用語集
このページでは、Radarおよび表示される情報を理解するための用語と概念のリストを提供します。
軽減されたリクエストに基づくレイヤー7攻撃情報で、最も頻繁に使用される軽減技術や、時間の経過に伴う軽減リクエストのボリュームの傾向を含みます。「アプリケーションレイヤー攻撃ボリューム」と「軽減されたトラフィックソース」のグラフでは、選択された場所またはASNが軽減リクエストのソースです。「アプリケーションレイヤー攻撃分布」のグラフでは、オリジンロケーショングラフは選択された場所をターゲットにした攻撃の発信元を示し、ターゲットロケーショングラフは選択された場所からの攻撃のターゲットロケーションを示します。「アプリケーションレイヤー攻撃分布」のインサイトは、ASNレベルでは利用できません。
SPF ↗、DKIM ↗、およびDMARC ↗は、ポリシー駆動のメール認証方法であり、これらを組み合わせて使用することで、スパマー、フィッシャー、および他の無許可の当事者が所有していないドメインの名義でメールを送信するのを防ぎます。PASSは、関連するチェックに合格した処理済みメッセージの割合です。FAILは、関連するチェックに失敗した処理済みメッセージの割合です。NONEは、関連するポリシーが見つからなかった処理済みメッセージの割合です。これらのメトリックのデータは、Cloudflareのメールルーティングサービスから取得されます。
インターネットはネットワークのネットワークであり、自律システムはインターネットを構成するネットワークです。より具体的には、自律システム(AS)は、統一されたルーティングポリシーを持つ大規模なネットワークまたはネットワークのグループです。これは、1つまたは複数のネットワークを通るパスが選択されるプロセスです。
データパケットは、最終目的地に到達するまで、1つのASから別のASへとホップします。インターネットに接続するすべてのコンピュータまたはデバイスは、ASに接続されています。ISPは1つ以上のASを持ち、各ASには、ボーダーゲートウェイプロトコル(BGP)ルーティングで使用するための公式な自律システム番号(ASN)が割り当てられています。たとえば、CloudflareのASNはAS13335です。詳細はCloudflare Learning Center ↗で学べます。
ボーダーゲートウェイプロトコル(BGP)は、インターネットのルーティングプロトコルです。郵便局が郵便物を処理するのと同様に、BGPはインターネットトラフィックを配信するための最も効率的なルートを選択します。BGPアナウンスは、ASが別のASに「このネットワークプレフィックスへのトラフィックを受信した場合、私に送信してください」と伝える方法です。そのメッセージは処理され、(場合によっては)他のASに転送され、経路上のすべてのASがそのネットワークプレフィックスにトラフィックを送信する場所を学ぶことができます。詳細はCloudflare Learning Center ↗で学べます。
Cloudflare Radarでは、ASによって発表されたBGPメッセージのボリュームと、発表されたIPアドレス空間の総サイズの時系列チャートを提供します。BGPメッセージボリュームは、特定のASの全体的なルーティング活動のレベルを示し、発表されたIPアドレス空間は、特定のASが運営するネットワークのサイズを示します。IPアドレス空間のサイズは、最小ルーティング可能なネットワークプレフィックスサイズの数で表され、IPv4の場合は/24プレフィックスの数、IPv6の場合は/48プレフィックスの数です。対応して、/24プレフィックスは256のIPアドレスを表し、/48は2^80のIPアドレスを表します。
BGPルートリーク ↗は、ルーティングアナウンスが意図された範囲を超えて伝播することとして定義されます。 Cloudflare Radarでは、対応する自律システム番号(ASN)ページで検出されたルートリークイベントを確認できます。テーブルの列は次のように定義されています:
From: ルートが学習された自律システム(AS)。By: ルートをリークしたAS、またはリーカー。To: リークされたルートを受信し、伝播したAS。StartおよびEnd: ルートリークイベントの開始および終了時間。BGP Msgs.: リークされたルートを含むBGPアナウンスの数。Prefixes: ルートリークイベントが影響を与えるIPプレフィックスの数。Origins: ルートリークイベントが影響を与えるオリジンASの数。Vantage Points: ルートリークイベントを観測したルートコレクターの数。
ルートリーク検出システムの設計と使用法については、ルートリークの検出方法と新しいCloudflare Radarルートリークサービス ↗のブログ記事で詳しく学べます。
