NICTER観測レポート2025の公開

2026年2月5日
国立研究開発法人情報通信研究機構（NICT）

ポイント

■　2025年のサイバー攻撃に関連する通信がダークネット観測開始以降で過去最多を記録

■　IoT機器を狙う攻撃では、Mirai以外のIoTボットの感染が増加し、ボットの多様化が進行

■　DRDoS攻撃は絨毯爆撃型の攻撃が頻発し、攻撃件数が増加傾向

 

　国立研究開発法人情報通信研究機構（NICT（エヌアイシーティー）、理事長: 徳田 英幸）サイバーセキュリティネクサスは、NICTER観測レポート2025を公開しました。NICTERプロジェクトの大規模サイバー攻撃観測網で2025年に観測されたサイバー攻撃関連通信は約7,010億パケットに達しました（2024年から約2.2%増加）。観測規模がほぼ同じ2024年と比較すると、1 IPアドレス当たりの年間観測パケット数は約7万パケットの増加にとどまるものの、インターネット上での探索活動や攻撃準備行動は高い水準で常態化しています。IoTボットの感染動向では、Miraiの特徴を持たないIoTボット感染ホスト数がMirai感染を上回る状況が世界的に観測されたほか、DRDoS攻撃の観測では、絨毯爆撃型の攻撃が頻発したことを受け、攻撃件数が前年から大幅に増加しました。

　NICTは、日本のサイバーセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進めるとともに、セキュリティ対策の研究開発を進めていきます。

 

背景

　NICTは、NICTERプロジェクトにおいて大規模サイバー攻撃観測網（ダークネット観測網）を構築し、2005年からサイバー攻撃関連通信の観測を続けてきました。2021年4月1日（木）に、サイバーセキュリティ分野の産学官の『結節点』となることを目指した新組織サイバーセキュリティネクサス（Cybersecurity Nexus: CYNEX（サイネックス））が発足し、そのサブプロジェクトの一つであるCo-Nexus Sにおいてサイバーセキュリティ関連の情報発信を行っています。

 

今回の成果

　CYNEXは、NICTERプロジェクトの2025年の観測・分析結果を公開しました（詳細は、「NICTER観測レポート2025」 https://csl.nict.go.jp/report/NICTER_report_2025.pdf参照）。主な観測結果は次のとおりです。

 

■ ダークネット観測統計：探索活動の常態化と多様化

　NICTERのダークネット観測網（約28万IPアドレス）において2025年に観測されたサイバー攻撃関連通信は、合計7,010億パケットに上り、1 IPアドレス当たり約250万パケットが1年間に届いた計算になります（表1参照）。

 

表1 NICTERダークネット観測統計（過去10年間）

 

注: ダークネットIPアドレス数（アクティブなセンサの数）は、年間を通じて一定ではなく変化することがあり、2025年は12月26日のアドレス数です。

 

　 表1のうち年間総観測パケット数は観測IPアドレス数に大きく影響を受けるため、1つのIPアドレスを1年間観測したときに届くパケット数がインターネット上のスキャン活動の活発さを測るには適しています。図1に示すとおり、1 IPアドレス当たりの年間総観測パケット数は、前年の2024年から微増し、インターネット上を飛び交う探索活動が高い水準で常態化していることが数字から読み取れます。なお、総観測パケット数は、あくまでNICTERで観測しているダークネットの範囲に届いたパケットの個数を示すものであり、日本全体や政府機関に対する攻撃件数ではありません。 

 　

図1 1 IPアドレス当たりの年間総観測パケット数（過去10年間）

　

　また、2025年に観測されたパケットのうち、調査目的と推定されるスキャン通信は全体の約55%を占めました。前年（約60%）から割合はやや減少したものの、依然として全体の半数以上を占める状況が継続しています。

　また、Telnet（23/TCP）宛の通信の割合は年々減少傾向にある一方で（図2参照）、多数のポート番号を対象とするスキャンが増加しています。上位10ポート以外のその他を示すOther Portsの占める割合が増加傾向にあり、IoT機器やネットワーク機器を幅広く探索する傾向が顕著になっています。 

 

 

図2 宛先ポート別パケット数の割合（調査スキャンを除く）

 

注: 3位の80/TCP、5位の443/TCPには、一般的なWebサーバへのスキャンパケットも含まれます。また、その他のポート番号（Other Ports）の中にはIoT機器を狙ったパケットが多数含まれます。

 

■ IoT機器を狙う攻撃が高度化・多様化

　従来主流だったMirai型とは異なるIoTボットの感染活動が拡大し、家庭用ルータや監視カメラの録画機器など、利用者が感染に気付きにくい機器が引き続き標的となっています。

　NICTERでは、IoT機器を標的とするボットの一つであるRapperBotについて、2025年も継続的に観測と分析を行いました。その結果、世界全体で約6万台規模のIoT機器がRapperBotに感染していた可能性を明らかにしました。また、感染が特定ベンダーの機器に偏っている状況も確認されています。

　さらに、米国司法省によるRapperBot運営者の起訴が発表された2025年8月を境に、攻撃者の指令サーバからの通信が停止したことを確認しました。

　一方で、感染後に機器内部で不正な動作を行っていることを利用者や管理者から見えにくくする仕組み（プロセス隠蔽）を備えた新たなIoTボットが、家庭用ルータなど複数種のIoT機器を標的として活動している状況も観測されました。

 

■ DRDoS攻撃：再増加と攻撃手法の変化

　DRDoS攻撃については、2025年に世界全体で約8,285万件、日本宛で約90万件を観測しました。攻撃件数は前年から大幅に増加しており（2024年は世界全体で約3,095万件、日本宛は約17万件）、特に絨毯爆撃型の攻撃が頻発しています。一方で、攻撃に悪用されるサービスの種類は年々減少しており、攻撃手法の集約・効率化が進んでいる可能性が示唆されます。

 

今後の展望

　インターネットに常時接続されるIoT機器の増加に伴い、広域スキャンやIoTボット感染は今後も継続すると予想されます。NICTでは、NICTERによる継続的な観測・分析を通じて、攻撃の実態把握と注意喚起を行うとともに、産学官の連携拠点であるCYNEXを通じた情報共有と研究開発を一層推進していきます。

 

NICTER観測レポート2025（詳細版）

・ NICTER観測レポート2025（Web版）

　https://csl.nict.go.jp/nicter-report.html

・ NICTER観測レポート2025（PDF版）

　https://csl.nict.go.jp/report/NICTER_report_2025.pdf