管理しているWebで新しいcookieを発行したところ、全部denyされる現象発生。cookie値がSQL injectionのチェックに引っかかるみたいです。
複数のルールに引っかかているらしく、非常に面倒。ホワイトリストというか、該当するルールに例外を追加。SecRuleUpDateTargetByIdとういうディレクティブでルールを上書きします。

SecRuleUpDateTargetById 981246  !REQUEST_COOKIES:/hoge/

これを上書きするルールよりも後に読まれるように modsecurity_crs_99_customrule.conf とかに書いて再起動。