BGPオリジンハイジャック ↗は、ネットワークが所有していないIPアドレス(プレフィックス)のグループの所有権を誤って発表するBGP異常の一種です。BGPオリジンハイジャックは、インターネットトラフィックをハイジャッカーからその正当な宛先にリダイレクトし、データ損失やプライベート/機密情報の漏洩を引き起こす可能性があります。
Cloudflare Radarでは、「BGPオリジンハイジャック」テーブルで検出されたBGPオリジンハイジャックイベントを確認できます。テーブルの列は次のように定義されています:
ID: イベントID、クリック可能でイベント詳細ページに移動します。Detected Origin: 検出時にプレフィックスを発信したAS、BGPハイジャッカーである可能性があります。Expected Origin(s): 様々な証拠に基づいて、対応するプレフィックスを発信することが期待されるAS。Start Time (UTC)およびDuration: 検出されたタイムスタンプ(UTC)と、イベントが持続した時間の人間が読みやすい形式。進行中のイベントには持続時間の値はなく、--記号で示されます。BGP Messages: 検出された異常を含むBGPメッセージの数。Prefixes: イベント中にハイジャックされたプレフィックス、テーブルスペースの制限により1つの完全なプレフィックスのみ表示されます。Confidence: イベントが真のハイジャックであるという信頼レベル。値はHigh、Medium、またはLowです。Tags: RPKI検証結果やネットワーク関係など、追加のデータソースを使用して編纂した重要な事実を示す短いタグとして提示される関連証拠。
また、公開API ↗を介して検出結果にプログラム的にアクセスすることもできます(CC BY-NC 4.0 ↗ライセンス)。
暗号化は安全なインターネットの重要な部分です。SSL/TLSは、クライアントとサーバー間で暗号化されたリンクを確立するための標準的なセキュリティ技術です。
Cloudflare Radarでは、信頼できる証明書機関によって発行された特定のドメインのすべての証明書を、アクティブな証明書透明性ログにリストされているものとして表示できます。
ドメイン名に発行された証明書を確認して、ドメインに関連する不正または詐欺的な証明書の発行がないことを確認できます。また、Cloudflare Dashboard ↗で証明書透明性モニターからのアラートを受け取るためにサインアップすることもできます。
指定された特性を持つメール転送エージェントからCloudflareへの受信接続の割合。「IPバージョン」は、IPv4およびIPv6で行われた接続を分解します。「暗号化」は、TLSを使用した暗号化接続で行われた接続と、暗号化されていない接続で行われた接続を分解します。これらのメトリックのデータは、Cloudflareのメールルーティングサービスから取得されます。
接続品質メトリックには、ダウンロードおよびアップロード速度、レイテンシ(往復時間)、およびレイテンシジッター(往復時間の安定性)が含まれ、特定の国またはASNに対する最良の期待されるパフォーマンスを反映します。これらのメトリックは、Cloudflare Speed Testウェブサイト ↗でエンドユーザーによって開始されたスピードテストから派生し、過去90日間に集約されます。基礎となる生データは、Measurement LabのBigQuery ↗を通じて分析のために自由にアクセス可能です。
スピード、レイテンシ、およびジッターのランキングでは、ユーザーが十分な頻度でスピードテストを実行している国のみが含まれます。そのため、特定の国はランキングから除外される場合がありますが、そのデータはRadarの他のセクションで見つけることができます。
Cloudflare Speed Testは、テストの過程で複数回レイテンシを測定します。ダウンロードまたはアップロードが始まる前に行われた測定はアイドルレイテンシおよびジッターに集約され、ダウンロードまたはアップロードが進行中に行われた測定はロードされたレイテンシおよびジッターに集約されます。
Cloudflareは、ドメインを分類するためにさまざまなデータソースを使用します。Cloudflare Radarを使用すると、特定のドメインに関連付けられたコンテンツカテゴリを表示できます。Cloudflare Gatewayまたは1.1.1.1 for Familiesを使用しているCloudflareの顧客は、「成人向けコンテンツ」などの特定のカテゴリをブロックすることを決定でき、マルウェアやフィッシングなどのセキュリティ脅威に加えてブロックできます。
