-003] Tighten wp-login.php Rate Limit (lower threshold) RATE LIMIT

既存ルールを 3req/min → 2req/min に強化。 月曜の再加速に対応。

SOC-INC-004 HIGH
GB (UK) attack source emergence
Volume: 194 WAF blocks (top country)
Observation
GB が WAFブロック上位国に浮上 (194件、トップ)。 5/22 までは GB は登場しなかった新しい攻撃地理。 主因は 3.10.206.240 (AWS UK, eu-west-2) からの 182件の集中攻撃。
▸ HTTPリクエスト合計: 237件
▸ WAFブロック: 182件 (HTTPリクエストの 77%)
▸ UA: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0
▎ RECOMMENDED MITIGATION
[SOC-RULE-004] Block 3.10.206.240 + AWS UK eu-west-2 challenge BLOCK
Expression
(ip.src eq 3.10.206.240)
or (ip.src.asnum eq 16509 and ip.src.country eq "GB"
    and starts_with(http.request.uri.path, "/wp-"))
SOC-INC-005 MEDIUM
.env scanning continues (from 5/24 campaign)
Volume: 209 blocks
Observation
5/24 のピーク (595件) からは大幅減少だが、.env スキャンは依然として2番目に多いWAFルール発火:
/.env (6件) · /app/.env, /api/.env, /backend/.env など各5件 (継続)
/src/.env, /config/.env など新パス追加 (各4件)
/.env.bak, /.env.old (バックアップファイル変種) も継続
SOC-INC-006 MEDIUM
WordPress LFI / Broken Access Control surge
Volume: 26 blocks (+117% DoD)
Observation
"Wordpress - Broken Access Control, File Inclusion" Managed Rule が 26件 発火 (5/24: 12件、+117%)。 さらに "Information Disclosure - File Extension" も 11件 と継続。
WordPress 特定プラグインの LFI 脆弱性を狙う攻撃が活発化。 SOC-INC-001 の CVE 悪用と連動している可能性。
SOC-INC-007 LOW
Campaign phase transition — recon → exploitation
Metric: 8-day pattern: WAF blocks now 915 (avg ~700/day)
Observation
8日間のWAFブロック推移: 922 → 700 → 463 → 1,077 → 474 → 254 → 1,212 → 915。 月曜から減少しているが、攻撃の質が「偵察」から「侵害試行」へ移行:
▸ 5/22-23: 偵察フェーズ (Dev/API subdomain発見)
▸ 5/24: シークレット収集フェーズ (.env mass scan)
5/25: 侵害試行フェーズ (具体的CVE悪用試行)
Insight
これは典型的な キルチェーンの進行 パターン。 Cloudflare Access for Dev/Beta/API/管理系 + Managed Ruleset Block 動作 を 火曜中に確実に投入 しないと、次フェーズ (侵害成功) のリスクが高まる。
§4

Current WAF Posture

Active rules during this reporting window
Custom
edaa72c3f28f4a00a51fedd19c16f390
wp-login.php
Blocks: 494 (70.6%) · Action: Block
Managed
23548ee2b36547a1be09bb2c0550c529
Version Control - Info Disclosure
Blocks: 114
Managed
0242110ae62e44028a13bf4834780914
Vulnerability scanner activity
Blocks: 34
Managed
c04705c7adee4ce3a763bd5e18135e0c
Info Disclosure - File Extension
Blocks: 20
Managed
7994335d116849f7a0ab6b771d1d0db7
WP Broken Access / LFI
Blocks: 19
Managed
c2a2f414a67c409f90cccb6c5bba0215
Info Disclosure - Common Files
Blocks: 19
§5

