JPCERT/CCが運用するインターネット定点観測システム「TSUBAME」の2026年1〜3月レポートが公開されました(メインレポートは2026年5月15日、補足ブログ「Overflow」は同年6月2日)。インターネット側から「いま何が、どのポートを狙ってスキャンされているか」を俯瞰できる、攻撃面(アタックサーフェス)点検のための一次情報です。本記事では実務者の視点で要点だけを抜き出して読み解きます。
結論から言えば、最も多く探索されているのは依然としてTelnet(23/TCP)で、これはIoT機器を狙うボットネットの常套手段です。加えてHTTPS(443/TCP)やSSH(22/TCP)への探索が上昇しており、外部に開けているポートの棚卸しが改めて重要になっています。
この記事でわかること
- 定点観測(TSUBAME)レポートとは何か、なぜ情シスが見る価値があるのか
- 2026年1〜3月に「狙われたポート」と送信元地域の傾向(具体的な順位)
- Mirai系の比率低下と、新種ボットネット台頭という構図の変化
- 国内と海外で異なる「狙われ方」、そして自社の攻撃面の点検ポイント
そもそも「定点観測(TSUBAME)」とは何か
定点観測とは、インターネット上にセンサー(観測用の機器)を多数設置し、そこに届くパケットを集めて「誰が・どのポートを・どれくらい狙っているか」を継続的に分析する仕組みです。JPCERT/CCはこのTSUBAMEを国内外に展開し、宛先ポート番号や送信元地域ごとに集計し、脆弱性情報やマルウェア・攻撃ツールの情報と突き合わせて、攻撃やその準備活動の兆候をとらえています。
実務的には、自社のログだけでは見えにくい「インターネット全体で何が流行っているか」の地図として使えます。新しい脆弱性が出たあとにそのポートへのスキャンが急増する、といった動きを早期につかむ材料になります。
2026年1〜3月、何が狙われたのか
レポートによると、宛先ポート番号(よく探索されたサービス)の上位は次のとおりです。
| 順位 | ポート | 主なサービス | 前四半期からの動き |
|---|---|---|---|
| 1 | 23/TCP | Telnet | 1位を維持 |
| 2 | 443/TCP | HTTPS | 3位 → 上昇 |
| 3 | 22/TCP | SSH | 4位 → 上昇 |
| 4 | 80/TCP | HTTP | 2位 → 低下 |
| 5 | 8080/TCP | HTTP代替(プロキシ等) | 5位を維持 |
なぜTelnet(23/TCP)が狙われ続けるのか
暗号化されない古い遠隔ログイン方式で、安価なネットワークカメラ・ルータ・録画機(DVR/NAS)などに残りがちだからです。初期パスワードのまま外部公開された機器が、ボットネットに次々と取り込まれてきました。443/TCPや22/TCPの上昇は、Web管理画面やSSHを入口にしようとする探索が増えていることを示唆します。
送信元地域の上位は、トップが米国、続いてオランダ・ブルガリア・ドイツ・中国でした。これらは攻撃者の所在地そのものではなく、踏み台にされたサーバやクラウドの所在地である点に注意が必要です。「この国=悪」と短絡せず、あくまで観測上の傾向として受け止めるべきです。
変化の本質:Mirai系の比率低下と新種ボットネット
補足ブログ「Overflow」では、2025年度を振り返って興味深い変化が報告されています。Miraiの特徴を持つパケットの比率が、2025年初の約7割から年度末には3割程度まで低下したというのです。代わりに2025年6月以降、海外ベンダー製の監視カメラ・DVR・NAS、さらに国内ベンダー製のブロードバンドルータまでを狙う、Miraiとは異なる新種のボットネット活動が増えています。
つまり「Miraiが下火になった=安心」ではなく、狙う相手(機器)と手口が多様化していると読むのが正確です。家庭用・小規模オフィス向けのネットワーク機器が、引き続き格好の標的であることに変わりはありません。関連して、オフィスに紛れ込むIoT機器のリスクはTP-Link Tapo脆弱性とオフィスIoT初期設定の落とし穴でも触れています。
国内と海外で「狙われ方」は違う
センサーの設置地域によって観測されるポートの傾向が異なる点も実務者には示唆的です。レポートでは次のような違いが挙げられています。
- 国内センサー:23/TCP(Telnet)が優位で1位。