場合によっては、ドメインが誤って分類されることがあります。たとえば、ソーシャルメディアサイトが「ショッピング&オークション」として分類されることがあります。ドメインが誤って分類されている、またはまだ分類されていないと思われる場合は、このフォーム ↗を使用して提案されたカテゴリを提供し、私たちの注意を引いてください。
ドメインランキングは、匿名化され集約された1.1.1.1リゾルバデータに基づいており、プライバシーポリシー ↗に準拠し、世界中の人々がインターネットをどのように使用しているかを反映する最も人気のあるドメインを特定することを目的としています。ドメインランキングの人気メトリックは、特定の期間にドメインにアクセスするユニークユーザーの推定数として最もよく説明されます。
トレンドドメインは、現在人気が高まっているドメインです。今日のトレンドドメインは、特定のイベントやトピックに関連する関心の高まりを反映している人気が急上昇しているドメインです。今週のトレンドドメインは、週の間にユーザーベースが増加している人気が安定して成長しているドメインです。
このASにトラフィックを提供する国々と、Cloudflareによって観測されたASトラフィックの総量に対する相対的な貢献度の割合。
インターネット接続は、さまざまな要因により障害や中断を経験することがあります。これらの要因には、停電、光ファイバーケーブルの損傷、悪天候、自然災害、または政府によるシャットダウンが含まれます。障害は、地理的範囲が国の一部または全国に及ぶ場合があり、1つ以上のASN ↗に影響を与えることがあります。一部の障害は数分間の短いものである一方で、他の障害は数ヶ月にわたることもあります — その持続時間は、部分的には根本的な原因に関連しています。Cloudflare Radar障害センターにリストされているインターネット障害は、一般的に第三者情報と確認されたトラフィックの顕著な減少であり、これには通信事業者からのソーシャルメディアやステータスページの投稿、ニュース報道、または業界/コミュニティのメーリングリストが含まれる場合があります。
特定のネットワークまたは国でインターネット障害が発生している可能性がある早期警告信号は、歴史的なトラフィックパターンや傾向と比較して異常なトラフィックの減少です。Cloudflare Radar障害センターにリストされているインターネット異常は、リストされたエンティティのトラフィックの異常な減少をアルゴリズムで観測したものを表します。特定のエントリが確認済みとしてマークされている場合、それは複数のCloudflareデータソースおよび/またはIODA ↗や上記のような第三者情報源を通じて観測されたトラフィックの減少を手動で確認したことを意味します。後者の場合、関連するインターネット障害イベントが開かれ、イベントはインターネット障害テーブル(およびAPI)にリストされます。
選択された時間範囲内で、グローバルまたは特定の場所または自律システムから発生するインターネットトラフィックの傾向を、ネットワークからの集約データに基づいて観察します。
IPアドレスのジオロケーションは、IPアドレスを物理的な場所に関連付けるプロセスを指す用語です。Cloudflare Radarで使用されるIPジオロケーションは、第三者データベースから取得されます。
ジオロケーション情報の正確性に影響を与える要因がいくつかあります。これには、モバイルネットワークアーキテクチャ、VPNサービスの使用、およびプライバシー保護プロキシサービスの使用が含まれます。
提供された場所が不正確であると思われる場合は、MaxMind ↗から修正を提案する方法について学んでください。
IPv4対IPv6グラフは、IPバージョンによるトラフィックの分布を示し、IPv6の採用傾向を強調することを目的としています。
2023年1月23日以前は、グラフに表示されるIPv6の割合は(IPv6リクエスト / IPv4+IPv6リクエスト)として計算されていました。その日以降、IPv6の割合は(IPv6リクエスト / デュアルスタックコンテンツのリクエスト)として計算されます。
インターネット品質指数(IQI)は、ウェブブラウジングなどの平均利用時の接続パフォーマンスを推定します。これは、Cloudflareおよび第三者の固定ターゲットに対するエンドユーザーの測定に基づいており、帯域幅、往復時間(レイテンシ)、およびDNS応答時間の数値を大陸、国、またはASNごとに集約して提供します。
IQIメソッドは、推定値を生成するために最小限の測定数を必要とします。その結果、特に夜間には、小さな国やASNのグラフに時折ギャップが表示されることがあります。これらのギャップは、障害を示すものではありません。IQIの基礎となる測定数は、特定の国やASNでCloudflareが観測したトラフィックの量と必ずしも相関するわけではありません。
