1. 概況
JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、 一定のIPアドレス帯に向けて網羅的に発信されるパケットを観測しています。こうしたパケットの発信はそれぞれ特定の機器や特定のサービス機能を探索するために行われていると考えられます。JPCERT/CCでは、センサーで観測されたパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。センサーから収集したデータを分析し、攻撃対象となっている問題や攻撃に利用されている問題が見つかれば、解決できる可能性がある関係者に情報を提供し、対処を依頼しています。 本レポートでは、本四半期にTSUBAME(インターネット定点観測システム)が観測した結果とその分析の概要を述べます。 本四半期に探索された国内のサービスのトップ5は[表1]に示すとおりでした。
| 順位 | 宛先ポート番号 | 前四半期の順位 |
|---|---|---|
| 1 | Telnet(23/TCP) | 1 |
| 2 | https(443/TCP) | 3 |
| 3 | ssh(22/TCP) | 4 |
| 4 | http(80/TCP) | 2 |
| 5 | 8080/TCP | 5 |
※ポート番号とサービスの対応の詳細は、IANAの文書(1)を参照してください。なお、サービス名はIANAの情報をもとに記載していますが、必ずしも各サービスプロトコルにのっとった形式のパケットが受信されているとは限りません。
[表1]に示したサービスを探索するパケット観測数の推移を[図1]に示します。
![[図1:探索頻度トップ5のサービス(宛先ポート番号)宛てパケット観測数の2026年1~3月の推移]](./img/2025q4_report_fig1.png)
本四半期に最も頻繁に探索されたサービスはTelnet(23/TCP)でした。2番目、4番目はWeb等で用いられるhttps(443/TCP)、http(80/TCP)でした。22/TCPは順位を一つ上げて3番目、5番目は変わらず8080/TCPでした。
国内を対象とした探索活動の探索元地域を、本四半期において活動が活発だった順に並べたトップ5を[表2]に示します。
トップは米国、順序に入れ替わりはありますが2番目から4番目までは前四半期と同じ組み合わせでした。5番目には前回7番目の中国が入りました。なお、TSUBAMEではRIR(Regional
Internet
Registry)による割り当て情報を用いて個々のIPアドレスの地域を判断しています。
| 順位 | 探索元地域 | 前四半期の順位 |
|---|---|---|
| 1 | 米国(US) | 1 |
| 2 | オランダ(NL) | 4 |
| 3 | ブルガリア(BG) | 2 |
| 4 | ドイツ(DE) | 3 |
| 5 | 中国(CN) | 7 |
[表2]に掲げた2026年1~3月の探索元地域からのパケット数の推移を[図2]に示します。
![[図2:2026年1~3月の探索元地域からのパケット数の推移]](./img/2025q4_report_fig2.png)
2. イランを送信元としたパケットの送信元ホスト数の状況について
2026年1月から3月にかけて、イランを送信元とするトラフィックの観測状況に大きな変動が見られました。図3は、送信元IPアドレスがイランと判定されたホストのうち、TCPのSYNフラグ付きパケットを送信したホスト数の日次推移を示したものです。
![[図3:イランからのパケットの送信元ホスト数の推移]](./img/2025q4_report_fig3.png)
また、図4は2025年における送信元ホスト数の推移を示したものです。図4に示すとおり、通常時において送信元ホスト数はおおむね150〜200ホスト程度で推移しており、一時的な減少は見られるものの短期間にとどまっています。
![[図4:(参考)2025年におけるイランからのパケットの送信元ホスト数の推移]](./img/2025q4_report_fig4.png)
図3において注目される主な変動は、次の3点です。
- 1月初旬から1月下旬にかけて、TCP
SYNパケットの送信元ホスト数が大きく減少した
- 1月下旬以降、ホスト数は徐々に回復したものの1月初旬の水準までは戻らなかった
- 2月下旬から3月末にかけて、送信元ホスト数が再び急減し低水準で推移した
なお、期間中一時的に送信元ホスト数が増加する局面も確認しましたが、短期間にとどまっています。
1月初旬から1月下旬にかけての変動について
1月初旬から1月下旬にかけて、TCP SYNパケットの送信元ホスト数の大幅な減少が確認されました。1月8日にイラン国内においてインターネット接続の制限が実施されたことが報じられており、Cloudflareの観測において同日にトラフィックの急減が確認されています。TSUBAMEでの観測においても同様の傾向を示しています。 なお、報道によれば、イラン政府はサイバー攻撃や治安上の懸念への対応として通信を制限したとされています。
1月下旬から2月下旬にかけての変動について
1月下旬以降、送信元ホスト数が回復傾向を示したものの、1月初旬の水準には至らず低い水準で推移しました。 Cloudflareの観測において、1月上旬の遮断後にトラフィックは一定程度回復したものの完全には復旧せず不安定な状態が継続していたことが報告されています。 TSUBAMEでの観測結果もこの報告とほぼ一致しています。
2月下旬から3月末にかけての変動について
2月下旬から3月末にかけて、パケットの送信元ホスト数が再び大きく減少し、極めて低い水準(10ホスト前後)で推移する挙動が確認されました。 2月28日にはイスラエルおよび米国による対イラン攻撃作戦が開始されたことが報じられています。CloudflareやNetBlocks等の観測において、同時期にトラフィックの大幅な低下が確認されており、TSUBAMEでの観測結果もほぼ一致しています。
過去事例との比較
図4に示すとおり、2025年6月において一時的な送信元ホスト数の減少が確認されています。当該期間は地域情勢の影響を受けた可能性が指摘されている期間であり、規制当局の措置による影響が示唆される事例の一つと考えられます。 今回観測されたホスト数の減少は、過去の減少と比較して規模および継続期間で顕著であり、同様に影響を受けた可能性があると考えられます。
まとめ
本稿では、地域情勢に関連する外部観測とTSUBAMEの観測結果との関係について、観測事例として紹介しました。
3. JPCERT/CCからのお願い
JPCERT/CCでは、日々観測したデータを分析しています。その結果から、国内で活動している組織が特定できた際は、その組織に対し情報提供を行う場合があります。JPCERT/CCから連絡を受けた際はご対応いただければ幸いです。また、観測動向について回答する活動を行っていますので、気になることなどがあればお気軽にご連絡ください。
観測システムの紹介や打ち合わせ等を行うことも可能ですので、観測データの提供に興味がある方につきましてもご連絡をお待ちしております。
4. 参考文献
Service Name and Transport Protocol Port Number Registry
https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtmlIran’s FM says protests became ‘bloody’ to give Trump intervention excuse
https://www.aljazeera.com/news/2026/1/12/irans-fm-says-protests-became-bloody-to-give-trump-intervention-excuseWhat we know about Iran’s Internet shutdown
https://blog.cloudflare.com/iran-protests-internet-shutdown/
