NICTER観測統計 - 2024年10月～12月

はじめに

NICTER プロジェクトのダークネット観測網における 2024 年第 4 四半期（10月～12月）の観測結果を公開します．

• 2024 年第 4 四半期の観測統計
  • 総観測パケット数
  • 日毎のパケット数とユニークホスト数の推移
  • IoT マルウェア の攻撃ホスト数の推移
  • 調査スキャナについて
  • 宛先ポート別パケット数
  • 国別パケット数

2024年第4四半期の観測統計

総観測パケット数

表 1 に総観測パケット数の統計値を示します¹．

2024 年第 4 四半期の 1 IP アドレス当たりの総観測パケット数（総観測パケット数を観測 IP アドレス数で正規化した値）は 2024 年第 3 四半期と比較するとやや減少しました．

日毎のパケット数とユニークホスト数の推移

図 1 に日毎の観測パケット数とユニークホスト数の推移を示します．

10 月初旬の TCP ホスト数のピークは，特定のポート番号宛てのパケットを送るホスト数が急増したことによるものでした．送信元はアメリカ，中国，日本など世界中の IP アドレスでしたが，1 IP アドレスあたりの送信パケット数は少なく，観測されたのも数時間のみでした．

UDP ホスト数のピークは主にアメリカの IP アドレスの増加によるものでした．宛て先ポート番号は 1900/UDP，123/UDP，5353/UDP，5060/UDP など多数確認されましたが，1 IP アドレスあたりの送信パケット数は少なく，観測された期間はそれぞれ短時間に集中していました．

10 月中旬には，日米共同統合演習をめぐり，親ロシアのハクティビストグループによる日本への DDoS 攻撃が行われたとの報道があり⁶，NICTER でもこれに関連していたと考えられる SYN-ACK パケット（バックスキャッタ）や DRDoS 攻撃を一部観測しました．

11 月初旬の TCP/UDP パケット数の減少は，観測システムの一部センサのメンテナンスによるものです．

IoT マルウェアの攻撃ホスト数の推移

10 月初旬頃から RapperBot ⁷ と呼ばれる IoT ボットの感染活動が活発に確認されました．NICTER ダークネットでは期間中，以下のポートセットをはじめとする複数種類の Mirai⁸ の特徴を持ったスキャン（mirai と表記），および，Mirai の特徴を持たないスキャン（no-mirai と表記）を観測しました．

• mirai {23 26 254 523 1023 … 60023}（全て TCP）（10 月）
• no-mirai {23 67 70 79 80 … 15000}（全て TCP）（12 月）

分析の結果，期間中最も多い時には世界全体で 5,000 台規模の主に DVR 製品が感染し，ボットが形成されていたことが確認されました．

また，国内では，IoT マルウェアに感染した LTE ルータが 1,000 台以上確認されました．

• no-mirai {80 81 82 8080}　（10月22日～）：　I-O DATA製LTEルータ「UD-LT1」 ⁹

NICTER では該当機器について脆弱性をベンダに報告し，現在は脆弱性アドバイザリとともに修正版ファームウェアが公開されてい ます¹⁰．

これらの事象の詳細については，NICTER観測レポート2024をご参照ください．

以下，その他の IoT マルウェアに感染してスキャンを行うホストについて，Mirai（亜種によるものを含む）に関連するホストと telnet サービスを狙ったスキャンを行うホストのそれぞれについて，攻撃ホスト数の推移を世界と日本の傾向に分けて説明します．

Mirai の攻撃ホスト数の推移（世界）

Mirai（亜種によるものを含む）に関連する観測パケット数が多かった上位 10 位とその他の国について，攻撃ホスト数と Mirai の観測パケット数の日ごとの推移を図 2 に示します．

