こんにちは、あさひです 🙋♂️ 今週の Cloudflare のアップデートをまとめていきます!
この記事の主旨
この記事では、前週に Cloudflare のサービスにどんな変更があったかをざっくりと理解してもらい、サービスに興味を持ってもらうことを目的としています。そのため、変更点を網羅することを優先します。
2025/10/05 ~ 2025/10/11 の変更
Wrangler
4.42.2
パッチアップデート
- R2 Data Catalog 向けにテーブル単位の compaction コマンドを追加
wrangler r2 bucket catalog compaction enable <bucket> [namespace] [table]-
wrangler r2 bucket catalog compaction disable <bucket> [namespace] [table]
特定テーブル単位で自動ファイルコンパクションの有効化・無効化が可能に
-
wrangler check startupがローカル CPU プロファイルを生成する旨を明記 - 依存関係を更新
miniflare@4.20251008.0
4.42.1
パッチアップデート
-
wrangler versions uploadでkeep_vars設定を正しく反映するよう修正 - Wrangler 設定内の Pipeline エンティティ名を API 送信前に検証するよう変更
- 不要な
"node:os"呼び出しを削除 - 依存関係を更新
miniflare@4.20251004.0@cloudflare/unenv-preset@2.7.7
Workers
新しい Worker 概要ページが追加されました
各 Worker に新しい概要ページが導入され、リクエスト数・エラー数・CPU 時間・最近のバージョン情報などを一目で把握できるようになりました。バインディングの閲覧・追加や、発行者情報の確認もこのページから可能になりました。
Terraform で静的アセットを含むフルスタックアプリをデプロイ可能に
Terraform プロバイダー v5.11.0 で、HTML・CSS・JavaScript・画像などの静的アセットを Worker と一緒にアップロードできるようになりました。Wrangler と同様の仕組みでアセットのマニフェスト生成や差分検知を自動化できるようになりました。
- 新機能の概要
-
assets.directoryにビルド出力先を指定するだけで自動的にアップロード -
cloudflare_workers_script既存リソース、またはベータ版cloudflare_worker_versionリソースで利用可能 - 差分アップロードや並列処理に対応し、大規模ディレクトリも効率的に処理
-
Worker の起動時間上限が 1 秒に拡大
Worker のグローバルスコープ実行(初期化)に許可される時間が、従来の 400 ミリ秒から 1 秒に延長されました。より多くのライブラリを読み込んだり、初期処理を実行したりする Worker をサポートされます。
- 複雑な依存関係を持つ Worker のデプロイが容易に
- リクエスト処理前に初期コードを安全に実行可能
R2
Data Catalog テーブル単位でのコンパクション制御に対応
R2 Data Catalog で Apache Iceberg テーブルごとにコンパクション設定を有効化できるようになり、ワークロードに応じたきめ細かな最適化が可能になりました。
- 各テーブルごとにターゲットファイルサイズを設定可能
- 特定テーブルでコンパクションを無効化可能
- アクセスパターンに基づいたストレージ最適化に対応
Workflows
Terraform で Workflows の作成と管理が可能に
Terraform プロバイダー v5.11.0 から cloudflare_workflow リソースが追加され、耐久性のあるマルチステップアプリケーションをコードとして管理できるようになりました。再試行処理やインフラ管理を意識せずにデプロイ可能になりました。
- 利用可能なリソース
-
cloudflare_workflow- Workflow の作成・管理
-
cloudflare_workers_scriptまたはベータ版cloudflare_worker_versionと連携可能 -
cloudflare_workers_deploymentと組み合わせて段階的デプロイを実現
-
- 利点
- Workflows の構成・更新を IaC(Infrastructure as Code)として一元管理
- Terraform レジストリで完全なサンプルコードを提供
Radar
PQ(耐量子)暗号のブラウザ対応を検出可能に
Radar において Post-quantum(PQ)暗号化のブラウザ対応状況を自動検出できるようになりました。ユーザーのブラウザが PQ 暗号をサポートしている場合、その鍵交換方式に関する情報が表示されます。
- 新しい「Post-quantum encryption」カードでブラウザごとの対応状況を可視化
- PQ 暗号をサポートするブラウザでは鍵交換アルゴリズムの詳細を表示
- Adoption & Usage ページでブラウザ別の利用統計を確認可能
CT ログアクティビティの可視化指標を拡充
Radar の Certificate Transparency (CT) ログ情報に新しい統計指標が追加され、ログの成長状況や更新頻度をより詳細に把握できるようになりました。
- 新しく追加された指標
- Log growth rate
- 過去 7 日間の平均スループット(証明書/時間)
- Included certificate count
- ログに含まれる証明書の総数
- Eligible-for-inclusion count
- 登録対象だが未登録の証明書数
- Last update
- 最新のログ更新時刻
- Log growth rate
- これらのデータは「Get Certificate Log Details」API と CT log information ページに追加表示
Cloudflare Fundamentals
バックアップコード(リカバリーキー)の自動リマインダーを導入
Cloudflare アカウントの 2 要素認証(2FA)紛失によるサポート問い合わせが増加していることを受け、バックアップコードのダウンロードを促す自動リマインダーがメールおよびダッシュボード上に追加されました。
- リマインダーは段階的に全ユーザーへ展開中
- プロフィールの「Security & Authentication > Backup codes」からコードを生成・保存可能
