NICTER観測統計 - 2025年4月~6月

 Posted on 2025-09-30  |  Yukiko Endo

はじめに

NICTER プロジェクトのダークネット観測網における 2025 年第 2 四半期(4月~6月)の観測結果を公開します.

今四半期の主な観測結果は以下の通りです.

・今四半期の観測パケット数は前四半期から増加

・{80 81 82 83 85}/TCP(http)宛てにスキャンを行う MountBot を観測 

・AiCloud を有効にした ASUS 製 WiFi ルータの感染拡大を観測

・75 の組織から調査スキャンを観測(新規 6 組織を含む),調査スキャンは全体の約 54.9 %

・23/TCP(telnet), 8728/TCP(MikroTik RouterOS WinBox API)宛てのスキャンパケットが多い状況が継続

以下,詳細についてデータと共に説明します.

2025年第2四半期の観測統計

総観測パケット数

表 1 に総観測パケット数の統計値を示します1

2025 年第 2 四半期の 1 IP アドレス当たりの総観測パケット数(総観測パケット数を観測 IP アドレス数で正規化した値)は 2025 年第 1 四半期と比較すると増加しました.

表1. 総観測パケット数の統計(四半期単位)

/posts/2025-07/quarterly_packets.png

日毎のパケット数とユニークホスト数の推移

図 1 に日毎の観測パケット数とユニークホスト数の推移を示します.

TCP パケット数の周期的な増減は,アメリカの IP アドレスからのパケット数が周期的に増減することによるものです.

また,5 月末の TCP ホスト数のピークは,中国,ブラジルなどの国の IP アドレスから,23/TCP 宛のパケットを送るホスト数が急増したことによるものでしたが,1 IP アドレスあたりの送信パケット数は少なく,観測されたのも短時間でした.

6 月中旬頃の TCP SYN-ACK パケット数の増加は,クラウドの 1 つの IP アドレスからのパケットが継続して観測されたことによるものでした.

5 月中旬頃の UDP パケット数のピークは 海外の 1 つのホスティングサーバから UDP のほぼ全ポート宛てのパケットを観測したことによるものでした,

4 月頭,5 月頭,6 月頭の UDP ホスト数のピークは 53/UDP(dns)宛てで,前四半期でも観測された「不適切に構成されたオープンリゾルバ」を探索する調査がおこなわれていたと考えられます.

/posts/2025-07/daily_stats.png

図1. 2025 年第 2 四半期の観測パケット数,ユニークホスト数の日毎の推移

IoT ボット数の推移

前四半期に活動が活発だった RapperBot 6は 4 月以降も新しい検体が確認されましたが,スキャンを行わないタイプのみでした(RapperBot C~I の詳細は過去の NICTER Blog をご参照ください).スキャンを行うタイプの RapperBot では主に RapperBot E と RapperBot I が観測され,4 月上旬に 4 千程度観測されて以降,徐々に減少し,6 月頃までにはほぼ収束しました(図 2).米国司法省によると、2025 年 8 月 6 日に RapperBot 管理者の捜索令状が執行され、RapperBot の攻撃機能は法執行機関の管理下に置かれたとのことです7.NICTER で実施している C2 サーバからのコマンド監視でも,8 月 7 日以降、RapperBot のDoS攻撃命令は観測されなくなっています.

RapperBot E:mirai {23, 26, 254, 523, 1023}/TCP 等計 31 ポート + ランダムな 1 ポート8

RapperBot I:no-mirai {23, 67, 70, 79, 80, 90, 2000, 6700}/TCP 等計 36 ポート9

/posts/2025-07/rapperbot.png

図2. RapperBot C~I のボット数の日毎の推移(世界)

4 月の 20 日頃からは,以下のポートセット宛てにスキャンを行うボットの活動が活発になり,最大で 1 日に 2 万 4 千程度観測されました(図 3).送信元の国はベネズエラ,インド,ロシア,イラン,トルコ,モーリシャス,アメリカ,中国,台湾など世界中の国です.送信元では前四半期にも観測されていた AiCloud を有効にした ASUS 製 WiFi ルータが多数確認されました.この感染活動は別の NICTER Blog10で紹介した MountBot(偵察タイプのスキャナータイプ)によるものだったと推測されます.

