TSUBAMEレポート Overflow(2026年1~3月)
はじめに
このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。
今回は、2025年度の振り返りと、TSUBAME(インターネット定点観測システム)における2026年1~3月の観測結果についてご紹介します。
2025年度の観測状況から見る日本国内の影響について
JPCERT/CCでは、日々TSUBAMEで収集したデータを分析しています。まずは、2025年度の観測結果から日本国内に関連するインシデント例を振り返ってみたいと思います。 インターネット定点観測レポートでも触れているように、TSUBAMEが最も多く観測するパケットは23/TCP宛ての探索です。23/TCP宛てで観測されるパケットはMiraiの特徴を持っていることがあります。この特徴を持つパケットが占める割合を図1に示しました。2025年度の初めはMiraiが約7割と優勢でしたが、2025年6月ごろから変化が見られ、年度末には3割程度になりました。なお、2025年6月ごろから観測されたパケットはMiraiの特徴を持っていませんが、やはりボット化した機器からのもので、パケットの特徴が違うだけでなく、攻撃対象とするIoT機器も異なっていました。
|
| 図1:日本国内から送信されたPort23/TCPにおけるMiraiの特徴を持つ送信元数の割合 |
2025年6月から2026年3月末にかけて、日本国内を送信元とする機器として目立ったものは次のとおりです。
2025年6月から7月にかけて:海外ベンダー製の監視カメラやDVR、NAS等。Miraiの特徴を持たないパケットの送信元が増加
2025年7月中旬から下旬にかけて:上述のDVRやNASに加え、国内ベンダー製ブロードバンドルータ等。Miraiの特徴を持たないパケットの送信元が増加
2025年9月から10月中旬にかけて:主に韓国製DVR製品、中国製ルーター等。Miraiの特徴を持たないパケットの送信元が増加
2025年10月から2026年3月末にかけて:ほぼ海外DVR製品。Miraiの特徴を持たないパケットの送信元が増加
Miraiの特徴を持つ探索を確認した送信元のIPアドレスからは、23/TCP宛て以外の通信も確認できます。攻撃対象となる製品上で、インターネットからアクセス可能な通信ポートや脆弱性情報などを認識して探索が行われていると考えられます。
これらの活動から得られた知見をもとに、国内の製品開発者や通信事業者に対してMiraiによる攻撃の動向に関する情報提供や、対策方法について議論を行う等の活動を実施しました。ルーターなどをインターネットに接続して利用する際には、Miraiへの感染被害を広げないように注意し、ボットネットの拡大を防ぐことが不可欠です。インターネットを通じて攻撃者からもアクセスされることを意識し、最新のファームウェアを使用したり、適切な設定を施したりするなど、注意して利用してください。設置後はポートスキャンなどを行い不要な通信ポートがアクセスできるようになっていないか検査を行うことや、SHODAN等を利用して確認してみることもお勧めします。引き続き、特定の製品を狙った攻撃や不審なパケットの送信元の発生を想定し、特に日本国内を送信元としているIPアドレスについては送信元を調査して、その結果に基づき製品開発者や通信事業者らに対して観測データなどの情報を提供し、問題解決の一助となる活動を継続していきます。
国内外の観測動向の比較
図2は、国内外のセンサー1台が1日あたりに受信したパケット数の平均を月ごとに比較したものです。国内のセンサーよりも海外のセンサーで多くのパケットを観測しています。国内外のセンサーにおいて2月に一時的な減少が見られたものの、3月は1月と同程度まで増加しました。
|
| 図2:月ごとの国内外センサー平均パケット数の比較 |
センサーごとの観測動向の比較
各センサーには、それぞれグローバルIPアドレスが一つ割り当てられています。国内、北米、欧州、それ以外の地域の各センサーで観測状況に違いがあるかを見るために、表1に届いたパケットTOP10をまとめました。ほとんどのセンサーで23/TCPがトップになりましたが、一部のセンサーでは443/TCPが23/TCPを上回るケースも見られました。 そのほか、80/TCPや8080/TCP等も順位に違いはありますがほぼすべてのセンサーで観測していました。これらは広範囲のネットワークにてスキャンが行われていることを示唆していると考えられます。
表1:国内外センサーごとのパケットTOP10の比較
| 国内センサー1 | 国内センサー2 | 北米センサー1 | 北米センサー2 | 欧州センサー1 | 欧州センサー2 | それ以外の地域のセンサー1 | それ以外の地域のセンサー2 | |
|---|---|---|---|---|---|---|---|---|
| 1番目 | 23/TCP | 23/TCP | 443/TCP | 23/TCP | 23/TCP | 23/TCP | ICMP | 22/TCP |
| 2番目 | 22/TCP | ICMP | 23/TCP | 80/TCP | 443/TCP | 443/TCP | 23/TCP | 443/TCP |
| 3番目 | 80/TCP | 22/TCP | 80/TCP | 443/TCP | 8728/TCP | 22/TCP | 443/TCP | 23/TCP |
| 4番目 | 443/TCP | 80/TCP | ICMP | 8080/TCP | ICMP | 80/TCP | 80/TCP | 8728/TCP |
| 5番目 | ICMP | 443/TCP | 22/TCP | ICMP | 22/TCP | ICMP | 8728/TCP | 80/TCP |
| 6番目 | 8080/TCP | 8080/TCP | 8728/TCP | 22/TCP | 80/TCP | 25/TCP | 22/TCP | ICMP |
| 7番目 | 3389/TCP | 3389/TCP | 8080/TCP | 8443/TCP | 8080/TCP | 3389/TCP | 8080/TCP | 445/TCP |
| 8番目 | 8728/TCP | 8728/TCP | 3389/TCP | 8728/TCP | 3389/TCP | 8080/TCP | 3389/TCP | 8080/TCP |
| 9番目 | 5555/TCP | 5555/TCP | 8443/TCP | 445/TCP | 8443/TCP | 8728/TCP | 8443/TCP | 3389/TCP |
| 10番目 | 2222/TCP | 2222/TCP | 3000/TCP | 3389/TCP | 3000/TCP | 445/TCP | 3000/TCP | 3000/TCP |
おわりに
複数の地点で観測を行うことで、変動が特定のネットワークだけで起きているのかどうかを判断できるようになります。本四半期は、特別な号外による注意喚起等の情報発信には至っていませんが、スキャナーの存在には注意が必要です。今後もレポート公開にあわせて定期的なブログの発行を予定しています。特異な変化などがあった際は号外も出したいと思います。皆さまからのご意見、ご感想も募集しております。掘り下げて欲しい項目や、紹介して欲しい内容などがございましたら、お問い合わせフォームからお送りください。最後までお読みいただきありがとうございました。
