日本国立研究开发法人信息通信研究机构(NICT)旗下发布网络安全相关信息的CYNEX(Cybersecurity Nexus)于2月5日,发布了《NICTER观测报告2025》,该报告汇总了全球范围内抵达NICT海内外观测传感器的网络攻击情况。
图1 由NICTER Atlas暗网获得的攻击通信可视化图(供图:信息通信研究机构(NICT))
NICT的事件分析中心NICTER(Network Incident analysis Center for Tactical Emergency Response),是为在广域范围内迅速掌握计算机网络上发生的各类信息安全威胁,并推导出有效应对策略而搭建的复合性系统。该系统具备对通过网络攻击观测、恶意软件收集等方式获取的信息进行关联分析以及查明原因的功能。
NICTER构建了大规模网络攻击观测网(暗网观测网),通过观测抵达互联网上未使用IP地址(暗网)的、与恶意软件等活动相关的数据包,来观测并掌握网络上非法活动状况的趋势。
此次发布的报告为该项目过去一年的观测报告。报告显示,2025年观测到的来自全球的网络攻击相关通信量约达7010亿个数据包,较上一年增加约2.2%。
然而,“总观测数据包”数量仅为NICTER所观测的暗网范围内抵达的数据包数量,并非所有针对日本整体或政府机构实施的攻击次数,仅能用于体现整体趋势。
此外,与上一年相比,单个IP地址的年观测数据包数仅微增约7万个数据包,但这表明网络上的探测活动及攻击准备行为已常态化且维持在高水平。
另外,在观测到的数据包中,推测用于调查目的的扫描通信约占整体的55%。虽较上一年的约60%的占比略有下降,但依然持续占据整体的半数以上。
按目标端口划分,指向Telnet(23/TCP)的通信占比呈逐年下降趋势,而以多个端口号为对象的扫描行为则有所增加。本次排名前10端口以外的端口所占比例为65.8%,呈上升趋势,针对物联网(IoT)设备及网络设备的大范围探测倾向正在增强。
在以这类物联网设备为目标的攻击中,与以往主流的感染物联网设备的恶意软件Mirai型不同,一种入侵网络连接设备、根据攻击者指令实施非法通信及攻击的程序——物联网僵尸网络的感染活动正在扩大。
家用路由器、监控摄像头录像设备等用户难以察觉感染情况的设备,正持续成为攻击目标。
关于向攻击目标发送大量数据包的DRDoS攻击,2025年全球范围内共观测到约8285万件,针对日本的约为90万件。2024年全球范围内约为3095万件,针对日本的约为17万件,攻击件数较上一年出现了大幅增加。特别是“地毯式轰炸型攻击”频繁发生。
原文:《科学新闻》
翻译:JST客观日本编辑部
