国内の通信機器から不審パケット、JPCERT/CCが管理者に連絡要請　該当条件と対策は？

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2026年3月30日、「TSUBAMEレポート Overflow（2025年7～9月） - JPCERT/CC Eyes｜JPCERTコーディネーションセンター公式ブログ」において、日本国内に設置されている侵害されたデバイスの動向を報告した。

一括設定が行われたと推測される複数の機器が侵害を受けている可能性があるが、管理者へのコンタクトに失敗したとして、条件に当てはまる機器の管理者に対して同組織に連絡するように求めている。

• 

  ルータ・NVR管理者は要確認　Photo：PIXTA

なぜ複数機器が同一ポートで動作？侵害の可能性が疑われる理由

今回の調査対象となった侵害デバイスからは、Webインタフェースの待ち受けボート番号が同一という特徴が確認されている。一般的にWebインタフェースはウェルノウンポートの80番(HTTP)または443番(HTTPS)を使用する。しかしながら、JPCERT/CCは「特徴的」としており、これらを除く同一の番号を使用している可能性がある。

デバイスの種類としては、ネットワークビデオレコーダー(NVR: Network Video Recorder)、国内メーカー製業務用ルータ、SDN(Software Defined Networking)コントローラーが特定されている。特に業務用ルータでは、管理画面から都道府県名と推測される略称の文字列の表示が確認され、複数の地域で稼働している可能性があるという。

どの機器が対象？ルータ・NVRなど確認されたデバイス一覧

各デバイスは攻撃者によりポートフォワーディングが設定され、単一のIPアドレス上で動作している可能性がある。ただし、外部からの観測ではポートフォワーディングが侵害の結果によるものか特定することは困難と説明しており、条件に当てはまっても侵害されている証明にはならないとみられる。

それでもJPCERT/CCは一部のデバイスは侵害を受けている可能性が高いと述べ、これら機器の管理者にコンタクトを試みている。しかしながら、これまでのところコンタクトに成功していないことを明らかにし、前述の条件に当てはまる機器の管理者に対してJPCERT/CCに連絡するように呼びかけている。

条件に当てはまるデバイスのすべてが侵害されているとは限らないが、当該機器の管理者には、外部に公開しているポートを調査することが推奨される。公開ポートからログイン画面や管理画面にアクセスできる場合は、この調査デバイスの可能性があるため、JPCERT/CCに連絡することが望まれる。

自社の機器は大丈夫？管理者が確認すべきポイント

管理している通信機器が今回の事案に該当するかどうかを確認するポイントはいくつかある。JPCERT/CCが示した特徴を踏まえ、次の点を重点的にチェックしたい。

まず確認すべきは、外部に公開しているポートの状況だ。通常、Webインタフェースは80番（HTTP）または443番（HTTPS）で待ち受けることが多い。しかし今回のケースでは、これら以外のポート番号が使用されている可能性が指摘されている。管理している機器が、不自然なポート番号で外部公開されていないかを確認する必要がある。

次に、単一のグローバルIPアドレスで複数の機器が動作していないかどうかも重要なポイントとなる。JPCERT/CCは、攻撃者によってポートフォワーディングが設定され、複数の機器が1つのIPアドレス配下で運用されている可能性を示している。意図しないポート転送設定が存在しないか、ルータやファイアウォールの設定を確認したい。

さらに、管理画面の挙動や表示内容にも注意が必要だ。報告では、業務用ルータの管理画面に都道府県名とみられる略称が表示されるケースが確認されている。通常と異なる表示や見覚えのない設定項目がないかを点検することが望ましい。

加えて、対象とされる機器の種類にも留意したい。今回の調査では、ネットワークビデオレコーダー（NVR）や業務用ルータ、SDNコントローラーといった機器が挙げられている。これらの機器を運用している場合は、優先的に確認を行う必要がある。

なお、これらの条件に該当した場合でも、必ずしも侵害されているとは限らない。しかし、外部から管理画面にアクセス可能な状態が確認された場合は、リスクが高いと考えられるため、速やかに詳細な調査を行うことが推奨される。

簡易チェックリスト

• 80/443以外のポートで外部公開していないか
• 不審なポートフォワーディング設定がないか
• 単一IPで複数機器が動作していないか
• 管理画面に不審な表示がないか
• NVR／ルータ／SDN機器を運用しているか