モバイルオペレーティングシステムのグラフは、オペレーティングシステム別のモバイルデバイスリクエストの分布を示しており、選択した時間範囲内で、グローバルまたは特定の場所や自律システムから発信されたインターネットトラフィックで観測された傾向を表しています。「モバイルデバイス」には、電話とタブレットのみが含まれ、デスクトップ/ラップトップ、スマートTV、ゲームコンソールなどの他のタイプのデバイスは含まれません。
トップレベルドメイン(TLD) ↗は、ホスト名の最も右側の部分に見られます。2024年2月現在、IANAルートゾーンデータベース ↗には、約1600のトップレベルドメインがリストされています。Radarでは、これらのTLDに関する独自の視点を共有し、スパムや悪意のあるメールの最大シェアを持つものを強調しています。この分析は、メールメッセージのFrom:ヘッダーに見られる送信ドメインのTLDに基づいています。このメトリックのデータは、Cloudflareのクラウドメールセキュリティサービスから取得されています。
当社のレベル3および4のサービス拒否攻撃防止システムによって緩和された攻撃です。最も使用される攻撃ベクトルと、選択した時間範囲内での攻撃量の変化を示します。選択された場所は、攻撃が緩和されたデータセンターの場所です。ターゲット業界および垂直カテゴリは、攻撃を受けている顧客に関連付けられています。
業界カテゴリには、情報技術およびサービス、小売、通信など、主な活動によってグループ化されたビジネスタイプが含まれます。垂直カテゴリは、「インターネットおよび通信」垂直のように、関連する業界を組み込んだ高レベルのグループです。
ネットワークレベルのDDoS攻撃グラフは、バイト単位で測定されたトラフィックに基づいています。
ポスト量子暗号化の採用グラフは、Cloudflareに対するHTTPSリクエストのうち、ポスト量子(PQ)暗号化されている割合を示しています。PQ暗号化に対するCloudflareのサポートに関する詳細は、Cloudflare Research ↗で確認できます。
トランスミッションコントロールプロトコル(TCP)では、クライアントが開始した接続リセット(RSTフラグを介して、TCPの「パニックボタン」)は異常であり、サーバーに対して何かがうまくいかなかったことを示し、接続を直ちに閉じる必要があることを示します。同様に、接続タイムアウト(サーバーが応答しないクライアントのために接続を閉じる場合)は、従来のデータ交換では発生すべきではありません。比較のために、典型的なTCP接続は、クライアントがサーバーにSYNパケットを送信して開始される3ウェイハンドシェイクで構成され、その後、データパケット内のACKおよびPSHフラグを介して調整されたデータ交換が行われ、最後にFINパケットでどちらかの側から優雅に閉じられます。FINクローズは、接続を閉じる前に両側がデータ転送を完了することを保証するため、優雅と見なされます。それに対して、タイムアウトまたはRSTフラグは、データが送信または確認されるのを待っている場合でも、ハードストップを引き起こします。TCPプロトコルの詳細については、RFC 9293 ↗を参照してください。
TCPサーバーは、さまざまな理由でタイムアウトまたはリセットされた接続を確認することがあります。一部は無害であり、クライアントアプリケーションが接続を失ったり、突然シャットダウンしたりする場合(例:ブラウザが閉じたタブをクリーンアップする、またはポートスキャナー)です。他は、DoS攻撃 ↗や第三者の干渉など、より懸念されるものです。場合によっては、接続内のパケットを詳細に調べることで、終了の理由を明らかにするのに役立ちます。たとえば、接続改ざんのグローバルな受動的検出 ↗では、特定のパケットパターンがミドルボックス接続の改ざんに関連付けられる可能性があることがわかります。
Cloudflare Radarのセキュリティと攻撃のページ ↗では、CloudflareのサーバーへのTCP接続のサンプルからのリセットとタイムアウトに関する統計を、接続が終了する前にどの程度進行したかに基づいて表示できます。プロットラインは次のように定義されています:
- Post-SYN(ハンドシェイク中):サーバーが単一のSYNパケットのみを受信した後の接続リセットまたはタイムアウト。
- Post-ACK(ハンドシェイク直後):サーバーがSYNパケットとACKパケットの両方を受信した後の接続リセットまたはタイムアウト、つまり接続が正常に確立されたことを意味します。
