日本国内では Mirai と別のマルウェアが独自ボットネット形成、2024年第1四半期 インターネット定点観測レポート | ScanNetSecurity
2024.07.27(土)

日本国内では Mirai と別のマルウェアが独自ボットネット形成、2024年第1四半期 インターネット定点観測レポート

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月2日、インターネット定点観測レポート(2024年 1~3月)を発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
2024年1~3月のポート番号宛のパケット観測数トップ5の推移
2024年1~3月のポート番号宛のパケット観測数トップ5の推移 全 4 枚 拡大写真

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月2日、インターネット定点観測レポート(2024年 1~3月)を発表した。

 JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、特定の機器・サービス機能を探索するために行われていると推測される一定のIPアドレス帯に向けて網羅的に発信されるパケットを観測しており、これらパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類し、脆弱性情報やマルウェア、攻撃ツールの情報などと対比し分析することで、攻撃活動や準備活動の捕捉に努めている。

 同レポートによると、同四半期における宛先ポート番号トップ5は、1位「23/TCP(telnet)」、2位「6379/TCP(redis)」、3位「22/TCP(ssh)」、4位「80/TCP(http)」、5位「3389/TCP(rdp)」となった。送信元地域トップ5では、1位「米国」、2位「ブルガリア」、3位「オランダ」、4位「中国」、5位「ロシア」となっている。ブルガリアは2月上旬からパケット数が増加しており、オランダも2月上旬から下旬にかけて一時的に増加している。

 Telnetに対する探索パケットの多くがMiraiに由来(Mirai型パケット)しているが、最近は、Miraiの特徴を持たないTelnetの探索パケット(非Mirai型パケット)が頻繁に観測されるようになっている。

 送信元が海外のTelnetに対する探索の推移を見たところ、Mirai型パケットと非Mirai型パケットとの間で、変化のタイミングに若干のズレはあるが1月初めに一旦減少し、その後は1月16日頃から2月の上旬にかけて増加し、3月末に向けては大きな増減が見られなくなっている。

 送信元が国内のTelnetに対する探索の推移を見たところ、1月に入った時点でMirai型パケットが非Mirai型の2倍ほど観測されていたが。2月に入ってから1週間ほど増え続けた後、2月末にかけて急減した後に少し持ち直し、その後はほぼ一定の探索が続いている。

 Mirai型パケットと非Mirai型パケットの送信元を調査すると、時期によって製品に違いがあり、ルータやDVR等のIoT製品であることが判明している。日本国内ではMiraiとは異なるマルウェアの感染活動が活発となり、独自のボットネットを新たに形成しつつあるとJPCERT/CCでは推測している。

《ScanNetSecurity》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. レッドチーム演習大成功 丸五か月間誰も気づけず

    レッドチーム演習大成功 丸五か月間誰も気づけず

  2. ベルシステム24 のベトナム子会社に不正アクセス、コールセンター受託業務での顧客情報漏えいの可能性

    ベルシステム24 のベトナム子会社に不正アクセス、コールセンター受託業務での顧客情報漏えいの可能性

  3. 東京海上日動火災保険 提携先の税理士法人にランサムウェア攻撃

    東京海上日動火災保険 提携先の税理士法人にランサムウェア攻撃

  4. 富士通の複数の業務パソコンに高度な手法で攻撃を行うマルウェア、複製指示のコマンドを実行し拡大

    富士通の複数の業務パソコンに高度な手法で攻撃を行うマルウェア、複製指示のコマンドを実行し拡大

  5. ランサムウェア集団が謝罪

    ランサムウェア集団が謝罪

ランキングをもっと見る
PageTop