Rollout Plan

Phased deployment over 14 days
DAY 0 (TODAY)
Low-Risk Block Rules
SOC-RULE-003 / 004a / 004b / 005 / 006a / 009a を Block 動作で即時投入。誤検知リスクが極めて低い (該当パスへの正規アクセスが存在しないため)。
DAY 1-3
Log Mode Observation
SOC-RULE-001a / 002a / 002b / 007 / 008 を "action": "log" で投入し、Logpush で誤検知有無を観察。
DAY 4-7
Promote to Enforcement
誤検知ゼロ確認後、action を Block / Managed Challenge / Rate Limit へ昇格。SOC-INC-002 の既存ルール置換を含む。
DAY 7-10
Origin Hardening & Forensics
SOC-ACTION-004c (残置Webshell監査) 実施。Managed Ruleset の Block 動作確認 (SOC-CONFIG-006b)。
DAY 10-14
Zero Trust Migration
SOC-ACTION-009b で Cloudflare Access を /wp-admin に適用 → SOC-INC-002 を根本解決。
ONGOING
Continuous Monitoring
本レポートを日次発行。新規 IOC / TTP を継続反映。SOC-INC-007 (Cloud ASN) の ASN リストは月次レビュー。
§6

Telemetry & Metrics

Visual analytics of HTTP & WAF events

6.1 HTTP Traffic Profile

Edge Response Status Codes

Top Source Countries

Top Requested Hosts

Top Client IPs (suspect)

Top Request Paths (recon patterns)

Top Edge Data Centers

HTTP Methods

Cache Status

6.2 WAF / Firewall Blocks (700 events)

Rule Triggers

Targeted Paths

Top Source IPs

Source Countries

Block Locations (Edge Colo)

HTTP Methods (Blocked)

Rule Source

Targeted Hosts

§7

AI SOC 総評

Closing assessment from the AI SOC pipeline
▎ Bottom Line
本日初めて 具体的なCVE悪用試行 を観測 — CVE-2022-29078 (Ejs Code Injection) + CVE-2025-55182 (React RCE)。 攻撃キャンペーンが 「偵察フェーズ」から「侵害試行フェーズ」へ明確に移行。 GB (UK) 発の新規攻撃地理、Azure VM ローテーション 6日目、月曜の WP Brute Force 再加速も並行発生。
Posture: NEEDS ATTENTION GOOD (Access for dev/beta 適用後) STRONG (全管理エンドポイント Zero Trust 化)
Analysis Confidence
92% ⚠ AI生成分析 · 本番投入前に人間SOCアナリストの査読を推奨
Attack Phase
Exploitation
Known CVE attempts observed
New CVEs Detected
2
CVE-2022-29078 + 2025-55182
Block Change (DoD)
-25%
1,212 → 915 blocks
Compromise Status
Not Observed
5xx 0.0% · WAF blocking all
Overall Assessment — 攻撃面拡大フェーズへ移行
本番から開発環境へのピボット

本日は キャンペーンの第3フェーズ「侵害試行」への明確な移行 を観測:

① Phase 1 (5/18-21): 直接攻撃 — wp-login.php への単純なBrute Force中心
② Phase 2 (5/22-24): 偵察 + シークレット収集 — Dev/API サブドメイン発見 + .env mass scan
③ Phase 3 (5/25-): 具体的CVE悪用試行 — Ejs Code Injection + React RCE + WP LFI 並行発生

これは典型的な サイバーキルチェーン の進行パターン (Reconnaissance → Weaponization → Delivery → Exploitation)。 攻撃者は本サイトの技術スタックを把握し、それに対応するCVEを試行している。「次のフェーズ = 侵害成功 → Persistence」 を防ぐ最後の機会が今週中。

Threat Actor Profile — 進化する攻撃者群
3つの異なる攻撃グループの同時並行活動
NEW
CVE Exploit Actor
本日初観測。 具体的なCVE (CVE-2022-29078, CVE-2025-55182) を試行。 本サイトの技術スタック (Ejs, React) を把握済み。 標的を絞った侵害試行 段階のアクター。
Sophistication: High (CVE-aware)
NEW
GB AWS VPS Attacker
3.10.206.240 (AWS UK eu-west-2) から 182件の集中攻撃。 新しい攻撃地理。 WAFブロック総数で GBがトップ国 (194件) に浮上。
OpSec: Medium
PERSISTENT
Azure VM Rotator (Day 6)
5/20から 6日連続継続。本日も新規 6+ VM 投入。 $300-500/月以上の月額コスト を払い続ける長期キャンペーン。
Persistence: Very High
Why This Matters — 5日間キャンペーン総括
5/18-22 攻撃パターン総覧と次の予測