- パスワードマネージャーへの保存、または印刷して安全な場所に保管することを推奨
アカウント保護のベストプラクティスも併せて公開されています。
- 各サイトで異なるパスワードを使用し、パスワードマネージャーで管理
- 2FA とバックアップコードを併用
- SCIM によるアクセス権管理の自動化を推奨
Gateway
新しいドメインカテゴリを追加
DNS フィルタリング精度の向上を目的に、「Technology」カテゴリ配下に 3 つの新しいドメインカテゴリが追加されました。
- 追加されたカテゴリ
- Keep Awake Software
- Remote Access
- Shareware / Freeware
Zero Trust WARP Client
WARP client for macOS (version 2025.8.779.0)
主な更新内容
- Proxy モードの処理性能を改善し、より高速な名前解決を実現
- MASQUE プロトコルのみが Proxy モードで利用可能に変更
- 以前 WireGuard で Proxy モードを使用していた場合は、MASQUE へ切り替える必要あり
- 未変更のプロファイルは接続が失われる可能性あり
既知の問題
- macOS Sequoia (15.0.x): Apple の仕様変更により、WARP クライアントが期待通り動作しない場合がある。macOS 15.4 以降の使用を推奨
- WARP クライアント 2025.4.929.0 以降で、フォールバックサーバー未設定時に Local Domain Fallback が失敗する可能性あり
- フォールバックサーバーの設定手順は「Route traffic to fallback server」を参照
WARP client for Linux (version 2025.8.779.0)
主な更新内容
- Linux 向け WARP クライアントが GA リリース
- Linux パッケージの公開鍵が更新され、2025 年 9 月 12 日以前にインストールした場合は手動更新が必要
- 旧鍵を使用していると 2025 年 12 月 4 日以降、リポジトリが機能しなくなる
- Proxy モードでは MASQUE プロトコルのみが使用可能に変更
- 以前 WireGuard を使用していたプロファイルは MASQUE へ切り替えが必要
既知の問題
- WARP クライアント 2025.4.929.0 以降で、フォールバックサーバー未設定時に Local Domain Fallback が失敗する可能性あり
- フォールバックサーバーの設定手順は「Route traffic to fallback server」を参照
WARP client for Windows (version 2025.8.779.0)
主な更新内容
- Windows 向け WARP クライアントが GA リリース
- Proxy モードが改善され、より高速な名前解決が可能に
- MASQUE プロトコルのみが Proxy モードで使用可能に変更
- 以前 WireGuard で Proxy モードを使用していた場合は MASQUE へ切り替えが必要
- 切り替えを行わない場合、プロファイルに一致するデバイスは接続を失います
既知の問題
- Windows 11 24H2 で回帰が確認されており、マウス遅延・音声ノイズなどのパフォーマンス問題が発生する可能性あり
- Microsoft は KB5062553 以降で修正を提供
- WARP クライアント 2025.4.929.0 以降で、フォールバックサーバー未設定時に Local Domain Fallback が失敗する可能性あり
- フォールバックサーバーの設定手順は「Route traffic to fallback server」を参照
- KB5055523 をインストールしている環境で
Win32/ClickFix.ABAの誤検出警告が出る場合あり- Microsoft Security Intelligence をバージョン 1.429.19.0 以降に更新することで解消
- 以下すべての条件を満たす場合、DNS 解決が失敗する可能性あり
- Secure Web Gateway without DNS filtering(トンネルのみ)モードを使用
- プライマリネットワークアダプタにカスタム DNS サーバーを設定
- 接続中にその DNS 設定を変更した場合
- 対応策:WARP クライアントを一度オフにして再接続
WAF
WAF ルール更新(2025-10-06)
- Oracle E-Business Suite(CVE-2025-61882)
- 既定アクション
- Block
- 緊急検出ルールとして導入。RCE 脆弱性を悪用する攻撃を即時遮断
- 既定アクション
- Chaos Mesh(CVE-2025-59358〜59361)
- 既定アクション
- Block
- 認証なしでの GraphQL コントローラコマンド注入を防止
- 既定アクション
- Form-Data(CVE-2025-7783)
- 既定アクション
- Block
- multipart boundary の予測可能性を悪用した HTTP Parameter Pollution を防御
- 既定アクション
- Generic Rules - SQLi(Inline Comment / Information Disclosure)
- 既定アクション
- Disabled
- 新たな検出パターンを追加し、将来のルール展開に備え
- 既定アクション
WAF ルール緊急更新(2025-10-07)
- Cisco Secure Firewall Adaptive Security Appliance
- 対応脆弱性
CVE-2025-20333CVE-2025-20362CVE-2025-20363
- 既定アクション
- Block
- 不適切な入力検証により、認証済み VPN ユーザーが細工したリクエストを送信して root 権限でコード実行を行う可能性を防止
- 新しい検出ルールを追加し、任意コード実行・権限昇格・コマンドインジェクションを防御
- ルール ID
100788B
- ルール ID
- 対応脆弱性
筆者の感想
直接 Cloudflare のことではないですが、Workers を触ったことがある方ならご存知であろう Hono について 10/18(土)に Conference があります!
なんと弊社 Gemcook が主催として Hono Conf 実行委員会と共同で開催します。開催直近ですが多分おもしろいカンファレンスになると思います!オフライン枠はキャンセル待ちになりますが、オンライン配信もあるのでぜひチェックしてみてください!
Discussion