NICTER観測レポート2025年度版で見る最新攻撃トレンド

はじめに

サイバー攻撃への対策を考えた時に、まず注目されるのは、これまで知られていなかった新しい攻撃手法や脆弱性です。

しかし、実際の運用の現場を見てみると、攻撃手法そのものよりも、日々どのような運用体制を取っているかが重要になるケースが多く見られます。例えば、悪意のあるスキャンやDDoS攻撃は日常的に行われていますが、これらは単発のインシデントとして切り分けにくく、資産の公開範囲や設定情報といった運用体制次第で、インシデントによる業務への影響の大きさが大きく変わります。こうした状況を俯瞰する際に活用できるのが、2026年2月4日に公開されたNICTER観測レポート2025です。

ダークネット観測やハニーポットを通じて、インターネット上で実際にどのような活動が行われているのかを継続的に捉えており、2025年版でも探索活動の傾向、IoTボットの動き、DRDoS(Distributed Reflection Denial of Service)攻撃の状況が整理されています。

本ブログでは、最新のNICTER観測レポートを基に、組織がどのようなセキュリティ対策を行うべきか整理します。

NICTER観測レポート2025の主なポイント3点

ポイント1：ダークネット観測

2025年のダークネット観測では、1IPアドレスあたり年間約250万パケットが観測され、過去最多を更新しました。そのうち、およそ55％は調査・スキャンとみられる通信でした。

出典：NICT「NICTER観測レポート2025」を基にNVCで作成
 https://csl.nict.go.jp/report/NICTER_report_2025.pdf (参照2026年2月6日) 

 出典：NICT「NICTER観測レポート2025」
https://csl.nict.go.jp/report/NICTER_report_2025.pdf (参照2026年2月6日)

観測された通信の内訳を見ると、かつて探索の対象として多く見られた 23/TCP（Telnet）宛の通信は減少傾向にあります。
調査対象のポートは、特定の番号に集中するのではなく、複数のポートに分散しています。

こうした傾向から、攻撃者は特定のサービスや機器に絞ることなく、さまざまなポートを通じて稼働しているサービスや設定の状態を幅広く確認しており、従来はあまり意識されてこなかったサービスやポートも含め、探索の対象が広がっている状況がうかがえます。

つまり、特定のポートや機器だけを守ればよいというわけではなく、インターネットに公開している資産を正しく把握し、不要なポートやサービスが外部に露出していないかを継続的に確認していくことが重要になります。

ポイント2：IoT機器の脆弱性を狙った攻撃の変化

LinuxベースのIoT機器を狙うマルウェアとして有名なMirai系のボットは、現在も引き続き観測されています。一方で、NICTER観測レポートでは、Mirai系以外の IoTボットの活動も継続的に確認されています。

例えば、デジタルビデオレコーダーなどのIoT機器を感染させ、DDoS攻撃に利用されていたRapperBotは、2024年から活動が観測されていましたが、2025年8月を最後にC2サーバとの通信が確認されなくなっています。

その後、新たに確認されたのがMountBotと呼ばれるIoTボットです。MountBotは、特定の機器やポートに依存せず、探索対象や方法を切り替えながら活動している点が特徴です。

このように、現代のIoT機器は一時的な踏み台ではなく、攻撃インフラの一部として利用されている状況が示されています。

 ポイント3：DRDoS攻撃の現状

DRDoS（Distributed Reflection Denial of Service）攻撃とは、第三者のサーバを踏み台にして大量の通信を送りつけるDDoS攻撃の一種です。レポートでは年間で8,000万件を超える攻撃が確認されており、特に絨毯爆撃型の攻撃が目立つと示されていました。

1件あたりの攻撃時間は短いものの、広い範囲を断続的に狙っているため、防御側には継続的な対応が求められます。複数のサービスを組み合わせてDDOS攻撃を行うマルチベクタ型も一定数見られ、攻撃手法はより実践的なものになっています。

DRDoSは一過性の脅威ではなく、事業の可用性に直接影響するリスクとして捉える必要があります。

NICTER観測レポートの読み方

NICTER観測レポートは、「どの攻撃が多かったか」を確認するだけで終わるものではありません。そこから、どのような前提が見えてくるのかを読み取ることが重要です。

例えば、ダークネット観測が捉えているのは、攻撃が始まる前の探索段階です。
自社や取引先の環境が、外部からどのように見えているのか、どの程度リスクがある状態に映っているのかを把握することは、攻撃を受ける前段階の対策につながります。
外部リスクを継続的に可視化することや、公開資産や脆弱性を把握する視点は、こうした探索活動を前提に考えると自然な取り組みと言えます。

また、IoTボットの動きを見ていくと、ネットワーク機器や認証、管理されていない資産が複合的に狙われていることが分かります。個別の対策を積み重ねるだけでなく、環境全体を俯瞰し、どこが攻撃の起点になり得るのかを整理する視点が重要になります。

さらにDRDoS攻撃についても、完全に防ぐことを前提にするのではなく、発生を想定した設計や、影響を抑える考え方が必要です。ネットワークとセキュリティを切り離さずに、一体として捉える体制が求められています。

まとめ

NICTER観測レポート2025では、探索の常態化、IoTボットの変化、DRDoS攻撃の継続といった、現在のサイバー攻撃の姿が浮かび上がっています。いずれも単発の出来事ではなく、今後も継続して向き合い続ける必要のあるリスクです。

被害が発生してから対応するのではなく、可視化や設計の段階からリスクを捉えておくことが重要になります。NICTERレポートは、その前提を整理するための材料として活用できます。

弊社では、外部リスク、クラウド、ID、ネットワークなどの様々な観点から、こうした課題に対応するソリューションを取り扱っています。NICTER観測レポートをきっかけに、自社環境を見直す材料として活用いただければと思います。

• SecurityScorecard (SCRM/セキュリティレーティング)：
  サプライチェーン全体を俯瞰し、外部公開資産に起因するリスクを継続的に把握・評価
  
• AeyeScan (Web脆弱性診断)：
  専門知識がなくても利用できる操作性で、高精度なWebアプリケーション診断を可能にするプラットフォーム
  
• Orca Security (CNAPP/CSPM/AppSec)：
  クラウド環境に潜む脆弱性や設定リスクを可視化し、横断的なセキュリティ管理を実現

• Cloudbase (CNAPP/CSPM)：
  国産クラウドセキュリティ製品として、脆弱性管理と設定リスク対策を軸に安全な運用を支援

今後もNVCでは、脅威動向と実務的な対応の両面から継続的に情報発信していきます。引き続きブログなどもご覧いただければ幸いです。