1. 概況
JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、 一定のIPアドレス帯に向けて網羅的に発信されるパケットを観測しています。こうしたパケットの発信はそれぞれ特定の機器や特定のサービス機能を探索するために行われていると考えられます。JPCERT/CCでは、センサーで観測されたパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。センサーから収集したデータを分析し、攻撃対象となっている問題や攻撃に利用されている問題が見つかれば、解決できる可能性がある関係者に情報を提供し、対処を依頼しています。 本レポートでは、本四半期にTSUBAME(インターネット定点観測システム)が観測した結果とその分析の概要を述べます。 本四半期に探索された国内のサービスのトップ5は[表1]に示すとおりでした。
| 順位 | 宛先ポート番号 | 前四半期の順位 |
|---|---|---|
| 1 | Telnet(23/TCP) | 1 |
| 2 | http(80/TCP) | 2 |
| 3 | ssh(22/TCP) | 5 |
| 4 | https(443/TCP) | 3 |
| 5 | 8080/TCP | 9 |
※ポート番号とサービスの対応の詳細は、IANAの文書(1)を参照してください。なお、サービス名はIANAの情報をもとに記載していますが、必ずしも各サービスプロトコルにのっとった形式のパケットが受信されているとは限りません。
[表1]に示したサービスを探索するパケット観測数の推移を[図1]に示します。
![[図1:探索頻度トップ5のサービス(宛先ポート番号)宛てパケット観測数の2025年7~9月の推移]](./img/2025q2_report_fig1.png)
本四半期に最も頻繁に探索されたサービスはTelnet(23/TCP)でした。2番目、4番目はWeb等で用いられるhttp(80/TCP)、https(443/TCP)でした。3番目にssh(22/TCP)が入り、5番目はWebの代替ポートや管理UIなどで使われることが多い8080/TCPでした。
国内を対象とした探索活動の探索元地域を、本四半期において活動が活発だった順に並べたトップ5を[表2]に示します。
| 順位 | 探索元地域 | 前四半期の順位 |
|---|---|---|
| 1 | 米国(US) | 1 |
| 2 | ブルガリア(BG) | 2 |
| 3 | ドイツ(DE) | 6 |
| 4 | オランダ(NL) | 4 |
| 5 | 中国(CN) | 3 |
[表2]に掲げた2025年7~9月の探索元地域からのパケット数の傾向を[図2]に示します。
![[図2:2025年7~9月の探索元地域からのパケット数の傾向]](./img/2025q2_report_fig2.png)
トップの米国と2番目、4番目は前四半期と同じでした。3番目に前四半期では6番目だったドイツが入り、5番目の中国は前四半期の3番目から順位を下げました。なお、TSUBAMEではRIR(Regional
Internet
Registry)による割り当て情報を用いて個々のIPアドレスの地域を判断しています。
2. マルウェアに感染したとみられるTP-Link製ルーターからのパケットの観測結果について
TSUBAMEで観測されるパケットの大半は、Miraiなどのマルウェアに感染した機器からのスキャンパケットであると考えられ、宛先ポートはTelnet(23/TCP)です。
TSUBAMEで観測されたパケットのうち、Telnet宛てのものを日ごとに調べたところ、それらの送信元となっている日本国内のノードが毎日200前後あることが分かりました(図3)。
![[図3:日本国内から送信されたTelnet宛てのパケットの送信元IPアドレス数の推移]](./img/2025q2_report_fig3.png)
細かく観察すると、8月12日から26日にかけて一時的な減少がみられたこと、9月17日ごろからマルウェアに感染した特定メーカーのDVR製品からのTelnet宛てパケットが増加したことの2点が特筆できます。
このDVR製品については現在も調査を継続しています。なお、図3はこのDVR製品から送信されたパケットを除外して、日本国内から送信されたTelnet宛てパケットの送信元IPアドレス数の推移を表示しています。
また、TSUBAMEで観測されたパケットの送信元ノードで、以前から目立っているものがTP-Link製ルーター製品です。これまでに観測された製品名の例を表3に示します。
| 製品名 | ファームウェアのバージョン(例) |
|---|---|
| Archer AX10(AX1500) | 1.0.6 Build 20191115 Rel.13978(4A50) |
| Archer AX20(AX1800) | 1.3.1 Build 20210524 Rel.40909(4A50) |
| Archer AX50(AX3000) | 1.0.3 Build 20200724 Rel.65251(4555) |
| Archer AX4800(AX4800) | 1.2.2 Build 20220317 Rel.50456(4A50) |
| Archer AX73(AX5400) | 1.0.3 Build 20210717 Rel.64680(4A50) |
| Archer AX6000(AX6000) | 不明 |
| Archer AX11000(AX11000) | 1.1.1 Build 20200716 Rel.84595(4A50) |
| Archer A6(AC1200) | 不明 |
| Archer C5400(AC5400) | 不明 |
| Decoシリーズ(M4/M5/X20等) | 不明(クラウド経由で更新) |
送信元となったルーターの状態を確認すると、管理用のWebコンソール(管理画面)がインターネットから直接アクセス可能な状態で動作していました。
利用用途を考えても、管理画面はLAN内からのみアクセス可能とするのが適切な設定です。WANから管理画面がアクセス可能な場合、管理画面に潜む脆弱性を悪用されたり、ブルートフォース攻撃を受けて管理画面に侵入されたりする危険性が高まります。
WAN側からもアクセス可能な状態になっているのは次のいずれかの要因が考えられます。
- 管理画面のリモートアクセス機能(Remote Management)が有効化されている
- DHCP 等によってグローバル IP が割り当てられる環境であるにもかかわらず、誤ってAP モードのルーターを LAN ポートに接続した結果、管理画面がインターネットに公開されている
また、観測されたルーターの中には、2022年以前のファームウェアが稼働しているものがあり、長期間アップデートが行われていない可能性が高いと考えられます。
この場合、既知の脆弱性を悪用した攻撃を受ける恐れがあり、ファームウェアが更新されないまま放置された機器は、不正ログインによる設定変更やマルウェア感染による踏み台となるリスクが非常に高くなります。
上述の、ネットワーク構成と運用管理の問題によって、すでに一部のTP-Link製ルーターは不正ログイン・マルウェア感染を受けてボット化しており、外部へのスキャンや攻撃活動の踏み台として利用されている可能性が高いと考えられます。
インターネットに接続する機器は、利用者だけでなく攻撃者もアクセスを試みる可能性があります。最新のファームウェアを使用し、適切な認証や強固なパスワードの設定を施し、必要がなければサービスを無効にしてください。
3. JPCERT/CCからのお願い
JPCERT/CCでは、不審なパケットの送信元IPアドレスについてISPを通じて当該IPアドレスのユーザに確認と対応をお願いすることがあります。そのような依頼を受け取った際には、調査活動へのご理解をいただき、可能であれば、使用していた製品やファームウェアのバージョン、侵害の有無などの情報の提供などのご協力をいただければ幸いです。本報告書で紹介したもの以外にも原因が不明な探索活動が複数あり、提供いただいた情報が新たな攻撃活動などを解明するための重要な糸口になり得ます。
4. 参考文献
1. Service Name and Transport Protocol Port Number
Registry
https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml
