世界を動かす技術を、日本語で。

テレネットが消えた日

概要

  • 2026年1月14日、 世界的なTelnetトラフィックの急減 が観測された事象
  • CVE-2026-24061 (Telnetの認証バイパス脆弱性)公開直前の出来事
  • 北米Tier 1トランジットプロバイダー によるポート23フィルタ導入の可能性
  • 脆弱性公開とトラフィック減少の 因果関係の推察
  • Telnet利用環境の 今後の実務的影響 と対応策

Telnetトラフィック消失の前兆と背景

  • 2025年12月1日から2026年1月14日まで、 GreyNoise は1日平均約91万4,000件の非スプーフ可能なTelnetセッションを観測
  • 2026年1月14日21:00 UTC、 1時間で65%減少 し、2時間後には83%減少、以降も低水準で推移
  • この急激な減少は ルーティングインフラの構成変更 を示唆、単なるスキャン行動の変化ではない
  • 18のASN(例:Vultr, Cox, Charter, BTなど)が 完全にTelnetトラフィックを喪失
  • ジンバブエ、ウクライナ、カナダ、ポーランド、エジプトの 5カ国からのTelnetトラフィックが消滅
  • AWSやContaboなど クラウドプロバイダーは影響を受けず、逆に増加傾向

フィルタリングの実態と影響範囲

  • 北米Tier 1トランジットプロバイダーによるポート23フィルタ導入 の可能性
  • 米国時間16:00(UTC21:00)という メンテナンスウィンドウ に一致
  • 米国大手ISP(Cox, Charter, Comcast等)は大打撃、クラウドはIXPのプライベートピアリングで回避
  • Verizon/UUNET(AS701)は 79%減少、Tier 1バックボーンとしてフィルタ実施または直上流の可能性
  • トランジット依存度の高い国(米国経由の国)は甚大な影響、欧州ピアリング強い国(フランス、ドイツ等)は無傷
  • 中国のバックボーン(China Telecom, China Unicom)は 均等に約59%減少、米国側フィルタの示唆

CVE-2026-24061と時系列

  • CVE-2026-24061 はGNU Inetutils telnetdの認証バイパス脆弱性(CVSS 9.8)
  • 攻撃者が -f root をユーザー名として送信すると認証不要でrootシェル取得
  • 脆弱コードは2015年に導入、 11年間未発見
  • 主な時系列
    • 1月14日21:00 UTC:Telnetトラフィック急減
    • 1月20日:脆弱性アドバイザリ公開
    • 1月21日:NVD登録・初の悪用観測
    • 1月22日:GreyNoiseによる初動レポート
    • 1月26日:CISA KEVカタログ追加

フィルタ導入とCVE公開の関係仮説

  • 脆弱性公開前に インフラレベルでの対応(ポート23フィルタ)が行われた 可能性
    • 事前通知を受けた事業者が 先行して対策 した推察
  • フィルタの特徴
    • ポート23/TCPのみ対象
    • トランジット依存経路のみ影響、ダイレクトピアリング経路は無傷
    • 数週間経過後も 持続的にフィルタ継続
  • 偶然の可能性も否定できないが、 時系列・影響範囲・技術的合理性 から「関連性あり」と推察

Telnetトラフィックの現状と傾向

  • 1月14日以降は 周期的なスパイクと落ち込み(のこぎり型パターン) が観測
  • 週平均セッション数
    • 12月第1週:108万6,744件(119%)
    • 1月第2週:98万5,699件(108%)
    • 1月第3週:36万3,184件(40%)
    • 2月第1週:32万2,606件(35%)
  • 事前水準の約1/3で推移し、やや減少傾向

実務的インプリケーションと推奨対応

  • GNU Inetutils telnetd を利用中の場合、 2.7-2以降へアップデート またはサービス無効化を推奨
  • CISA KEVの 連邦機関向け対応期限は2026年2月16日
  • 公開後数時間で 悪用試行を観測、2月上旬に1日2,600セッションまで増加後減少
  • ネットワーク運用者は 境界でポート23フィルタ を検討、業界全体の流れ
  • Tier 1バックボーンがTelnetを運ばない判断 をした可能性、今後の標準化も視野

まとめ

  • Telnetトラフィック激減と重大脆弱性公開 がほぼ同時期に発生
  • インフラ事業者による先行的な防御策 の可能性が高い
  • Telnetは 歴史的役割を終えつつあるプロトコル、今後の利用縮小が加速
  • 詳細情報や実際に対応した関係者からの情報提供を research@greynoise.io で募集中

Hackerたちの意見

インターネットのトランジットインフラのかなり大きな部分の上流で、誰かがテレネットトラフィックはもう運ぶ価値がないと判断したみたい。多分、それは正しい判断だね。これってMUDのトラフィックに影響あるのかな?いくつかのMUDは非標準のテレネットポートで動いてるけど、まだポート23での接続を許可してるところも多いよね。これはエンドツーエンドのテレネットトラフィックをブロックするの?それとも、バックボーンリレー自体のテレネットサービスへのアクセスを試みるのだけをブロックするの?

記事からははっきりしなかったけど、攻撃のためにフィルタリングしてると思った。テレネットは完全にプレーンテキストだから、簡単にできるよね?

ほとんどのMUDはテレネットを使ってないよ。MUDは、幅広いクライアントがアクセスできるプレーンテキストTCPプロトコルを使ってる。テレネットプロトコルはしっかり定義されてて、完全なプレーンテキストではない。インバンドシグナリングメソッドや交渉があるからね。テレネットはIANAのよく知られた特権ポートとして23/tcpで動くことが定義されてるけど、MUDはそんなことしてない。通常、テレネットクライアントを使ってMUDに接続できるけど、ほとんどのプレイヤーはその体験が嫌いで、専用のプログラム可能なクライアントを好むことが多いよ。MUDが高い4桁のポートを使ってるのは、標準化されたプロトコルや「よく知られたポート」の存在がない、特権のないユーザー運営のサーバーとしての始まりから来てるんだ。特にアクセスしづらいMUDにしたいなら、今ポート23で運営するのもアリだね!

住宅回線がSMTPポートをシャットオフするのと似たようなポートベースのブロックをしてるみたいだね。とはいえ、今の時代、公共ネットワークのサーバーはSSHを使うべきだと思うけど。

11年前に誰かがテレネットデーモンにバックドアを仕込んだんだって。誰がやったの?コミットはどこ?

バックドアじゃなくて、ただの非常に深刻なセキュリティバグだよ。でも、陰謀論やパラノイアにすぐ飛びつくのはおめでとう。

https://codeberg.org/inetutils/inetutils/commit/fa3245ac8c28...

テレネットはクリアテキストで、ずっとそうだったよ。バックドアはやりすぎな気がする。

バックドア それって意図的ってこと?なんでそう思うの?

なんで今の時代にまだ人々がインターネットでtelnetを使ってるんだろう?これって攻撃トラフィック全部なの?(まあ、古いトーカーの一人が使ってるのは知ってるけど、すごく非標準なポートだからポート23をブロックしても意味ないし。)

私の理解では、greynoiseはスキャナートラフィックを監視してるから、これらは全部スキャンか攻撃だね。

ASCIIでスター・ウォーズを見るために。telnet towel.blinkenlights.nl https://www.youtube.com/watch?v=Mhcf6tc2jeQ (これについて昔聞いたことがあるんだけど、調べたら1999年にSlashdotで見た気がする。今でも存在してる/動いてることを確認したよ。)

Hacker Newsで議論の続きを見る