no-mirai {23 80 81 82 83 85}/TCP

no-mirai {80 81 82 83 85}/TCP

mirai {80 81 82 83 85}/TCP

/posts/2025-07/mountbot.png

図3. MountBot のボット数の日毎の推移(世界)

以下,IoT ボットについて,Mirai(亜種によるものを含む)11に関連するボットと telnet サービスを狙ったスキャンを行うボットのそれぞれについて,ボット数の推移を世界と日本の傾向に分けて説明します.

Mirai ボットの推移(世界)

Mirai(亜種によるものを含む)に関連する観測パケット数が多かった上位 10 位とその他の国について,Mirai のボット数と観測パケット数の日ごとの推移を図 4 に示します.

/posts/2025-07/mirai_stats.png

図4. Mirai のボット数と観測パケット数の推移(全体,積み上げ)

Mirai に関連するボット数は 1 日あたり約 2 万 6 千から 5 万 5 千程度で推移し,5 月は減少傾向,6 月は増加傾向が見られました.ボットが最も多く観測されたのは,インド,中国,および,ブラジルでした.5 月末頃から,インドのボット数の増加が観測されました.

Mirai に関連するパケット数は 1 日あたり 3,400 万から 2 億 6,500 万パケット程度で推移しました.期間中,中国からのパケットを最も多く観測し,続いて,インド,アメリカ,韓国,香港からのパケットが多く観測されました.4 月上旬のパケット数のピークは,香港,アメリカ,台湾などの複数の国で観測パケット数が増加したことによるものでした.5 月末頃からはインドのボット数の増加に伴ってパケット数のピークが観測されました.

Telnet サービスを狙ったボット数の推移(世界)

図 5 には telnet サービス(23/TCP,2323/TCP)を狙ったスキャンを行うボットについて,スキャンの宛て先ポート番号の組み合わせ(ポートセット),および,スキャンパケットに Mirai の特徴があるか否かによって分類し,日毎のボット数の推移を示します.

no-mirai {23} のボット数が多い傾向は続き,今四半期は 1 日あたり 3 万~ 7 万千程度観測されました.5 月下旬頃からは,no-mirai {23} とmirai {23} のボット数の両方が増加し,6 月下旬には 8 万 6 千程度観測されました.

mirai {23 26} のボット数が 5 月 14 日頃に急増し,日本,インド,ブルガリア,タイなどで約 850 程度観測されました.ブルガリアの送信元では TP-LINK 製の WiFi ルータが多数動作しており,どれも特定のハイポートでバックドアが開けられた状態になっていることが確認されました(図 6 a).また,タイの送信元では 3BB 社のロゴの入ったブロードバンドルータが多数動作しており,26/TCP が開いていることが確認されました(図 6 b).

/posts/2025-07/mirai_no-mirai.png

図5. Telnet サービスを狙ったボット数の推移(全体,積み上げ)

/posts/2025-07/TPLink_3BB.png

図6. mirai {23 26} 送信元で確認されたルータ製品のログイン画面

Mirai ボットの推移(日本)

図 7 に,日本の Mirai に関連するボット数と観測パケット数のグラフを示します.

/posts/2025-07/mirai_jp_stats.png

図7. Mirai のボット数と観測パケット数の日毎の推移(日本)

国内の Mirai に関連するボット数は,1 日あたり約 320 から 1,250 程度で推移しました.度々見られるホスト数のピークは IP アドレス変動による,見かけ上の増加がほとんどでしたが,5 月 14 日頃には,{23 26} 宛てのスキャンを行うボットの増加が観測されました.この事象の詳細は次のセクションで説明します.

Telnet サービスを狙ったボット数の推移(日本)

図 8 には日本の telnet サービス(23/TCP,2323/TCP)を狙ったスキャンを行うボットについて,日毎のボット数の推移を示します.

