1. 概況
JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、 一定のIPアドレス帯に向けて網羅的に発信されるパケットを観測しています。こうしたパケットの発信はそれぞれ特定の機器や特定のサービス機能を探索するために行われていると考えられます。JPCERT/CCでは、センサーで観測されたパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。センサーから収集したデータを分析し、攻撃対象となっている問題や攻撃に利用されている問題が見つかれば、解決できる可能性がある関係者に情報を提供し、対処を依頼しています。 本レポートでは、本四半期にTSUBAME(インターネット定点観測システム)が観測した結果とその分析の概要を述べます。 本四半期に探索された国内のサービスのトップ5は[表1]に示すとおりでした。
| 順位 | 宛先ポート番号 | 前四半期の順位 |
|---|---|---|
| 1 | Telnet(23/TCP) | 1 |
| 2 | http(80/TCP) | 3 |
| 3 | https(443/TCP) | 5 |
| 4 | 8728/TCP | 2 |
| 5 | ssh(22/TCP) | 4 |
※ポート番号とサービスの対応の詳細は、IANAの文書(1)を参照してください。なお、サービス名はIANAの情報をもとに記載していますが、必ずしも各サービスプロトコルにのっとった形式のパケットが受信されているとは限りません。
[表1]に示したサービスを探索するパケット観測数の推移を[図1]に示します。
![[図1:探索頻度トップ5のサービス(宛先ポート番号)宛のパケット観測数の2025年4~6月の推移]](./img/2025q1_report_fig1.png)
本四半期に最も頻繁に探索されたサービスはTelnet(23/TCP)でした。2番目、3番目はWeb等で用いられるhttp(80/TCP)、https(443/TCP)でした。8728/TCPは順位を下げて4番目、5番目はssh(22/TCP)でした。
国内を対象とした探索活動の探索元地域を、本四半期において活動が活発だった順に並べたトップ5を[表2]に示します。
| 順位 | 探索元地域 | 前四半期の順位 |
|---|---|---|
| 1 | 米国(US) | 1 |
| 2 | ブルガリア(BG) | 2 |
| 3 | 中国(CN) | 3 |
| 4 | オランダ(NL) | 5 |
| 5 | カナダ(CA) | 9 |
[表2]に掲げた2025年4~6月の探索元地域からのパケット数の傾向を[図2]に示します。
![[図2:2025年4~6月の探索元地域からのパケット数の傾向]](./img/2025q1_report_fig2.png)
トップの米国から3番目までは前四半期と同じでした。4番目には前回5番目だったオランダが入り、5番目には前回9番目のカナダが入りました。なお、TSUBAMEではRIR(Regional
Internet
Registry)による割り当て情報を用いて個々のIPアドレスの地域を判断しています。
2. マルウェアに感染した機器からのパケットの観測状況について
TSUBAMEで観測されるパケットの大半は、Miraiなどのマルウェアに感染した機器からのスキャンパケットであると考えています。
Telnet(23/TCP)宛のパケットのうち、日本国内のIPアドレスから送られたものについて、Miraiの特徴の有無を調べてみました(図3)。
パケットには、Miraiの特徴を持つものとそうでないものがありますが、6月初めにはMiraiの特徴を持たないパケットが一時的に増加する現象が見られました。
これは、攻撃グループにより使用するマルウェアが異なっているためと考えられます。
送信元をたどると機器の種類がわかります。この章では、どのような機器があったかを紹介します。
![[図3:日本国内から送信されたTelnet宛のパケットの送信元IPアドレス数の推移]](./img/2025q1_report_fig3.png)
DVR/NVR
WebUIやHTMLソースなどから、その多くは中国・韓国などの海外製品であると推測されます(図4~図6)。 それらの機器には、脆弱性が報告されており、それを悪用してMiraiなどのマルウェアが感染を拡げているとみられます。
![[図4:パケットの送信元にアクセスして取得した海外ベンダー製DVR/NVRのログイン画面の例]](./img/2025q1_report_fig4.png)
![[図5:パケットの送信元にアクセスして取得した海外ベンダー製DVR/NVRのログイン画面の例]](./img/2025q1_report_fig5.png)
![[図6:パケットの送信元にアクセスして取得した海外ベンダー製DVR/NVRのログイン画面の例]](./img/2025q1_report_fig6.png)
これらのDVR/NVRの多くは保安監視用システムの一環として設置されているものと推測されます。そうしたシステムの設置を請け負う事業者においては、機器自体と設置運用組織やその関係者をサイバー攻撃者から守るために、インターネットとの間にルーターやファイアウォールを設置して適切な保護措置を取り、また、遠隔から機器にアクセスする場合にはVPNを導入するなどの配慮が求められます。
NAS
WebUIやHTMLソースなどから、その多くは台湾のベンダー製のSOHO用途のNAS製品であると推測されます(図7)。オープンソースのNASソフトウェアを組み込んだサーバー(図8)も確認しています。 それらの機器には、脆弱性が報告されており、それを悪用してMiraiなどのマルウェアが感染を拡げているとみられます。
![[図7:パケットの送信元にアクセスして取得した海外ベンダー製NASのログイン画面の例]](./img/2025q1_report_fig7.png)
![[図8:パケットの送信元にアクセスして取得した海外ベンダー製NASのログイン画面の例]](./img/2025q1_report_fig8.png)
これらの製品は、ルーター等の内側に設置されながら、UPNP等によってインターネット上に公開された状態となっていたものと推測されます。NASの設置にあたっては、組織や自宅の外側からアクセスする必要性を吟味し、その必要がなければ、わざわざリスクを招くような設定をしないことが重要です。また、調査したNASの中には、ランサムウェアに感染しているとみられる事例もありました。
上述の機器以外にも、WebUIやHTMLソースなどから、国内外のベンダー製ルーターや太陽光発電のモニターなどと推測される製品なども見つかりました。 それらの機器はすでにサポートが終了しているような製品でした。脆弱性が報告されており、それを悪用してMiraiなどのマルウェアが感染を拡げているとみられます。
インターネットに接続する機器は、利用者だけでなく攻撃者もアクセスを試みる可能性があります。最新のファームウェアを使用する、適切な認証や強固なパスワードの設定を施す、必要がなければサービスを無効にするなど、注意して運用してください。
3. JPCERT/CCからのお願い
JPCERT/CCでは、不審なパケットの送信元IPアドレスについてISPを通じて当該IPアドレスのユーザに確認と対応をお願いすることがあります。そのような依頼を受け取った際には、調査活動へのご理解をいただき、可能であれば、使用していた製品やファームウェアのバージョン、侵害の有無などの情報の提供などのご協力をいただければ幸いです。本報告書で紹介したもの以外にも原因が不明な探索活動が複数あり、提供いただいた情報が新たな攻撃活動などを解明するための重要な糸口になり得ます。
4. 参考文献
1. Service Name and Transport Protocol Port Number
Registry
https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml
