Log Explorer におけるマルチベクター攻撃の調査

サイバーセキュリティの世界では、単一のデータポイントだけでは状況を把握できないことがほとんどです。現代の攻撃者は正面からだけ侵入を試みるのではなく、API を探索し、チームの注意をそらすためにネットワークを「ノイズ」で満たし、盗まれた認証情報を使ってアプリケーションやサーバーをすり抜けようとします。こうしたマルチベクター攻撃を阻止するには、全体像が必要です。

Cloudflare Log Explorer を使ったセキュリティフォレンジクスでは、Cloudflare の Application Services と Cloudflare One 製品群を横断する14 の新しいデータセット統合により、360度の可視化が可能になります。アプリケーション層の HTTP リクエスト、ネットワーク層の DDoS や Firewall ログ、Zero Trust のアクセスイベントからのテレメトリを相関することで、セキュリティ解析者は平均検知時間（MTTD）を大幅に短縮し、巧妙な多層攻撃を効果的に暴き出せます。

以下では、Log Explorer が迅速かつ深いフォレンジック調査を実現する方法を示します。

スタック全体のフライトレコーダー

現代のデジタル環境では、複数の攻撃ベクターを用いる攻撃者に対抗するために、深く相関されたテレメトリが必要です。生ログはアプリケーションの「フライトレコーダー」として機能し、すべてのインタラクション、攻撃試行、パフォーマンスのボトルネックを記録します。Cloudflare はエッジに位置するため、これらのイベントはリクエストがあなたのインフラに到達する前にログ化されます。Cloudflare Log Explorer はこれらのログを統一インターフェースに集約し、迅速な調査を可能にします。

サポートされるログの種類

Zone-Scoped Logs (フォーカス: ウェブサイトトラフィック、セキュリティイベント、エッジパフォーマンス)

• HTTP Requests
  • 最も包括的なデータセットで、アプリケーション層トラフィックの「一次記録」として機能します。セッション活動、エクスプロイト試行、ボットパターンの再構築が可能です。
• Firewall Events
  • ブロックやチャレンジされた脅威の重要な証拠を提供します。どの WAF ルール、IP レピュテーション、カスタムフィルタが攻撃を遮断したかを特定できます。
• DNS Logs
  • キャッシュ汚染の試みやドメインハイジャック、インフラレベルの偵察を識別するために、オーソリティブエッジで解決されたすべてのクエリを追跡します。
• NEL (Network Error Logging) Reports
  • クライアント側のブラウザエラーを追跡し、協調された Layer 7 の DDoS と正当なネットワーク接続問題を区別します。
• Spectrum Events
  • 非ウェブアプリケーション向けに L4 トラフィック (TCP/UDP) の可視性を提供し、SSH、RDP、カスタムゲームトラフィックなどに対する異常やブルートフォース攻撃を特定します。
• Page Shield
  • JavaScript や外部接続など、サイトのクライアントサイド環境への不正な変更を追跡・監査します。
• Zaraz Events
  • サードパーティーツールやトラッカーがユーザーデータとどのように相互作用しているかを検査し、プライバシー監査や不正スクリプト検出に役立ちます。

Account-Scoped Logs (フォーカス: 内部セキュリティ、Zero Trust、管理変更、ネットワーク活動)

• Access Requests
  • ID ベースの認証イベントを追跡し、どのユーザーがどの内部アプリにアクセスしたか、試行が承認されたかを判定します。
• Audit Logs
  • Cloudflare ダッシュボード内の設定変更のトレイルを提供し、不正な管理操作や変更を特定します。
• CASB Findings
  • SaaS アプリケーション（Google Drive、Microsoft 365 など）のセキュリティミスコンフィグやデータリスクを特定して、データ漏洩を防ぎます。
• Magic Transit / IPSec Logs
  • トンネルヘルスのレビューや BGP 経路変更の確認など、ネットワークレベル（L3）での監視に役立ちます。
• Browser Isolation Logs
  • 分離されたブラウザセッション内でのユーザー操作（コピー＆ペースト、印刷、ファイルアップロードなど）を追跡し、信頼できないサイトでのデータ漏洩を防ぎます。
• Device Posture Results
  • ネットワークに接続するデバイスのセキュリティヘルスとコンプライアンス状態を詳細に示し、侵害または非準拠エンドポイントを特定します。
• DEX Application Tests / DEX Device State Events
  • ユーザー視点からアプリケーションのパフォーマンスやデバイスの物理状態を監視し、セキュリティ関連の障害と通常の性能劣化を区別するのに役立ちます。
• DNS Firewall Logs
  • DNS Firewall を通したクエリを追跡し、既知の悪意あるドメインや C2 サーバーとの通信を特定します。
• Email Security Alerts
  • ゲートウェイで検出された悪性メール活動やフィッシング試行をログ化し、メールを起点とした侵入経路の起点を追跡します。
• Gateway DNS / Gateway HTTP / Gateway Network
  • ネットワーク上のユーザーによるすべての DNS クエリ、暗号化/非暗号化の Web トラフィック、L3/L4 ネットワークトラフィック（非 HTTP）を監視し、シャドー IT、マルウェアのコールバック、プロトコル異常、横移動を検出します。
• IPSec Logs / Magic IDS Detections / Network Analytics Logs
  • 暗号化サイト間トンネルの状態監視、IDS シグネチャに一致する検出、パケットレベルの可視化により、既知のエクスプロイトやボリューメトリックな DDoS、異常なトラフィックスパイクを特定します。
• Sinkhole HTTP Logs
  • "sinkholed" された IP に向かうトラフィックをキャプチャして、どの内部デバイスが既知のボットネットインフラと通信しようとしているかを確認します。
• WARP Config / Toggle Changes
  • エンドユーザーの WARP クライアント設定や有効/無効化を追跡して、セキュリティエージェントが改ざんまたは無効化されていないかを確認します。
• Zero Trust Network Session Logs
  • 認証済みユーザーセッションの期間と状態をログ化して、保護境界内でのユーザーアクセスのライフサイクル全体をマップします。

