1. 概況
JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、 一定のIPアドレス帯に向けて網羅的に発信されるパケットを観測しています。こうしたパケットの発信はそれぞれ特定の機器や特定のサービス機能を探索するために行われていると考えられます。JPCERT/CCでは、センサーで観測されたパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。センサーから収集したデータを分析し、攻撃対象となっている問題や攻撃に利用されている問題が見つかれば、解決できる可能性がある関係者に情報を提供し、対処を依頼しています。 本レポートでは、本四半期にTSUBAME(インターネット定点観測システム)が観測した結果とその分析の概要を述べます。 本四半期に探索された国内のサービスのトップ5は[表1]に示すとおりでした。
| 順位 | 宛先ポート番号 | 前四半期の順位 |
|---|---|---|
| 1 | Telnet(23/TCP) | 1 |
| 2 | http(80/TCP) | 2 |
| 3 | https(443/TCP) | 4 |
| 4 | ssh(22/TCP) | 3 |
| 5 | 8080/TCP | 5 |
※ポート番号とサービスの対応の詳細は、IANAの文書(1)を参照してください。なお、サービス名はIANAの情報をもとに記載していますが、必ずしも各サービスプロトコルにのっとった形式のパケットが受信されているとは限りません。
[表1]に示したサービスを探索するパケット観測数の推移を[図1]に示します。
![[図1:探索頻度トップ5のサービス(宛先ポート番号)宛てパケット観測数の2025年10~12月の推移]](./img/2025q3_report_fig1.png)
本四半期に最も頻繁に探索されたサービスはTelnet(23/TCP)でした。2番目、3番目はWeb等で用いられるhttp(80/TCP)、https(443/TCP)でした。22/TCPは順位を下げて4番目、5番目は8080/TCPでした。
国内を対象とした探索活動の探索元地域を、本四半期において活動が活発だった順に並べたトップ5を[表2]に示します。
トップの米国から4番目までは前四半期と同じでした。5番目には前回7番目のシンガポールが入りました。なお、TSUBAMEではRIR(Regional
Internet
Registry)による割り当て情報を用いて個々のIPアドレスの地域を判断しています。
| 順位 | 探索元地域 | 前四半期の順位 |
|---|---|---|
| 1 | 米国(US) | 1 |
| 2 | ブルガリア(BG) | 2 |
| 3 | ドイツ(DE) | 3 |
| 4 | オランダ(NL) | 4 |
| 5 | シンガポール(SG) | 7 |
[表2]に掲げた2025年10~12月の探索元地域からのパケット数の推移を[図2]に示します。
![[図2:2025年10~12月の探索元地域からのパケット数の推移]](./img/2025q3_report_fig2.png)
2. ACKフラグが付いたパケットの観測状況について
10月から11月にかけて、送信元IPアドレスが日本と判定され、かつACKフラグが付与されたパケットが増加する現象を観測しました。 一般に、DDoS攻撃の手法によっては、実際に攻撃対象でなくてもインターネット上のセンサーに痕跡が観測される場合があります。 特に、ACKフラグが付いたパケットは、送信元IPアドレスを詐称したACKリフレクション攻撃や、センサーのIPアドレスを詐称したSYN flood攻撃に起因して観測される可能性があることから、本現象がDDoS攻撃と関連している可能性に着目して詳しく調べることにしました。
![[図3:2025年10月~12月にACKフラグが付いたパケットの送信元IPアドレス数の推移]](./img/2025q3_report_fig3.png)
TSUBAMEでACKフラグが付いたパケットを観測することは度々ありますが、増加しても2~3日で元に戻るような一時的な事象であることが多く、2カ月間で6度ほどの増減が観測されるのはまれです。
RDAP(Registration Data Access
Protocol)で送信元IPアドレスを使用している組織を確認したところ、複数の組織が浮上しました(図4)。
![[図4:ACKフラグが付いたパケットの送信元として割り当てられていた組織ごとの割合]](./img/2025q3_report_fig4.png)
このDDoS攻撃は複数のネットワーク事業者に収容されたホストを狙って行われていると考えられます。
今回は、日本国内への影響を調べるため、日々の発信状況調査の一環として、送信元を日本国内のデータに絞って集計しました。結果を図4に示します。
SOFTBANK Corpが最も多く、次いで海外クラウド事業者のWISDOM CLOUD INTERNET
TECHNOLOGY PTE. LTD.やrainbow network corporation
limitedが挙がりました。これは、クラウドサービスが日本国内のリージョンとして提供しているネットワークではないかと推測され、今回の事象は図4で特に割合が多い事業者または事業者がホストしているサービスに対してDDoS攻撃が行われた可能性があります。
3. JPCERT/CCからのお願い
JPCERT/CCでは、日々観測したデータを分析しています。その結果から、国内で活動している組織が特定できた際は、その組織に対し情報提供を行う場合があります。JPCERT/CCから連絡を受けた際はご対応いただければ幸いです。また、観測動向について回答する活動を行っていますので、気になることなどがあればお気軽にご連絡ください。
観測システムの紹介や打ち合わせ等を行うことも可能ですので、観測データの提供に興味がある方につきましてもご連絡をお待ちしております。
4. 参考文献
1. Service Name and Transport Protocol Port Number
Registry
https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml
