NICTER観測統計 - 2025年10月~12月

 Posted on 2026-03-18  |  Yukiko Endo

はじめに

NICTER プロジェクトのダークネット観測網における 2025 年第 4 四半期(10月~12月)の観測結果を公開します.

今四半期の主な観測結果は以下の通りです.

・今四半期の観測パケット数は前四半期からやや減少

・71 の組織から調査スキャンを観測(新規 1 組織を含む),調査スキャンは全体の約 56.4 %

・Web サービスや多様なポート番号宛てのスキャンが増加傾向

・React2Shell を悪用した攻撃を観測

以下,詳細についてデータと共に説明します.

[Read More]
annual-report  scanner  iot-botnet  mirai 

Xiongmai DVR の既知の脆弱性を悪用したレジデンシャルプロキシ化事例の観測

 Posted on 2026-03-17  |  CSRI解析チーム

1. 概要

  • 既知の脆弱性(CVE-2024-3765)を悪用した攻撃が継続している Xiongmai DVR において、新たに Proxyware への感染事例を観測した。

  • 当該事例では、従来の DDoS ボット化とは異なり、レジデンシャルプロキシ用途の Proxyware「PacketSDK」がインストールされ、実行されていた。

    [Read More]
IoT  Proxyware 

修正された ASUS 製 WiFi ルーターの AiCloud 機能の脆弱性について

 Posted on 2026-01-29  |  CSRI解析チーム

概要

  • ASUS 製の Wi-Fi ルーターには、ルーターに接続されたストレージを NAS として利用できる機能「AiCloud」が搭載されています。

  • AiCloud には、認証バイパスの脆弱性(CVE-2025-2492)が存在します。本脆弱性は実際に攻撃者によって悪用されており、多数の ASUS 製ルーターがボットに感染していることが確認されています。

    [Read More]

暗号通貨のマイニングをするRondoDox

 Posted on 2026-01-13  |  CSRI解析チーム

2025年第3四半期にNICTERで観測されたRondoDoxの最新の動向を報告します。

マルウェアの更新

RondoDoxのC2通信仕様では、C2サーバから送ったシェルコマンドをマルウェアに実行させることが可能で、このコマンドによりマルウェアの更新が行われます。

[Read More]
RondoDox  暗号通貨  マイニング 

NICTER観測統計 - 2025年7月~9月

 Posted on 2025-12-11  |  Yukiko Endo

はじめに

NICTER プロジェクトのダークネット観測網における 2025 年第 3 四半期(7月~9月)の観測結果を公開します.

今四半期の主な観測結果は以下の通りです.

・今四半期の観測パケット数は前四半期から増加

・MountBot の感染活動を観測 

・国内で DIGIEVER 社製の NVR の感染を観測

・78 の組織から調査スキャンを観測(新規 4 組織を含む),調査スキャンは全体の約 59.5 %

・23/TCP(telnet)以外にも多様なポート番号宛てのスキャンがおこなわれている傾向を確認

・多数の既知の脆弱性を悪用する RondoDox の感染活動を観測

以下,詳細についてデータと共に説明します.

[Read More]
annual-report  scanner  iot-botnet  mirai 

ライブネットにおける PQC 利用状況の調査

 Posted on 2025-12-04  |  Masato Jingu

概要

量子計算機の実用化が近づく中,既存の公開鍵暗号に代わるポスト量子暗号(PQC)への移行が世界的に進められています.本稿では,NICT のライブネット(職員が業務で利用する機構内ネットワーク)のトラフィックを対象に,2025 年 9 月 8 日のアウトバウンド通信における PQC の利用状況を調査しました.

[Read More]
pqc 

断続的に活動するMooBotまたはFlodrix

 Posted on 2025-11-28  |  CSRI解析チーム

2019年に現れた Mirai 系 マルウェアである MooBot は、The cow says mooという使われない文字列や、二重起動防止用のファイル名.moopidといった文字列を持つという特徴がありましたが 1、2021年には、その代わりにランダムな文字列を作成するためのシードとしてw5q6he3dbrsgmclkiu4to18npavj702fという文字列を使用するという特徴を持つようになり 2、NICTにおいても、たびたびこの文字列を含むマルウェアの活動を観測しています。

[Read More]
MooBot  Flodrix 

NICTER観測統計 - 2025年4月~6月

 Posted on 2025-09-30  |  Yukiko Endo

はじめに

NICTER プロジェクトのダークネット観測網における 2025 年第 2 四半期(4月~6月)の観測結果を公開します.

今四半期の主な観測結果は以下の通りです.

・今四半期の観測パケット数は前四半期から増加

・{80 81 82 83 85}/TCP(http)宛てにスキャンを行う MountBot を観測 

・AiCloud を有効にした ASUS 製 WiFi ルータの感染拡大を観測

・75 の組織から調査スキャンを観測(新規 6 組織を含む),調査スキャンは全体の約 54.9 %

・23/TCP(telnet), 8728/TCP(MikroTik RouterOS WinBox API)宛てのスキャンパケットが多い状況が継続

以下,詳細についてデータと共に説明します.

[Read More]
annual-report  scanner  iot-botnet  mirai 

プロセスを隠蔽するMountBotの出現

 Posted on 2025-08-19  |  CSRI解析チーム

今年の4月に、「ASUS製WiFiルーターのAiCloud機能の脆弱性を悪用する攻撃に関する注意喚起」1 を報告していますが、その攻撃の中には、これまでに見たことのない、新しいマルウェアへの感染が含まれていました。このマルウェアは、その後も更新されながら活動を続けており、RapperBot と同一のネットワーク基盤を利用しています。最大の特徴は、プロセスディレクトリの mount を行うことにより自らのプロセスを隠蔽する点で、この特徴から、CSRI 解析チームでは MountBot と呼んでいます。この MountBot について、これまでの分析で明らかになった特徴を紹介します。

[Read More]
MountBot 

NICTER観測統計 - 2025年1月~3月

 Posted on 2025-06-20  |  Yukiko Endo

はじめに

NICTER プロジェクトのダークネット観測網における 2025 年第 1 四半期(1月~3月)の観測結果を公開します.

今四半期の主な観測結果は以下の通りです.

・今四半期の観測パケット数は前四半期からやや減少

・ASUS 製 WiFi ルータの IoT マルウェア感染拡大を観測

・62 の組織から調査スキャンを観測(新規 3 組織を含む),調査スキャンは全体の約 48.7 %

・23/TCP(telnet), 8728/TCP(MikroTik RouterOS WinBox API)宛てのスキャンパケットが多い状況が継続 

以下,詳細についてデータと共に説明します.

[Read More]
annual-report  scanner  iot-botnet  mirai