/posts/2025-07/mirai_no-mirai_jp.png

図8. Telnet サービスを狙ったボット数の推移(日本,積み上げ)

国内の mirai{23} のボット数は,6 月中旬頃から増加し,600~900 程度で推移しました.また,no-mirai {23} のボット数は約 380 ~ 12,700 程度で推移しました.5 月中旬頃からは D-Link 社製の機器(型番は不明)が 100 台以上新たに確認され,5 月下旬の急増では ITX 社製の DVR の増加が確認されました.最大で 1 日に約 12,700 観測されましたが,NICTER のリアルタイム分析によると新規に確認された ITX 社製の DVR は 600 台程度のみで,IP アドレス変動により見かけ上多く観測されたと考えられます.

Mirai ボットのセクションで説明した通り,mirai {23 26} のボット数が 5 月 14 日頃に急増し,約 440 程度観測されました.送信元では,これまでも NICTER で報告してきているサン電子製 LTE 対応ルータ(Roosterシリーズ)12 13が 250 台以上確認されました.この機器は設置者が意図的に管理画面をインターネットへ公開し,かつ初期パスワードを変更をしていないことで侵害されることが分かっていますので,利用者の方は初期パスワードを変更し,管理画面のインターネットへの公開が必須でない場合には非公開にするといった対策を行ってください.

調査スキャナについて

表 2 に調査スキャナ14についての統計値を示します.

今四半期,表 2 の a に示した 帰属が明らかなスキャン組織は 75 確認され,それらの組織に属する IP アドレスは 11,205 確認されました15.今四半期に新たに確認されたスキャン組織は以下の 6 組織です.世界中で,インターネット空間に繋がった機器についての調査・研究や脅威情報・ASM・IPジオロケーションなどのサービス提供が盛んになってきています.

今四半期に新たに確認された組織のように調査スキャン倫理に則って調査元の IP アドレスから調査組織や調査目的の特定ができるような運用がなされていると,SOC オペレータや NICTER のようなデータ観測を行っている受信者が,悪意のない調査スキャンをアラートから取り除くことができます.

・CYPEX 16(脅威情報サービス,イスラエル)

・Cyber OK 17(ASM サービス,ロシア)

・CyberCube 18(保険業界向けサイバーリスク分析サービス,アメリカ)

・Louisiana State University 19(調査および研究,アメリカ)

・University of California, Santa Barbara (SecLab) 20(調査および研究,アメリカ)

・BigDataCloud.com 21(IP アドレスのジオロケーションサービス,オーストラリア)

調査スキャナによる総スキャンパケット数は約 952 億で,総観測パケット数の約 54.9 % を占め,前四半期の 48.7 % から増加しました.表 2 の a に示した組織が判明した調査スキャナの IP アドレス数は 1 万千を超え,b に示した組織が判明していない IP アドレス数も増加しました.

表2. 調査スキャナの IP アドレス数とスキャンパケット数

/posts/2025-07/scanner_packet_ratio.png

図 9 に総観測パケットから調査目的のパケットを除いたパケット(wo_scanner),組織が判明した調査スキャナによる調査目的のスキャンパケット(known_scanner),組織が判明していない調査目的のスキャンパケット(unknown_scanner)について,日毎のパケット数の推移を示した積み上げグラフを示します.総観測パケットから調査目的のスキャンパケットを除いたパケット数(図 6 に青色で示した面,wo_scanner)がマルウェアや DDoS 攻撃の跳ね返り等によって送られたパケット数の実態値で,概ね 1 日 5 億 8 千から 11.7 億パケット程度で推移しました.

パケット数が 1 週間の周期で増減しているのは,昨年から続いているアメリカの IP アドレスからの周期的なパケット数の増減によるものでした.

known_scanner で最も多くのパケットを送信していた組織は,Censys22で,800 の IP アドレスから,約 130 億パケット観測しました.続いて,Palo Alto Networks (Cortex-Xpanse)23(983 IP アドレス,約 128 億パケット),Stretchoid24 (2010 IP アドレス,約 65 億パケット)の順に多く観測しました.known_scanner のリストは github25 で公開していますので,詳しくはそちらをご参照ください.

