概要
- 2026年1月14日、 世界的なTelnetトラフィックの急減 が観測された事象
- CVE-2026-24061 (Telnetの認証バイパス脆弱性)公開直前の出来事
- 北米Tier 1トランジットプロバイダー によるポート23フィルタ導入の可能性
- 脆弱性公開とトラフィック減少の 因果関係の推察
- Telnet利用環境の 今後の実務的影響 と対応策
Telnetトラフィック消失の前兆と背景
- 2025年12月1日から2026年1月14日まで、 GreyNoise は1日平均約91万4,000件の非スプーフ可能なTelnetセッションを観測
- 2026年1月14日21:00 UTC、 1時間で65%減少 し、2時間後には83%減少、以降も低水準で推移
- この急激な減少は ルーティングインフラの構成変更 を示唆、単なるスキャン行動の変化ではない
- 18のASN(例:Vultr, Cox, Charter, BTなど)が 完全にTelnetトラフィックを喪失
- ジンバブエ、ウクライナ、カナダ、ポーランド、エジプトの 5カ国からのTelnetトラフィックが消滅
- AWSやContaboなど クラウドプロバイダーは影響を受けず、逆に増加傾向
フィルタリングの実態と影響範囲
- 北米Tier 1トランジットプロバイダーによるポート23フィルタ導入 の可能性
- 米国時間16:00(UTC21:00)という メンテナンスウィンドウ に一致
- 米国大手ISP(Cox, Charter, Comcast等)は大打撃、クラウドはIXPのプライベートピアリングで回避
- Verizon/UUNET(AS701)は 79%減少、Tier 1バックボーンとしてフィルタ実施または直上流の可能性
- トランジット依存度の高い国(米国経由の国)は甚大な影響、欧州ピアリング強い国(フランス、ドイツ等)は無傷
- 中国のバックボーン(China Telecom, China Unicom)は 均等に約59%減少、米国側フィルタの示唆
CVE-2026-24061と時系列
- CVE-2026-24061 はGNU Inetutils telnetdの認証バイパス脆弱性(CVSS 9.8)
- 攻撃者が -f root をユーザー名として送信すると認証不要でrootシェル取得
- 脆弱コードは2015年に導入、 11年間未発見
- 主な時系列
- 1月14日21:00 UTC:Telnetトラフィック急減
- 1月20日:脆弱性アドバイザリ公開
- 1月21日:NVD登録・初の悪用観測
- 1月22日:GreyNoiseによる初動レポート
- 1月26日:CISA KEVカタログ追加
フィルタ導入とCVE公開の関係仮説
- 脆弱性公開前に インフラレベルでの対応(ポート23フィルタ)が行われた 可能性
- 事前通知を受けた事業者が 先行して対策 した推察
- フィルタの特徴
- ポート23/TCPのみ対象
- トランジット依存経路のみ影響、ダイレクトピアリング経路は無傷
- 数週間経過後も 持続的にフィルタ継続
- 偶然の可能性も否定できないが、 時系列・影響範囲・技術的合理性 から「関連性あり」と推察
Telnetトラフィックの現状と傾向
- 1月14日以降は 周期的なスパイクと落ち込み(のこぎり型パターン) が観測
- 週平均セッション数
- 12月第1週:108万6,744件(119%)
- 1月第2週:98万5,699件(108%)
- 1月第3週:36万3,184件(40%)
- 2月第1週:32万2,606件(35%)
- 事前水準の約1/3で推移し、やや減少傾向
実務的インプリケーションと推奨対応
- GNU Inetutils telnetd を利用中の場合、 2.7-2以降へアップデート またはサービス無効化を推奨
- CISA KEVの 連邦機関向け対応期限は2026年2月16日
- 公開後数時間で 悪用試行を観測、2月上旬に1日2,600セッションまで増加後減少
- ネットワーク運用者は 境界でポート23フィルタ を検討、業界全体の流れ
- Tier 1バックボーンがTelnetを運ばない判断 をした可能性、今後の標準化も視野
まとめ
- Telnetトラフィック激減と重大脆弱性公開 がほぼ同時期に発生
- インフラ事業者による先行的な防御策 の可能性が高い
- Telnetは 歴史的役割を終えつつあるプロトコル、今後の利用縮小が加速
- 詳細情報や実際に対応した関係者からの情報提供を research@greynoise.io で募集中