- 北米センサー:443/TCP(HTTPS)が上位に。
- 欧州センサー:23/TCPが主流。一部地域ではICMPが23/TCPを上回るケースも。
- 共通してよく観測されたポート:22/TCP、80/TCP、8080/TCP、3389/TCP(RDP)、8728/TCP(一部ルータの管理用)。
3389/TCP(リモートデスクトップ)が共通して観測されている点は、テレワークや遠隔保守で外部に開けたRDPが今も狙われ続けていることを裏づけます。8728/TCPのような特定ベンダーのルータ管理ポートも対象になっており、ネットワーク機器そのものが攻撃の入口として常に意識されています。
イラン発トラフィックの急減という観測(参考)
今四半期のレポートでは、イランからのTCP SYNパケットの送信元ホスト数に大きな変動が見られた、と報告されています。具体的には、1月初旬の通信制限と連動した減少、その後の不完全な回復、2月下旬以降の再急減(約10ホスト前後の極めて低い水準)という推移です。
レポートはこれを当該地域の情勢と「相関が見られた」と記述するにとどめており、本記事でも因果を断定はしません。ただ、地政学的な出来事がインターネット観測のトラフィックに表れること自体は、攻撃の波及や踏み台分布の変化を読むうえで頭の片隅に置いておきたい論点です。
情シスはこの観測結果をどう活かすか
定点観測の数字は「他人事の統計」ではなく、自社の攻撃面を点検するチェックの起点として使えます。レポート自身も、機器は最新ファームウェアを使い適切に設定したうえで、設置後にポートスキャンを実施し、SHODAN等で不要なポートが外部からアクセス可能になっていないかを確認するよう促しています。
現場目線で言えば、悩ましいのは「把握しきれない機器」の存在です。情シスが正規に導入したサーバやVPN装置は管理できても、各部署が独自に置いた監視カメラ、複合機、ルータ、検証用に立てたまま放置されたサーバまでは目が届きにくいのが実情です。23/TCPや3389/TCPが狙われ続ける背景には、こうした「誰も管理していない外向きの口」が必ず残っているという構造的な問題があります。まずは外部公開資産の棚卸し(アタックサーフェス管理)から始めるのが現実的です。
具体的な対策チェックリストを自前で長々と作るより、公的機関の指針を起点にするのが確実です。中小規模であればIPA「中小企業の情報セキュリティ対策ガイドライン」が、機器・ネットワークの基本対策を体系的に押さえています。あわせて、現場担当者や各部署への地道な啓発にはIPA「対策のしおり」が使いやすいでしょう。「私物の機器を勝手にネットワークに繋がない」という基本の周知だけでも、上記のリスクはかなり減らせます。
なお、ボットネットに取り込まれた機器が向かう先のひとつがDDoS攻撃です。観測される事象と自社で起きる事象のつながりは、DDoS攻撃と「アクセス集中」の見分け方もあわせて読むと整理しやすくなります。攻撃の自動化・高度化という大きな流れはAIによる自律サイバー攻撃はどこまで可能かも参考にしてください。
まとめ
- 狙われるポートの首位はTelnet(23/TCP)で不変。HTTPS・SSHへの探索が上昇しており、外部公開ポートの棚卸しが急務。
- Mirai系の比率は低下したが安心材料ではない。カメラ・NAS・ルータを狙う新種ボットネットへと標的と手口が多様化している。
- 定点観測は自社の攻撃面点検の起点に使える。不要ポートの外部公開を点検し、対策はIPA等の公的指針を起点に進めるのが堅実。
出典
- JPCERT/CC「インターネット定点観測レポート(2026年1〜3月)」(2026年5月15日):https://www.jpcert.or.jp/tsubame/report/report202601-03.html
- JPCERT/CC Eyes「TSUBAMEレポート Overflow(2026年1〜3月)」(2026年6月2日):https://blogs.jpcert.or.jp/ja/2026/06/tsubame-overflow20260103.html
- TSUBAME(インターネット定点観測システム):https://www.jpcert.or.jp/tsubame/
- IPA「中小企業の情報セキュリティ対策ガイドライン」:https://www.ipa.go.jp/security/guide/sme/index.html