/posts/2025-07/scanner_packet_graph.png

図9. 調査スキャナによるパケット数の日毎の推移(積み上げグラフ)

宛先ポート別パケット数

図 10 に 3 ヶ月間で観測されたすべてのパケット(TCP,および,UDP)を宛先ポート番号別に集計して,観測パケット数が多かった上位 19 位とその他の割合を示します.

以下,調査目的のスキャンパケットを除いたグラフ(2)について説明します.

調査目的のスキャンパケットを除くと,23/TCP(telnet)宛てのパケットが昨年から継続して最も多く観測され,調査目的のスキャンパケットを除いた総観測パケット数の約 15.7% を占め,前四半期(2025 年 第 1 四半期)の 19.1% から減少しました.2 番目に多く観測されたのは,前四半期までと同様に 8728/TCP(MikroTik RouterOS WinBox API)で複数のクラウドホスティングサーバの IP アドレス群からの集中的なスキャンを観測しました.

80/TCP(3 番目),81/TCP(5 番目),82/TCP(11 番目),83/TCP(12 番目),85/TCP(15 番目)は,IoT ボット数の推移で説明した通り,{80 81 82 83 85} /TCP 宛てにスキャンをする Mount ボットの活動が活発だったことで,多くのパケットが観測されました.

/posts/2025-07/port_rank_packets.png

図10. 宛先ポート番号別の受信パケット数の割合(上位 19 ポート)

国別パケット数

図 11 に 3 ヶ月間で観測されたすべてのパケットを送信元の国別に集計して,観測パケット数が多かった上位 10 位とその割合を示します.IoT ボット数の推移で説明したように,インドからの Mirai に関連するパケットが多く観測され,(3)調査目的のスキャンパケットを除くグラフでインドからのパケットが 9 番目に多く観測されました.また,今期はカナダからのパケット数の増加が見られ,(2)調査目的のスキャンで 3 番目に多く,(3)調査目的のスキャンパケットを除くグラフでは,3 月下旬頃から期間中継続して特定の IP アドレスから 8728/TCP 宛ての集中的なスキャンを観測したことで 7 番目に多く観測されました.

その他は前四半期と比較して大きな変化は見られませんでした.調査目的のスキャンでは引き続きアメリカからのパケットが多く観測され,約 54 % を占めました.

/posts/2025-07/country_rank.png

図11. 送信元の国別の受信パケット数の割合(上位 10 ヶ国)

おわりに

本四半期も RapperBot,MountBot をはじめとする様々な IoT マルウェアに感染した機器が IoT ボットとなり,世界中にスキャンを行っている状況が観測されました.

宛て先ポート別パケット数では,引き続き 23/TCP(telnet), 8728/TCP(MikroTik RouterOS WinBox API)宛ての IoT 機器を狙ったスキャンが多く観測されましたが,MountBot の感染活動が活発になったことで http サービスのポート(80/TCP,81/TCP,82/TCP,83/TCP,85/TCP)宛てのスキャンが前四半期までと比較すると大きく増加しました.

調査目的のスキャンパケットは総観測パケットの約 54.9 % で,前四半期から増加しました.組織が判明した調査スキャナによる調査目的のスキャンパケット(known_scanner)は 75 の組織から観測され,インターネットに接続されている機器への調査スキャンが引き続き活発な様子が確認されました.