Mirai に関連する攻撃ホスト数は 1 日あたり約 2 万 7 千ホストから 8 万 6 千ホスト程度で推移し，前四半期から減少しました．ホスト数が最も多く観測されたのは，インド，および，中国でした．12 月 13 日頃からは台湾のホスト数の増加が観測され，最大で 1 日に約 6,000 ホスト（2,300 ホスト/時）以上確認されました（IP アドレス変動による見かけ上の増加を含む）．送信元では DEEPLET 社製の DVR/NVR 機器が多数確認され，スキャンポートセットの特徴から，前述の RapperBot に感染していたと考えられます．

前四半期までと同様に，IP アドレス変動の影響と思われるエジプト（図 2 では others に含まれる）のホスト数急増も観測されました（10 月初旬，中旬，および，12 月初旬）．11 月初旬頃からはパキスタン（図 2 では others に含まれる）のホストの Mirai 感染の増加が観測され，最も多かった 11 月 12 日には約 3,600 ホスト/日（1,700 ホスト/時）観測されましたが，こちらも IP アドレス変動の影響で見かけ上多く観測されていたと推測されます．パキスタンの送信元の多くで PTCL 社のロゴの入ったホームゲートウェイ製品のログイン画面が確認されました．

Mirai に関連するパケット数は 1 日あたり 3,700 万から 2 億 5,000 万パケット程度で推移しました．期間中，中国からのパケットを最も多く観測し，12 月中旬頃からは台湾からのパケット数の大きな増加が観測されました．

Telnet サービスを狙った攻撃ホスト数の推移（世界）

図 3 には telnet サービス（23/TCP，2323/TCP）を狙ったスキャンを行うホストについて，スキャンの宛て先ポート番号の組み合わせ（ポートセット），および，スキャンパケットに Mirai の特徴があるか否かによって分類し，日毎のホスト数の推移を示します．

no-mirai {23} は前四半期まで減少傾向にありましたが，今四半期は 1 日あたり 2 万 3 千～ 8 万ホスト程度観測され，増加に転じました．no-mirai {23} が増加するにつれて，mirai {23} のホスト数は約 5 万ホストから 3,000 ホストまで減少しました．

Mirai の攻撃ホスト数の推移（日本）

図 4 に，日本の Mirai に関連する送信元ホスト数と観測パケット数のグラフを示します．

国内のMirai に関連する攻撃ホスト数は，1 日あたり約 300 ホストから 2,000 ホスト程度で推移しました．10月上旬，11月初旬/中旬/下旬，および， 12 月上旬のホスト数の急増のピークは IP アドレス変動によるもので，いくつかのインターネットサービスプロバイダ（ISP）で 見かけ上のホスト数の増加が観測されました．

Telnet サービスを狙った攻撃ホスト数の推移（日本）

図 5 には日本の telnet サービス（23/TCP，2323/TCP）を狙ったスキャンを行うホストについて，日毎のホスト数の推移を示します．

国内の no-mirai {23} 攻撃ホスト数は約 400ホスト程度で推移していましたが，11 月中旬頃から増加し，最大で 1,550 ホスト/日観測されました．mirai {23} のホスト数は約 200 ホストから 1,900 ホスト程度で推移し，図 3 に示した世界の傾向とは異なり，no-mirai {23} ホストの増加と共に mirai {23} のホスト数も増加しました．

調査スキャナについて

表 2 に調査スキャナ¹¹についての統計値を示します．

今四半期，表 2 の a に示した 帰属が明らかなスキャン組織は 59 確認され，それらの組織に属する IP アドレスは 9,004 確認されました¹²．今四半期に新たに確認されたスキャン組織は以下の 3 組織です．

・Common Crawl¹³（Webクロールデータの公開）

・Politecnico di Milano¹⁴（ミラノ工科大学の暗号研究者によるX.509証明書に関する調査）

・NOKIA（Deepfield）¹⁵（DDoS 検知サービス）

調査スキャナによる総スキャンパケット数は約 913 億で，総観測パケット数の約 53.5 % を占めました．前四半期の 52.6 % からやや増加し，全観測パケット数の半分以上を調査スキャナのスキャンパケットが占めている状況が続いています．表 2 の b に示した組織が判明していない IP アドレス数は減少傾向にあります．

