TSUBAMEレポート Overflow(2025年4~6月)
はじめに
このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。
今回は、TSUBAME(インターネット定点観測システム)における2025年4~6月の観測結果についてご紹介します。
イスラエルとイランの軍事衝突に関連するとみられるイランを送信元としたパケットの変動について
2025年6月13日から25日ごろにかけてイスラエルとイランの間で軍事衝突がありました。同時期にイランから観測されるパケットに変動がありましたので取り上げてみたいと思います。
図1は6月1日から30日について、1日ごとにイランとイスラエルそれぞれの送信元地域からのIPアドレス数の推移をグラフにしたものです。
|
| 図1:イスラエルとイラン、それぞれを送信元としたIPアドレス数の推移 |
イランを送信元とするパケットのIPアドレス数は1日あたり170~200ぐらいで推移していましたが、13日ごろから18日ごろにかけては100~130あたりに減少、19日から27日にかけては20~100ぐらいと一時的に大きく減少したことが見て取れます。それに対して、イスラエルを送信元としたIPアドレス数については大きな変動が見られませんでした。
また、一部のメディアでは、6月18日ごろからイランでは国営放送局や銀行、仮想通貨取引所などに対する攻撃の被害が発生したと報じています。イラン政府はサイバー攻撃被害を軽減するため、インターネット接続を一時的に制限したとも報じており、送信元IPアドレス数の減少はネットワーク遮断の影響を受けたものと考えられます。
国内外の観測動向の比較
図2は、国内外のセンサー1台が1日あたりに受信したパケット数の平均を月ごとに比較したものです。国内のセンサーよりも海外のセンサーで多くのパケットを観測しています。国内外どちらのセンサーも4月が最も観測数が多く、月を追うごとに徐々に減少してきています。
|
| 図2:月ごとの国内外センサー平均パケット数の比較 |
センサーごとの観測動向の比較
各センサーには、それぞれグローバルIPアドレスが1つ割り当てられています。国内、北米、欧州、それ以外の地域の各センサーで観測状況に違いがあるかを見るために、表1に届いたパケットTOP10をまとめました。センサーごとに順位に違いはありますが、22/TCP、23/TCP、80/TCP、443/TCP、8080/TCP等はほぼすべてのセンサーで観測していました。これらは広範囲のネットワークにてスキャンが行われていることを示唆していると考えられます。
表1:国内外センサーごとのパケットTOP10の比較
| 国内センサー1 | 国内センサー2 | 北米センサー1 | 北米センサー2 | 欧州センサー1 | 欧州センサー2 | その他の地域のセンサー1 | その他の地域のセンサー2 | |
|---|---|---|---|---|---|---|---|---|
| 1番目 | 23/TCP | 23/TCP | 80/TCP | 80/TCP | 23/TCP | 23/TCP | 23/TCP | 23/TCPP |
| 2番目 | 443/TCP | 8728/TCP | 22/TCP | ICMP | 443/TCP | 22/TCP | 80/TCP | 80/TCP |
| 3番目 | 80/TCP | 80/TCP | 8728/TCP | 443/TCP | 80/TCP | 8728/TCP | 8728/TCP | 8728/TCP |
| 4番目 | 8443/TCP | 22/TCP | 23/TCP | 23/TCP | 22/TCP | 80/TCP | 22/TCP | 443/TCP |
| 5番目 | 8728/TCP | ICMP | 443/TCP | 8728/TCP | 8728/TCP/TCP | 34567/TCP | 443/TCP | 22/TCP |
| 6番目 | 22/TCP | 443/TCP | 8080/TCP | 22/TCP | 445/TCP | ICMP | ICMP | ICMP |
| 7番目 | ICMP | 81/TCP | ICMP | 8080/TCP | ICMP | 443/TCP | 8080/TCP | 8080/TCP |
| 8番目 | 8080/TCP | 8080/TCP | 3389/TCP | 6379/TCP | 8080/TCP | 81/TCP | 81/TCP | 81/TCP |
| 9番目 | 81/TCP | 5555/TCP | 445/TCP | 3389/TCP | 1433/TCP | 8080/TCP | 5555/TCP | 5555/TCP |
| 10番目 | 6379/TCP | 3389/TCP | 81/TCP | 81/TCP | 6379/TCP | 445/TCP | 6379/TCP | 6379/TCP |
おわりに
複数の地点で観測を行うことで、特定のネットワークだけで変動が起きているのかどうかを判断できるようになります。本四半期は、特別な号外による注意喚起等の情報発信には至っていませんが、スキャナーの存在には注意が必要です。今後もレポート公開にあわせて定期的なブログの発行を予定しています。特異な変化などがあった際は号外も出したいと思います。皆さまからのご意見、ご感想も募集しております。掘り下げて欲しい項目や、紹介して欲しい内容などがございましたら、お問い合わせフォームよりお送りください。最後までお読みいただきありがとうございました。
サイバーメトリクスグループ 鹿野 恵祐
TSUBAMEレポート Overflow(2025年4~6月)