8日間 (5/18-25) の攻撃進化パターン:

5/18 (月): 922件 ← Phase 1: 直接Brute Force
5/19 (火): 700件 ← Phase 1: 多段攻撃
5/20 (水): 463件 ← Azure VMローテーション開始
5/21 (木): 1,077件 ← 過去攻撃者の再来
5/22 (金): 474件 ← Phase 2 開始: Dev/API 偵察
5/23 (土): 254件 ← 週末効果
5/24 (日): 1,212件 ← Phase 2: .env mass scan
5/25 (月): 915件 ← Phase 3 開始: CVE悪用試行

本日の最大の懸念は 「具体的CVE試行 = 攻撃者が技術スタックを把握済み」 という事実。 これは事前情報を持っているか、過去の偵察で十分な情報を得ているかのどちらか。 どちらにせよ 侵害可能性が現実的 なフェーズに入った。

予測 (5/26-28): 火曜以降、Azure VM ローテーション + CVE 悪用試行 + サブドメイン enumeration の 3-4種類の攻撃並行発生。 Cloudflare Access for Dev/Beta/API/管理系の即時投入が 絶対必須。 もし侵害成功した場合、Persistence (T1547) と Lateral Movement (T1021) を防ぐ次の防御層が必要。

Top 3 Priorities — 優先対応アクション
今日 / 今週 / 今月 のタイムラインで整理
今すぐ (緊急)
P1 — Managed Ruleset 全Block化 + Origin 監査。 SOC-CONFIG-001 で Managed Ruleset を確実にBlock動作に。 さらにOrigin で Ejs / React のバージョン監査と最新パッチ適用。 CVE悪用試行は本日初観測のため 絶対に成功させない
今日中
P2 — 3.10.206.240 Block + Azure ASN Challenge。 SOC-RULE-004 で GB attacker をBlock。 さらに 6日連続の Azure VM ローテーション を Challenge ルールで停止。
今週中
P3 — wp-login.php Rate Limit強化 + Access for 管理系。 SOC-RULE-003 で Rate Limit を 2req/min に強化。 さらに 5/22 から提案している Cloudflare Access for Dev/Beta/API/管理系の本格投入。
Items Not of Concern — 心配不要な項目
健全な観測項目 / 攻撃成功の兆候なし

5xx エラー率 0.0% と極めて健全。 オリジンサーバは過去最大の攻撃量にも関わらず正常応答中。 WAFは全915件を遮断し、200 OK も 785件 (12.8%) 維持。

CVE 悪用試行は 本日初観測の7件すべて Managed Rule で Block されており、現時点で侵害は確認されていない。 ただし攻撃者の戦術が「偵察」から「侵害試行」に移行したことは明確で、火曜以降の継続観測が必須

§8

Appendix & References

A. Data Source: Cloudflare Logpush → R2 bucket (cloudflare-managed-763ace79 for HTTP, cloudflare-managed-45268730 for WAF). Analyzed via R2 Log Analyzer MCP server.

B. Reference Documentation:

C. Classification: TLP:AMBER — Limited disclosure, recipient may share with members of their own organization or its clients/customers when reasonably necessary.

D. AI Disclosure: 本レポートは Claude Opus 4.7 を分析エンジンとする AI SOC パイプラインによって自動生成されました。Cloudflare 公式サービスではありません。本番運用前に必ず人間のSOCアナリストによる査読を実施してください。

E. Next Report: 2026-05-26 (JST) at 09:00 — automated dispatch via AI SOC pipeline.