暗号通貨のマイニングをするRondoDox

 Posted on 2026-01-13  |  CSRI解析チーム

2025年第3四半期にNICTERで観測されたRondoDoxの最新の動向を報告します。

マルウェアの更新

RondoDoxのC2通信仕様では、C2サーバから送ったシェルコマンドをマルウェアに実行させることが可能で、このコマンドによりマルウェアの更新が行われます。

[Read More]
RondoDox  暗号通貨  マイニング 

NICTER観測統計 - 2025年7月~9月

 Posted on 2025-12-11  |  Yukiko Endo

はじめに

NICTER プロジェクトのダークネット観測網における 2025 年第 3 四半期(7月~9月)の観測結果を公開します.

今四半期の主な観測結果は以下の通りです.

・今四半期の観測パケット数は前四半期から増加

・MountBot の感染活動を観測 

・国内で DIGIEVER 社製の NVR の感染を観測

・78 の組織から調査スキャンを観測(新規 4 組織を含む),調査スキャンは全体の約 59.5 %

・23/TCP(telnet)以外にも多様なポート番号宛てのスキャンがおこなわれている傾向を確認

・多数の既知の脆弱性を悪用する RondoDox の感染活動を観測

以下,詳細についてデータと共に説明します.

[Read More]
annual-report  scanner  iot-botnet  mirai 

ライブネットにおける PQC 利用状況の調査

 Posted on 2025-12-04  |  Masato Jingu

概要

量子計算機の実用化が近づく中,既存の公開鍵暗号に代わるポスト量子暗号(PQC)への移行が世界的に進められています.本稿では,NICT のライブネット(職員が業務で利用する機構内ネットワーク)のトラフィックを対象に,2025 年 9 月 8 日のアウトバウンド通信における PQC の利用状況を調査しました.

[Read More]
pqc 

断続的に活動するMooBotまたはFlodrix

 Posted on 2025-11-28  |  CSRI解析チーム

2019年に現れた Mirai 系 マルウェアである MooBot は、The cow says mooという使われない文字列や、二重起動防止用のファイル名.moopidといった文字列を持つという特徴がありましたが 1、2021年には、その代わりにランダムな文字列を作成するためのシードとしてw5q6he3dbrsgmclkiu4to18npavj702fという文字列を使用するという特徴を持つようになり 2、NICTにおいても、たびたびこの文字列を含むマルウェアの活動を観測しています。

[Read More]
MooBot  Flodrix 

NICTER観測統計 - 2025年4月~6月

 Posted on 2025-09-30  |  Yukiko Endo

はじめに

NICTER プロジェクトのダークネット観測網における 2025 年第 2 四半期(4月~6月)の観測結果を公開します.

今四半期の主な観測結果は以下の通りです.

・今四半期の観測パケット数は前四半期から増加

・{80 81 82 83 85}/TCP(http)宛てにスキャンを行う MountBot を観測 

・AiCloud を有効にした ASUS 製 WiFi ルータの感染拡大を観測

・75 の組織から調査スキャンを観測(新規 6 組織を含む),調査スキャンは全体の約 54.9 %

・23/TCP(telnet), 8728/TCP(MikroTik RouterOS WinBox API)宛てのスキャンパケットが多い状況が継続

以下,詳細についてデータと共に説明します.

[Read More]
annual-report  scanner  iot-botnet  mirai 

プロセスを隠蔽するMountBotの出現

 Posted on 2025-08-19  |  CSRI解析チーム

今年の4月に、「ASUS製WiFiルーターのAiCloud機能の脆弱性を悪用する攻撃に関する注意喚起」1 を報告していますが、その攻撃の中には、これまでに見たことのない、新しいマルウェアへの感染が含まれていました。このマルウェアは、その後も更新されながら活動を続けており、RapperBot と同一のネットワーク基盤を利用しています。最大の特徴は、プロセスディレクトリの mount を行うことにより自らのプロセスを隠蔽する点で、この特徴から、CSRI 解析チームでは MountBot と呼んでいます。この MountBot について、これまでの分析で明らかになった特徴を紹介します。

[Read More]
MountBot 

NICTER観測統計 - 2025年1月~3月

 Posted on 2025-06-20  |  Yukiko Endo

はじめに

NICTER プロジェクトのダークネット観測網における 2025 年第 1 四半期(1月~3月)の観測結果を公開します.

今四半期の主な観測結果は以下の通りです.

・今四半期の観測パケット数は前四半期からやや減少

・ASUS 製 WiFi ルータの IoT マルウェア感染拡大を観測

・62 の組織から調査スキャンを観測(新規 3 組織を含む),調査スキャンは全体の約 48.7 %

・23/TCP(telnet), 8728/TCP(MikroTik RouterOS WinBox API)宛てのスキャンパケットが多い状況が継続 

以下,詳細についてデータと共に説明します.

[Read More]
annual-report  scanner  iot-botnet  mirai 

DVRを狙うRapperBotの最新動向

 Posted on 2025-06-19  |  CSRI解析チーム

毎年フランスで開催されているボットネットとマルウェアに関する国際コンファレンスbotconf 1が、今年はパリからTGVで2時間ほどかかるアンジェにおいて5月に開催されました。NICTのCSRI解析チームが発表した「Unveiling the DVR Ecosystem A 3-Year Investigation into Global IoT Bot Recruitment Campaigns 」の内容の一部と、RapperBotの最新の動向について紹介します。

[Read More]
RapperBot  DVR 

ASUS製WiFiルーターのAiCloud機能の脆弱性を悪用する攻撃に関する注意喚起

 Posted on 2025-04-16  |  CSRI 解析チーム

I. 概要

ASUS製WiFiルーターに搭載されている「AiCloud」には、USB接続の記憶装置をNASとして利用する機能などが含まれています。このAiCloudにはOSコマンド実行の脆弱性(CVE-2024-12912)など複数の脆弱性が確認されており、認証なしで遠隔からルーターの設定を改変されたり、マルウェアに感染させられるおそれがあります。

[Read More]
router  vulnerability  iot-botnet  infected_slurs 

NICTER観測統計 - 2024年10月~12月

 Posted on 2025-02-18  |  Yukiko Endo

はじめに

NICTER プロジェクトのダークネット観測網における 2024 年第 4 四半期(10月~12月)の観測結果を公開します.

2024年第4四半期の観測統計

総観測パケット数

表 1 に総観測パケット数の統計値を示します1

[Read More]
annual-report  scanner  iot-botnet  mirai