- Post-PSH(最初のデータパケット後):接続確立後、サーバーがPSHフラグが設定されたパケットを受信した後の接続リセットまたはタイムアウト。PSHフラグは、TCPパケットがアプリケーションに配信する準備ができたデータ(TLSクライアントハローなど)を含んでいることを示します。
- Later(複数のデータパケット後):クライアントからの最初の10パケット内での接続リセットですが、サーバーが複数のデータパケットを受信した後です。
- None:その他のすべての接続。
TCPリセットとタイムアウトデータセットの詳細については、ブログ記事 ↗をご覧ください。
攻撃者は、メールベースの攻撃を実行する際に、マルウェアに導くリンクや添付ファイル、信頼できる連絡先からのメッセージのように見えるアイデンティティの偽装、信頼できるブランドからのメッセージのように見えるブランドの偽装など、複数の技術を使用します。カテゴリは、悪意のあるメールメッセージの分析中に見つかったさまざまなタイプの脅威に割り当てられ、単一のメッセージには複数のカテゴリが含まれる場合があります。これらのカテゴリは、「リンク」、「添付ファイル」、「偽装」、「その他」のグループに集約されます。「リンク」は、攻撃者がユーザーに何かをクリックさせようとしている個々の脅威タイプをグループ化し、「添付ファイル」は、攻撃者がメールメッセージにファイルを添付している個々の脅威タイプをグループ化し、「偽装」は、攻撃者が信頼できるブランドや連絡先を偽装している個々の脅威タイプをグループ化します。「その他」のグループには、前の3つに含まれないその他の脅威タイプが含まれます。パーセンテージは、指定された脅威カテゴリが見つかった悪意のあるメールメッセージのシェアを表しています。このメトリックのデータは、Cloudflareのクラウドメールセキュリティサービスから取得されています。
悪意のあるメールメッセージは、受信者がログイン情報などの個人情報を共有するように騙されるフィッシングキャンペーンの一部である場合や、埋め込まれた画像、リンク、または添付ファイルを通じてマルウェアを広めようとする試みである場合があります。表示されるパーセンテージは、処理されたメッセージのうち、悪意のあるものとして分類された割合を示しています。このメトリックのデータは、Cloudflareのクラウドメールセキュリティサービスから取得されています。
-
Human Only Traffic:当社のアルゴリズムが人間の活動によって生成されたと判断したトラフィック。
-
Automated Only Traffic:当社のアルゴリズムがボットまたは自動スクリプトの活動によって生成されたと判断したトラフィック。
-
All Traffic:人間の活動と自動活動の両方を含むすべてのトラフィックを使用します。
集約されたHTTP/sメタデータに基づいて、モバイルデバイスとデスクトップトラフィックの分布、ボットからのトラフィックとして検出された割合、ユーザーエージェント/ブラウザの分布など、さまざまなメトリックに関するトレンドを示すことができます。また、HTTPSおよびIPv6の使用に関する洞察も提供します。
ボットトラフィックは、ウェブサイトやアプリへの非人間トラフィックを指します。一部のボットは、検索エンジンボットのようにコンテンツをインデックスするために役立つものや、ユーザーを支援するカスタマーサービスボットのように有用です。他のボットは、ユーザーアカウントに侵入したり、スパムを送信するための連絡先情報をウェブ上でスキャンしたりするなど、悪意のある活動を行うために使用される場合があります。
検索エンジンからの検証済みボットのように、検証済みボットは通常、自分が誰であるかについて透明性があります。Cloudflareは、インターネット全体に利益をもたらし、robots.txtを尊重する良好なサービスを手動で承認します。
検証済みボットリストの各エントリは、過去30日間に検証済みボットに関連付けられたIPアドレスが見られたために存在します。検証済みボットは、必ずしも良いものでも悪いものでもありません。
ドメイン固有の地理的トラフィックパターンに表示されるデータは、当社の再帰的DNSサービスからのデータのみに基づいています。表示されるすべてのデータは、当社のプライバシーポリシーおよびコミットメントに従っています。このデータには、攻撃トラフィックやクロスオリジンリクエストが含まれる場合があります。
WHOISは、すべての登録ドメインの連絡先およびネームサーバー情報を公開するための標準です。各レジストラは独自のWHOISサービスを維持しています。誰でもレジストラのWHOISサービスを照会して、特定のドメインに関連するデータを明らかにすることができます。