Censys「2025 State of the Internet Report」の公開

2025年のレポートから見えたサイバー脅威の最新動向

インターネット資産の探索・監視プラットフォームを提供するCensysは、2025年7月〜8月にかけて年次レポート「2025 State of the Internet Report」を公開しました。

• 2025 State of the Internet: Introduction
• 2025 State of the Internet: Notable Incidents
• 2025 State of the Internet: Malware Investigations
• 2025 State of the Internet: C2 Time to Live
• 2025 State of the Internet: Digging into Residential Proxy Infrastructure
• 2025 State of the Internet Report: Open Directories Time to Live
• 2025 State of the Internet Report: Summary and Conclusions

この年次レポートは、世界規模で観測された悪意あるインフラの動向を詳細に分析したもので、ランサムウェア攻撃、C2サーバの生存期間、ボットネットの拡大、オープンディレクトリの持続性など、幅広いテーマをカバーしています。

「攻撃者はどこから、どのように動いているのか？」その答えをデータから読み解くのが今回のレポートです。ここではレポートの要点のみを取り上げてみたいと思います。

2024年に起きた大規模インシデント

Cleoファイル転送ソフトの脆弱性悪用

2024年末、CL0PおよびTermiteといったランサムウェアグループが、Cleoのリモートコード実行脆弱性とファイルアップロード/ダウンロードの不備を悪用しました。

• CL0Pは378組織を被害者として公表
• Termiteは12件を主張

パッチ公開から実際の組織適用までの遅れが攻撃成功を許した典型的な事例です。

FortiOS / FortiProxyゼロデイ

同時期に発見されたゼロデイ脆弱性は、DragonForceランサムウェア攻撃に直結しました。
25万以上のIPをテストした形跡があり、最終的に31台のデバイスが侵害されました。オープンディレクトリから得られたアーティファクトが、攻撃の裏付けとなっています。

Operation Morpheus

Microsoft、Fortra、H-ISACが主導した「海賊版Cobalt Strike」の大規模撲滅作戦。

• 標的：690インスタンス
• 撃破数：593（成功率85%）

国際的な協力が実際に成果を挙げた好例といえます。

国家レベルのマルウェア活動

Wainscotマルウェア

ロシア系APT「Turla（別名：Secret Blizzard）」が使用。

• 標的：パキスタン系クラスターStorm-0156
• 結果：インド軍の国境システムに感染が波及

感染したシステムは断続的な接続でもデータを自動的に外部送信できるよう改造されており、軍事利用を前提とした設計が疑われます。

BeaverTail & InvisibleFerret

北朝鮮系グループが偽の求人情報を利用し、ソフトウェア開発者や求職者を標的化。

• BeaverTail：Python製情報窃取マルウェア
• InvisibleFerret：キーロギングとリモート操作を行うバックドア

2025年7月時点でも活動が続き、Cloudzy（VPSインフラ）上でホスティングされている点が確認されています。

C2サーバ生存期間

C2サーバの存続期間の長さは、防御側の対応速度を示す重要な指標です。

Cobalt Strike

• 平均寿命：11.2日
• 中央値：5日

→ 広く利用され検知が早い。短命だが攻撃数は多い。

Viper

• 平均寿命：17.4日
• 中央値：18.5日

→ 稼働が長く、しばしば見過ごされる傾向。

さらに、Cobalt Strikeでは埋め込まれたウォーターマークを用いた追跡により、ネットワーク寿命とコンテンツ寿命に差異があることも判明しました。

PolarEdgeボットネットの拡大と脅威

規模と成長

• 感染台数：150台（2023年6月） → 約4万台（2025年8月）
• 地域分布：韓国（51.6%）、米国（21.1%）

感染対象

Ciscoのエンタープライズ機器から、ASUSルーターやSynology NAS、IPカメラまで幅広く悪用。

特徴

• Mbed TLSを改造した独自のTLSバックドア
• 高位ランダムポート（TCP/40,000–50,000）を使用
• レジデンシャルプロキシネットワークとして機能

この仕組みにより、攻撃トラフィックが信頼されたレジデンシャルプロキシIPを経由するため、従来の防御システムでは検出が難しくなります。

【参考】レジデンシャルプロキシIPの特定・分析のためのソリューション例

• Spur
• IPinfo (Residential Proxy Dataset)

オープンディレクトリの寿命とリスク

公開ファイルシステム「オープンディレクトリ」はしばしばマルウェアの配布源として悪用されます。

• ネットワーク寿命（可視性ベース）：中央値1日
• コンテンツ寿命（内容比較ベース）：中央値3日

表面的にはすぐ消えるように見えても、実際のファイルは長く残ることが多く、攻撃者が再利用する可能性が高いことが分かりました。

【参考】Censys Platformの新機能「Suspicious Directory」 にて、悪用の可能性が高いオープンディレクトリを効率的に調査することが可能になりました。

結論：可視性こそ最大の防御

今回のCensysレポートが示す共通テーマは以下のとおりです。

• 攻撃インフラの寿命や稼働状況は一様ではない
• レジデンシャルプロキシを用いた攻撃は、従来の検知をすり抜けるリスクがある
• 国際的な協力による撲滅作戦は一定の効果を発揮している
• そして何より、正確かつ最新のインターネット全体データが、防御の基盤になる

つまり、防御側が勝つためには、単にセキュリティ製品を導入するだけでは不十分です。
広範囲かつリアルタイムな可視化データを活用し、脅威の進化をいち早く捉えることが求められます。

Censysの導入相談は、下記よりお気軽にお問い合わせください。