図 6 に総観測パケットから調査目的のパケットを除いたパケット（wo_scanner），組織が判明した調査スキャナによる調査目的のスキャンパケット（known_scanner），組織が判明していない調査目的のスキャンパケット（unknown_scanner）について，日毎のパケット数の推移を示した積み上げグラフを示します．総観測パケットから調査目的のスキャンパケットを除いたパケット数（図 6 に青色で示した面，wo_scanner）がマルウェアや DDoS 攻撃の跳ね返り等によって送られたパケット数の実態値で，概ね 1 日 6.7 億から 10.9 億パケット程度で推移しました（11月初旬の観測システムの一部センサのメンテナンスによるTCP/UDP パケット数の減少を除く）．

パケット数が 1 週間の周期で増減しているのは，アメリカの IP アドレスからの周期的なパケット数の増減によるものでした．

known_scanner で最も多くのパケットを送信していた組織は，Palo Alto Networks (Cortex-Xpanse)¹⁶で，977 の IP アドレスから，約 129 億パケット観測しました．続いて，前四半期まで 1 位だった Censys¹⁷（673 IP アドレス，約 127 億パケット），Stretchoid¹⁸ （1,130 IP アドレス，約 50 億パケット）の順に多く観測しました．known_scanner のリストは github¹⁹ で公開していますので，詳しくはそちらをご参照ください．

宛先ポート別パケット数

図 7 に 3 ヶ月間で観測されたすべてのパケット（TCP，および，UDP）を宛先ポート番号別に集計して，観測パケット数が多かった上位 19 位とその他の割合を示します．

以下，調査目的のスキャンパケットを除いたグラフ（2）について説明します．

調査目的のスキャンパケットを除くと，23/TCP（telnet）宛てのパケットが昨年から継続して最も多く観測され，調査目的のスキャンパケットを除いた総観測パケット数の約 15.2% を占めましたが，年間の推移で見ると減少傾向にあります（2024年第 1 四半期 19.8%，第 2 四半期 20.3%，第 3 四半期 17.7%）．しかしながら，IoT マルウェアの攻撃ホスト数の推移で説明した通り，23/TCP 宛てにスキャンをする IoT ボットの活動は依然として活発でした．

8728/TCP（MikroTik RouterOS WinBox API）は複数のクラウドホスティングサーバの IP アドレス群からの集中的なスキャンを観測し，前四半期と同じく 2 番目に多く観測されました．

7 番目に多く観測されたのは 34567/TCP （Xiongmai DVR API）で，10 月初旬以降，複数の海外の IP アドレスからの大規模なスキャンを観測しました．また，ハニーポットでは，それらの IP アドレスから Xiongmai 製 DVR の脆弱性 (CVE-2024-3765²⁰) を悪用した攻撃が観測されました．

国別パケット数

図 8 に 3 ヶ月間で観測されたすべてのパケットを送信元の国別に集計して，観測パケット数が多かった上位 10 位とその割合を示します．IoT マルウェアの攻撃ホスト数の推移で説明したように台湾からの Mirai に関連するパケット数の増加により，（3）調査目的のスキャンパケットを除くグラフで台湾からのパケットが 9 番目に多く観測されました．その他は前四半期と比較して大きな変化は見られませんでした．調査目的のスキャンでは引き続きアメリカからのパケットが 50% 以上を占めました．

おわりに

本四半期も様々な IoT マルウェアに感染した IoT ボットの活動が観測されました．Mirai に関連する攻撃ホスト数は引き続き減少傾向にあります．

宛て先ポート別パケット数では Xiongmai 製 DVR を狙った 34567/TCP （Xiongmai DVR API）宛てのスキャン活動が急増し，全体で 7 番目に多く観測されました．

調査目的のスキャンパケットは総観測パケットの約 53.5 % 観測され，年間を通して調査目的のスキャンパケットが全体の半分以上を占める状況が観測されました．