Log Explorer はあらゆる段階で悪意ある活動を検出可能

• 公開プロパティに対するトラフィックがどのように到達しているかを把握するには、HTTP Requests、Firewall Events、DNS Logs でアプリケーション層の詳細を取得します。
• 内部での移動は Access Requests、Gateway ログ、Audit Logs で追跡します。認証情報が漏えいしていれば、そこからどこへ行ったかがわかります。
• Magic IDS と Network Analytics ログを使えば、ボリューム攻撃やプライベートネットワーク内での East-West（横方向）移動を検出できます。

偵察（reconnaissance）の特定

攻撃者はスキャナやその他のツールを使って侵入口、隠しディレクトリ、ソフトウェア脆弱性を探します。これを特定するために、Log Explorer では以下を実行できます:

• http_requests をクエリして、単一の IP から来る EdgeResponseStatus が 401、403、404 のいずれか、または敏感なパス（例: /.env、/.git、/wp-admin）へのリクエストを探す。
• magic_ids_detections ログを使ってネットワーク層でのスキャンを識別する。これらのログはパケットレベルの可視性を提供し、Nmap スキャンや SYN ステルススキャンのような活動を Magic IDS シグネチャが特定できます。

また、短時間に単一の SourceIP が多数の DestinationPort 値に対して複数のユニークな検出をトリガーしているケースを検索するクエリを実行します。

注意をそらす攻撃（diversions）の確認

偵察中に攻撃者は同時にネットワークフラッドを仕掛けて正体を隠そうとすることがあります。その場合は network_analytics_logs に切り替えて、ボリューメトリックな攻撃がスモークスクリーンとして使われているかを確認します。

攻撃手法の特定

攻撃者が脆弱性を特定すると、武器化（マリシャスペイロードの作成）を始めます。攻撃者は SQL インジェクションや大きい/破損したファイルのアップロードなどのマリシャスペイロードを送信して、脆弱性を確認します。

• http_requests および/または fw_events を確認して、Cloudflare の検出ツールがトリガーされたかを特定します。
• Cloudflare は WAFAttackScore、WAFSQLiAttackScore、FraudAttack、ContentScanJobResults などのフィールドでセキュリティシグナルをログ化します。これらのフィールドの詳細についてはドキュメントを参照してください。
• fw_events ログでは action、source、ruleID フィールドを確認して、これらのリクエストが Cloudflare の防御を突破したかどうかを判断できます。
• Cloudflare の Managed rules はデフォルトで多くのマリシャスなペイロードをブロックします。アプリケーションが保護されているかは Application Security Overview を確認してください。

認証の監査

その疑わしい IP はログインに成功したか？ClientIP を使って access_requests を検索します。もし敏感な内部アプリに対して "Decision: Allow" が記録されていれば、アカウントが侵害されている可能性があります。

情報漏洩（データ流出）の阻止

攻撃者は DNS トンネリングを使ってパスワードや SSH キー等の機密情報を DNS クエリにエンコードしてファイアウォールを回避することがあります。通常のリクエスト（例: google.com）の代わりに、長くエンコードされたサブドメインがログに現れます。

• QueryName: h3ldo293js92.example.com のような長くエンコードされた文字列を探す。
• QueryType: TXT、CNAME、NULL レコードなど、ペイロードを運ぶために使われることが多い。
• ClientIP: 単一の内部ホストがこれらのユニークなリクエストを数千回生成しているかを特定する。

さらに、攻撃者は非標準プロトコルや DNS、ICMP のような一般的プロトコルを異常な方法で使用してデータを隠すことがあります。magic_ids_detections をクエリして SignatureMessage に "ICMP tunneling" や "DNS tunneling" のようなプロトコル異常をフラグするシグネチャを探します。

ゼロデイ脆弱性の調査でもボットネット追跡でも、必要なデータが手元にあります。

データセット間の相関

複数の同時検索を切り替えながら（新しい Tabs 機能）複数のデータセットを横断して悪意ある活動を調査できます。タブ間を切り替えて異なるデータセットをクエリしたり、結果からフィルタリングしてピボットしたりできます。複数の Cloudflare ログソースを相関すると、単独では一見無害に見える高度な多段攻撃を検出でき、偵察から流出までの攻撃チェーン全体を把握できます。

セッションハイジャック（トークン窃取）のシナリオ

シナリオ: ユーザーが Cloudflare Access を使って認証したが、その後の HTTP_request トラフィックがボットのように見える。

ステップ 1: http_requests でリスクの高いセッションを特定する。

SELECT RayID, ClientIP, ClientRequestUserAgent, BotScore FROM http_requests WHERE date = '2026-02-22' AND BotScore < 20 LIMIT 100

ステップ 2: RayID をコピーして access_requests を検索し、その疑わしいボット活動に紐づくユーザーアカウントを確認する。

SELECT Email, IPAddress, Allowed FROM access_requests WHERE date = '2026-02-22' AND RayID = 'INSERT_RAY_ID_HERE'

ポストフィッシングの C2 ビーコン検知のシナリオ

シナリオ: 従業員がフィッシングメール内のリンクをクリックしてワークステーションが侵害された。このワークステーションは既知の悪意あるドメインへの DNS クエリを送り、直後に IDS アラートをトリガーする。

ステップ 1: フィッシング攻撃を発見するために以下を調査する。