Cloudflare が 2026 年 6 月、脅威インテリジェンスを WAF (Web Application Firewall) に直接埋め込む新機能を公開した。これまで「IP・URL・ペイロードパターン」で書くしかなかった WAF ルールに、「攻撃者名」や「過去に当該攻撃者が狙った業界」を条件として使えるようになる。Cloudflare は世界のウェブトラフィックの 2 割以上を観測する立場にあり、その観測ログを脅威リサーチ部門 Cloudforce One が IoC やアクター TTP にまとめ、WAF にそのまま流し込む構図だ。
なぜ「IP ベース」では追いつかないのか #
ランサムウェアアフィリエイトや国家系 APT のオペレーションは、商用 VPS・住宅プロキシ・侵害ホストを毎時のように使い捨てる。観測した IP を WAF に焼き込んでも、攻撃者は数分で次の足場に乗り換える。一方、ツールチェーン・C2 ドメインの命名規則・利用するボットネット・標的とする業界などの「アクター単位の特徴」は、IP よりずっと寿命が長い。Cloudflare が売り込んでいるのは、この寿命の長い属性で防御ルールを書ける、というレイヤー変更である。実運用では「金融セクターを狙う Storm-XXXX をブロック」と書けば、その配下のインフラが網にかかる。IoC を都度更新する運用コストは下がる。
「この攻撃は誰がやったか (Attribution)」の判定は本質的に確率的で、フォルスポジティブを完全には消せない。社内システムへの正規アクセスが「APT に似た TTP」と誤判定され遮断されるリスクは残る。log only モードでまず観察してから本番投入するのが定石になる。
ベンダーロックインという別の入り口 #
技術的な合理性は確かにあるが、運用の依存先が一極化するという別の懸念も生まれる。脅威インテリジェンスは観測網の広さで質が決まるため、Cloudflare のような大手にしか作れない一方、WAF 防御が単一ベンダーの視野そのものに縛られることになる。Cloudflare が見えていない地域・業界・新興アクターは、そのまま WAF の死角になる。複数の脅威フィードを束ねる SIEM 側でのクロスチェックは、引き続き手放せない。
サイバー攻撃の防御は「ペイロードを止める」から「アクターを名指しで止める」段階に入った。便利だが、名前で止める以上、誰が誰を名乗っているかという判定の精度がそのまま防御の精度を決める。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。