WAF「ログモード」運用による大規模防御ギャップ
WAFAttackScore 1〜20(高リスク)の533,642件中、ブロックされていたのは20.4%のみ。Cloudflare WAFは攻撃を「検知」しているが「阻止」していない状態。CDNダッシュボードには「検知件数」として表示されるが、実際にブロックされていないという事実は見落とされやすい。現行ブロック率0.38%は業界水準(3-8%)を大幅に下回る。
Cloudflare実績ケース(WAFあり・14日間)の分析レポートと、参考事例としてWAF未導入環境の実態を匿名化して公開。「どんな脅威が見つかり、どんな形で届くのか」を確認してください。
顧客名・ドメイン・固有パスは匿名化済み。数値・所見の構造は実際のレポートと同一です。
WAFAttackScore 1〜20(高リスク)の533,642件中、ブロックされていたのは20.4%のみ。Cloudflare WAFは攻撃を「検知」しているが「阻止」していない状態。CDNダッシュボードには「検知件数」として表示されるが、実際にブロックされていないという事実は見落とされやすい。現行ブロック率0.38%は業界水準(3-8%)を大幅に下回る。
CSRFトークン取得 → カート追加 → 注文確定(step03)の購入フローを完全自動化したスキャルピングボット。2025-12/04から5日間、行動パターンベースの検知がなく素通り。ブロックルールが手動の事後対応(IP名そのまま)だったため、次の攻撃IPには同じ遅延が発生する構造。
Tencent Cloud JPリージョンから49時間にわたり商業用ペネトレーションテストツールによる系統的診断が実施された。OASTドメイン(bxss.me)を使ったOut-of-band攻撃テストを確認。Googlebot偽装を844回実行。64のWAFルールに該当するペイロードを投下し、カタログスクレイピング部分(580,346件)は最後まで通過。
| # | アクション | 期待効果 |
|---|---|---|
| 1 | WAFスコア1-10をBlock(Cloudflare Custom Rules) | +10,351件/日の追加ブロック。誤検知率 <0.1% |
| 2 | 43.167.227.164をIP Block(IP Access Rules) | 1.4M件の脆弱性スキャンを即時阻止 |
| 3 | カート/購入APIにレート制限(10 req/min per IP) | スキャルピングボットの根本対策 |
| 4 | AIクローラーUA(GPTBot/meta-externalagent等)をBlock | ~186,000件/月の商品データ収集を遮断 |
| 5 | Go-http-client / HeadlessChrome をBlock | +55,000件/14日の追加ブロック |
攻撃者がサーバーを遠隔から自由に操作できる状態にする攻撃(RCE=Remote Code Execution)が月間674,335件、1日平均約22,000回届いていた。成功すれば個人情報窃取・サイト改ざん・マルウェア設置に直結するリスク。270,943 IPに分散して1IPあたり平均2.5件の短サイクルで投下するため、ルールベースWAFでは検知できず、ブロック率0.0%のまま全件素通りした。
ポーランドの1つのIP(149.50.116.77)が1,325種のUser-Agentを自動ローテーションしながら、/login・/cart/add・/mailmagazine/addに17,281リクエスト。セキュリティ専用LLM(Foundation-Sec-8B / WhiteRabbitNeo)が本データ全1,681 IPの中で唯一attacker(確信度: 高)と判定。User-AgentへのSQLiペイロード混入(SQLi時間差テスト)も確認。
/.env(環境設定ファイル)・/wp-admin・/.git/config・/actuator/等への偵察アクセスが8,119件。1,722 IPが事実上自由にサイトの内部構造を探索できる状態。SQLiカテゴリは86.8%ブロックされており、シグネチャ層は機能しているが「パスベースのブロック層が未配備」という構造的欠陥を示す。
137.220.199.18(単一IP)が1日で22,238件のリクエストを送信。うち2,519件が会員登録フォーム(/signup/step03)に集中。自動化ツールによる大量アカウント作成・スパム投入の典型パターン。WAFのレートリミット・ルールが未設定であるため全件素通り。
EU圏の9 IPが毎日User-Agentを自動ローテーションしながら /apis/cart.json・/apis/customer.json を継続的にポーリング。在庫情報・顧客データAPIへの系統的なスクレイピング行為。ルールベースWAFでは「正常なブラウザリクエスト」として通過し、30日間無検知のまま放置されていた。
| 攻撃カテゴリ | 件数(30日間) | WAFブロック率 | リスク評価 |
|---|---|---|---|
| サーバー乗っ取り攻撃(RCE / FuelPHP系) | 674,335件 | 0.0% | 緊急 |
| 偵察スキャン(/.env / /wp-admin 等) | 8,119件 | 8.1% | 高 |
| SQLインジェクション | 1,590件 | 86.8% | 中(シグネチャ機能) |
| パストラバーサル | 109件 | 45.0% | 中 |
| XSS(クロスサイトスクリプティング) | 29件 | 58.6% | 中 |
SQLインジェクションはシグネチャパックが機能しているが、サーバー乗っ取り攻撃(RCE)と偵察スキャンはパスベースのブロック層が未配備のため素通り。防御の「カバー範囲の偏り」が典型的な課題。
ログに記録されているが誰も読んでいなかった脅威を、緊急/高/中/低の優先度付きで提示。防御フィルターのダッシュボードに映らない「ブロックできていない攻撃」が数字で分かる。
「何が起きていたか(観測データ)」「なぜ危険か(専門家の解釈)」「何をすべきか(推奨対策)」の3構造で整理。技術的な知識がなくても読める経営層向け形式。
自社サイトへの具体的な攻撃件数・種別・リスク評価が揃う。対策の要否や優先順位を数字で説明でき、経営報告・監査・保険対応の証跡としても残せる。
このページに掲載したのはレポートの一部です。
フォーム送信後、すぐに完全版PDF(全21ページ)をダウンロードいただけます。