  1. 総観測パケット数は NICTER で観測しているダークネットの範囲に届いたパケットの個数を示すものであり,日本全体や政府機関に対する攻撃件数ではない.なお数値はブログ作成時点のデータベースの値に基づくが,集計後にデータベースの再構築等が行われ数値が増減することがある ↩︎

  2. 目的が明らかなスキャン組織の判定基準:ある調査機関・大学・組織で調査や研究を目的としたスキャンを行っていることが Web サイトなどから明らかで,スキャン元の IP アドレスが公開されているか,PTR レコードなどで帰属が確認できた場合に,この IP アドレスを調査スキャナと判定する ↩︎ ↩︎

  3. NICTER の大規模スキャナの判定基準:ある1日における1つの IP アドレスからのパケット(TCP SYN と UDP のみ)について,宛先ポート番号のユニーク数が 30 以上,総パケット数が 30 万パケット以上の場合に,この IP アドレスを大規模スキャナと判定する ↩︎ ↩︎

  4. SANS Internet Storm Center, DShield API:/api/threatcategory/research ↩︎

  5. GreyNoise, 2022-05-10, A week in the life of a GreyNoise Sensor: The benign view ↩︎

  6. FortiGuard Labs Threat Research, 2022-08-03, So RapperBot, What Ya Bruting For? ↩︎

  7. U.S. Attorney’s Office, District of Alaska,2025-8-19, Oregon man charged with administering “Rapper Bot” DDoS-for-hire Botnet ↩︎

  8. RapperBot E’(2月中旬頃に確認された検体)SHA256:ae3d740fc5a9fac12d1ef7c9204a0e25574d095a803baa988e093b8f577fb3bc ↩︎

  9. RapperBot I SHA256:d822048a8eb925046edc4e5e72c41d82c56093dd87bb22f49685326d85986769 ↩︎

  10. NICTER解析チーム,2025-8-19, プロセスを隠蔽するMountBotの出現 ↩︎

  11. TCP ヘッダのシーケンス番号と宛先 IP アドレスが同じで,送信元ポート番号が 1024 よりも大きいという特徴を持った TCP SYN パケットを送信しているホストを Mirai に関連したボットとみなす.ただし,この特徴を持たない TCP SYN パケットを送信する Mirai 亜種も観測されている.文中では,Mirai の特徴を持ったスキャンパケットを mirai {宛て先ポート番号の組み合わせ} ,Mirai の特徴を持たないスキャンパケットを no-mirai {宛て先ポート番号の組み合わせ} と表記している ↩︎

  12. NICTER解析チーム,2023-10-31, NICTER観測統計 - 2023年7月~9月 ↩︎

  13. NICTER解析チーム,2024-02-13, NICTER観測レポート2023 ↩︎

  14. 帰属や目的が明らかなスキャン組織2の IP アドレス,および,NICTER の大規模スキャナの判定基準3を満たした IP アドレスを調査スキャナと判定する.帰属や目的が明らかなスキャン組織と,調査を行っていることは明らかである一方で帰属は分からないグレーな調査スキャン組織を分けて分析していくために,2023 年からは,帰属や目的が明らかなスキャン組織2を判定した後に,NICTER 大規模調査スキャナの判定3を行っている ↩︎

  15. これらの IP アドレスは SANS Internet Storm Center4 や GreyNoise5 で調査スキャナと判定されている IP アドレスを参考に,我々の調査によって組織への帰属が確認できた IP アドレス, NICTER 観測データの調査・分析の過程で判明した調査組織の IP アドレスから構成されている.SANS Internet Storm Center や GreyNoise で調査スキャナと判定されている IP アドレスは必ずしも最新の情報とは限らず,既に IP アドレスが変わっているものや,判定の理由が明らかではないものが相当数含まれていることに注意が必要である ↩︎

  16. CYPEX ↩︎

  17. Cyber OK,Abuse (responsible scanning) Policy ↩︎

  18. CyberCube Scanning ↩︎

  19. Louisiana State University,Academic Research Notice ↩︎

  20. SecLab,Abuse Information and Usage Notice ↩︎

  21. BigDataCloud.com ↩︎

  22. https://censys.io/ ↩︎

  23. https://www.paloaltonetworks.com/cortex/cortex-xpanse ↩︎

  24. https://stretchoid.com/ ↩︎

  25. Cybersecurity Laboratory of NICT, 2025-02-13, Survey Scanner List ↩︎

annual-report  scanner  iot-botnet  mirai