JPCERT/CCは9月11日、インターネット定点観測レポート(2025年4~6月)を公開した。今回のレポートでは、当四半期にTSUBAME(インターネット定点観測システム)が観測した結果とその分析の概要を述べている。
当四半期に最も頻繁に探索されたサービスはTelnet(23/TCP)で、2番目、3番目はWeb等で用いられるhttp(80/TCP)、https(443/TCP)だった。8728/TCPは順位を下げて4番目、5番目はssh(22/TCP)だった。
国内を対象とした探索活動の探索元地域について、当四半期において活動が活発だったのは、トップの米国から2番目のブルガリア、3番目の中国までは前四半期と同じ。4番目には前回5番目だったオランダが入り、5番目には前回9番目のカナダが入った。
■マルウェアに感染した機器からのパケットの観測状況について
TSUBAMEで観測されるパケットの大半は、Miraiなどのマルウェアに感染した機器からのスキャンパケットであると考えている。Telnet(23/TCP)宛のパケットのうち、日本国内のIPアドレスから送られたものについて、Miraiの特徴の有無を調べると、次のことが分かった。
パケットには、Miraiの特徴を持つものとそうでないものがあるが、6月初めにはMiraiの特徴を持たないパケットが一時的に増加する現象が見られた。これは、攻撃グループにより使用するマルウェアが異なっているためと考えられる。
送信元をたどると機器の種類が分かる。DVR/NVRに関しては、WebUIやHTMLソースなどから、その多くは中国・韓国などの海外製品であると推測される。それらの機器には脆弱性が報告されており、それを悪用してMiraiなどのマルウェアが感染を拡げているとみられる。
NASに関しては、WebUIやHTMLソースなどから、その多くは台湾のベンダー製のSOHO用途のNAS製品であると推測される。オープンソースのNASソフトウェアを組み込んだサーバーも確認している。それらの機器には脆弱性が報告されており、それを悪用してMiraiなどのマルウェアが感染を拡げているとみられる。
これらの製品は、ルーター等の内側に設置されながら、UPNP等によってインターネット上に公開された状態となっていたものと推測される。また、調査したNASの中には、ランサムウェアに感染しているとみられる事例もあった。
それ以外にも、WebUIやHTMLソースなどから、国内外のベンダー製ルーターや太陽光発電のモニターなどと推測される製品なども見つかった。それらの機器は、すでにサポートが終了しているような製品だった。脆弱性が報告されており、それを悪用してMiraiなどのマルウェアが感染を拡げているとみられる。
関連リンク