日本国内では Mirai と別のマルウェアが独自ボットネット形成、2024年第1四半期 インターネット定点観測レポート | ScanNetSecurity
2024.07.04(木)

日本国内では Mirai と別のマルウェアが独自ボットネット形成、2024年第1四半期 インターネット定点観測レポート

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月2日、インターネット定点観測レポート(2024年 1~3月)を発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
2024年1~3月のポート番号宛のパケット観測数トップ5の推移
2024年1~3月のポート番号宛のパケット観測数トップ5の推移 全 4 枚 拡大写真

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月2日、インターネット定点観測レポート(2024年 1~3月)を発表した。

 JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、特定の機器・サービス機能を探索するために行われていると推測される一定のIPアドレス帯に向けて網羅的に発信されるパケットを観測しており、これらパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類し、脆弱性情報やマルウェア、攻撃ツールの情報などと対比し分析することで、攻撃活動や準備活動の捕捉に努めている。

 同レポートによると、同四半期における宛先ポート番号トップ5は、1位「23/TCP(telnet)」、2位「6379/TCP(redis)」、3位「22/TCP(ssh)」、4位「80/TCP(http)」、5位「3389/TCP(rdp)」となった。送信元地域トップ5では、1位「米国」、2位「ブルガリア」、3位「オランダ」、4位「中国」、5位「ロシア」となっている。ブルガリアは2月上旬からパケット数が増加しており、オランダも2月上旬から下旬にかけて一時的に増加している。

 Telnetに対する探索パケットの多くがMiraiに由来(Mirai型パケット)しているが、最近は、Miraiの特徴を持たないTelnetの探索パケット(非Mirai型パケット)が頻繁に観測されるようになっている。

 送信元が海外のTelnetに対する探索の推移を見たところ、Mirai型パケットと非Mirai型パケットとの間で、変化のタイミングに若干のズレはあるが1月初めに一旦減少し、その後は1月16日頃から2月の上旬にかけて増加し、3月末に向けては大きな増減が見られなくなっている。

 送信元が国内のTelnetに対する探索の推移を見たところ、1月に入った時点でMirai型パケットが非Mirai型の2倍ほど観測されていたが。2月に入ってから1週間ほど増え続けた後、2月末にかけて急減した後に少し持ち直し、その後はほぼ一定の探索が続いている。

 Mirai型パケットと非Mirai型パケットの送信元を調査すると、時期によって製品に違いがあり、ルータやDVR等のIoT製品であることが判明している。日本国内ではMiraiとは異なるマルウェアの感染活動が活発となり、独自のボットネットを新たに形成しつつあるとJPCERT/CCでは推測している。

《ScanNetSecurity》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. KADOKAWA グループへのランサムウェア攻撃「犯罪行為には厳正に対処」

    KADOKAWA グループへのランサムウェア攻撃「犯罪行為には厳正に対処」

  2. 16 桁ランダム文字列パスワード突破か 広島県のメールアドレスアカウントでスパム配信

    16 桁ランダム文字列パスワード突破か 広島県のメールアドレスアカウントでスパム配信

  3. スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題

    スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題

  4. クボタクレジットの委託先のイセトーにランサムウェア攻撃、61,424名の利用明細が漏えい

    クボタクレジットの委託先のイセトーにランサムウェア攻撃、61,424名の利用明細が漏えい

  5. 太陽工業にサイバー攻撃、情報システムの一部に被害

    太陽工業にサイバー攻撃、情報システムの一部に被害

ランキングをもっと見る
PageTop