TSUBAMEレポート Overflow(2025年10~12月)
はじめに
このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。今回は、TSUBAME(インターネット定点観測システム)における2025年10~12月の観測結果についてご紹介します。
DVR/NVR製品等からの不審なパケットについて
日本国内に割り当てられたIPアドレスから、Telnet(23/TCP)宛ての通信を送信しているホスト数の推移を見ると、10月に一時的な増加が見られたものの、11月7日ごろからは減少傾向となっています(図1)。
|
| 図1:国内からの23/TCP宛てのパケットの送信元ホスト数の推移 |
一方で、送信元を詳しく確認すると、特定のDVR/NVR製品群に由来するとみられるケースが多く確認されました。1日単位では、これらの製品が全体の約8割を占める日もあり、依然として多くの機器が外部に通信を行っている状況です。 今回は、確認された製品群のログイン画面の例を紹介します(図2~5)。
|
| 図2:DVR/NVR製品とみられる製品 |
|
| 図3:DVR/NVR製品とみられる製品-2 |
|
| 図4:DVR/NVR製品とみられる製品-3 |
|
| 図5:DVR/NVR製品とみられる製品-4 |
これらの画面には、著作権表記の年が古いもの(例:2014年など)もあり、長期間ファームウェア更新が行われていない可能性が考えられます。こうした機器は、既知の脆弱性が修正されないまま運用されている場合もあり、インターネットからの攻撃対象となりやすいため注意が必要です。 ご利用中の製品がこれらに該当しないか確認するとともに、ファームウェアの更新が適切に行われているか、この機会に見直してみてください。
国内外の観測動向の比較
図6は、国内外のセンサー1台が1日あたりに受信したパケット数の平均を月ごとに比較したものです。国内のセンサーよりも海外のセンサーで多くのパケットを観測しています。また、国内海外を問わず10月から月を追うごとに徐々に増加傾向がみられました。
|
| 図6:月ごとの国内外センサー平均パケット数の比較 |
センサーごとの観測動向の比較
各センサーには、それぞれグローバルIPアドレスが一つ割り当てられています。国内、北米、欧州、それ以外の地域の各センサーで観測状況に違いがあるかを見るために、表1に届いたパケットTOP10をまとめました。センサーごとに順位に違いはありますが、22/TCP、23/TCP、80/TCP、443/TCP、8080/TCP等はほぼすべてのセンサーで観測していました。これらは広範囲のネットワークにてスキャンが行われていることを示唆していると考えられます。
表1:国内外センサーごとのパケットTOP10の比較
| 国内センサー1 | 国内センサー2 | 北米センサー1 | 北米センサー2 | 欧州センサー1 | 欧州センサー2 | それ以外の地域のセンサー1 | それ以外の地域のセンサー2 | |
|---|---|---|---|---|---|---|---|---|
| 1番目 | 23/TCP | 23/TCP | 443/TCP | 23/TCP | 23/TCP | 23/TCP | 443/TCP | 23/TCP |
| 2番目 | 80/TCP | ICMP | ICMP | 22/TCP | 8080/TCP | 8080/TCP | 23/TCP | 443/TCP |
| 3番目 | 443/TCP | 80/TCP | 23/TCP | 443/TCP | 443/TCP | 443/TCP | 8728/TCP | 8728/TCP |
| 4番目 | 8080/TCP | 443/TCP | 80/TCP | 8728/TCP | 3389/TCP | ICMP | ICMP | 80/TCP |
| 5番目 | 22/TCP | 22/TCP | 8728/TCP | 3389/TCP | 80/TCP | 80/TCP | 80/TCP | ICMP |
| 6番目 | ICMP | 8443/TCP | 22/TCP | 80/TCP | 22/TCP | 3389/TCP | 22/TCP | 22/TCP |
| 7番目 | 8728/TCP | 8080/TCP | 3389/TCP | ICMP | ICMP | 22/TCP | 3389/TCP | 3389/TCP |
| 8番目 | 3389/TCP | 8728/TCP | 8080/TCP | 8080/TCP | 8728/TCP | 445/TCP | 8080/TCP | 8080/TCP |
| 9番目 | 81/TCP | 3389/TCP | 8443/TCP | 8443/TCP | 445/TCP | 8728/TCP | 8443/TCP | 8443/TCP |
| 10番目 | 5555/TCP | 5555/TCP | 6379/TCP | 2222/TCP | 1433/TCP | 8443/TCP | 2222/TCP | 2222/TCP |
おわりに
複数の地点で観測を行うことで、特定のネットワークだけで変動が起きているのかどうかを判断できるようになります。本四半期は、特別な号外による注意喚起等の情報発信には至っていませんが、スキャナーの存在には注意が必要です。今後もレポート公開にあわせて定期的なブログの発行を予定しています。特異な変化などがあった際は号外も出したいと思います。皆さまからのご意見、ご感想も募集しております。掘り下げて欲しい項目や、紹介して欲しい内容などがございましたら、お問い合わせフォームよりお送りください。最後までお読みいただきありがとうございました。
サイバーメトリクスグループ 鹿野 恵祐
TSUBAMEレポート Overflow(2025年10~12月)
