はじめに
三菱電機の大塚です。
三菱電機 情報技術総合研究所では、製品開発時のセキュリティ対策にフィードバックする目的で、複数種類のハニーポットを設置・運用しています。
今回はIoT家電を標的としたサイバー攻撃を観測するハニーポット「IoT家電ハニーポット」で観測した攻撃について、User-Agent情報に着目した分析結果をご紹介します。
User-Agent情報とは
User-Agentとは、Webブラウザなど、ユーザーが外部と通信するシステムのことであると同時に、その種類やバージョンを表す識別名です。
一方、HTTP通信では、クライアントからのリクエスト内のHTTPリクエストヘッダに「User-Agent」というフィールドが存在します。このフィールドには、使用しているソフトウェアの名前やバージョン情報を記載することができ、これもまた、「User-Agent」と呼ばれることがあります。本稿では、「User-Agent」と「User-Agentフィールドに含まれる文字列」を区別して扱い、後者を「User-Agent情報」と呼ぶことにします。
User-Agent情報を使用することで、クライアントが使用しているブラウザの種類の識別や、動作環境、クローラーかどうか、などを調査することができます。また、User-Agent情報は偽装ができるため、悪意ある攻撃者が何に偽装して攻撃を行っているかの手がかりにもなります。
観測環境と分析結果
- 観測期間: 2026年4月1日~4月28日
- 観測に使用したIPアドレス: 2つのIPアドレス
- 観測したHTTPリクエスト: 64,651件
- 観測したユニークホスト数: 3,349ホスト
観測したHTTPリクエスト内に含まれていたUser-Agent情報を、それらを含むパケットを送信したユニークホストで整理しました。その結果、送信したユニークホスト数が多い順に上位20種類は図のような結果になりました。
User-Agent情報から、クライアントがどのようなブラウザやサービスを使用しているかを推測します。User-Agent情報を含むパケットを送信したユニークホスト数が多い、図の上位10種類について整理した結果が以下の通りです。一部のUser-Agent情報については、ブラウザのUser-Agent情報と類似はしているものの、極端に短い文字列であったり、そもそもUser-Agent情報として独自の文字列を使っていたりと、自身のUser-Agent情報を故意に偽装している可能性が高いとみられます。
| User-Agent情報 | 割合 | クライアント推測 |
|---|---|---|
| Go-http-client/1.1 | 11.74 % | Go言語で実装されたツール |
| Mozilla/5.0 zgrab/0.x | 10.36 % | zgrab[1]を用いたスキャンツール |
| Hello from Palo Alto Networks, find out more about our scans in https://docs-cortex.paloaltonetworks.com/r/1/ Cortex-Xpanse/Scanning-activity |
7.13 % | Palo Alto Networksによる調査[2] |
| Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/) |
5.77 % | censys[3]による調査 |
| Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1 |
4.47 % | iPhone |
| libredtail-http | 3.52 % | マイニングマルウェア「RedTail」感染目的[4] |
| Mozilla/5.0 | 2.71 % | 極端に短いため偽装の可能性あり |
| Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/) | 2.71 % | Infrawatch[5]による調査 |
| curl/7.64.1 | 2.60 % | curlの利用、もしくは偽装の可能性あり |
| Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/ 537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36 |
2.57 % | Windows PC, Chromeブラウザ |
表の結果から、ブラウザからのアクセスよりも、自動化されたツールや、広域スキャンサービスによる調査スキャンが多いことが分かります。また、マルウェア感染を目的とするリクエストの特徴的なUser-Agent情報も含まれていることが判明しました。
興味深いUser-Agent情報
iPhoneと推測されるクライアント
Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X)AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1
User-Agent情報だけみると、iPhoneのSafariと推測されます。一方、本User-Agent情報を使用したリクエストは150以上のIPアドレスから送信されており、それらの多くはホスティングサービスのIPアドレスであることが判明しました。また、リクエストの内容はほぼ全て「GET / HTTP/1.1\r\n」に集中していました。このため、実際のiPhone端末からリクエストが送信されたというよりも、攻撃者やスキャンツールがiPhoneのUser-Agent情報に偽装している可能性が高いと考えられます。
調査目的と推測されるクライアント
User-Agent情報から、Palo Alto Networks, censys, Infrawatchによる調査と推測されるリクエストが全体の15%以上を占めました。これらはUser-Agent情報をWebブラウザで検索すると、該当組織のHPがヒットします。今回観測した3つの組織に関しては、調査目的のスキャンに使用しているIPアドレスと、オプトアウト申請の手順が公開されていました。観測した送信元IPアドレスと、組織が公開しているIPアドレスが一致していたため、今回観測したリクエストはこれらの組織のものであると言えますが、場合によっては、攻撃者がこれらに偽装する可能性も考えられます。そのため、リクエストにこのような調査目的のスキャンが多い場合、まずはそれらの送信元が調査組織のものであるか確認したうえで、オプトアウト申請を行い対応する必要があるといえます。
User-Agent情報から分かること
HTTPのUser-Agent情報は、本来はブラウザやクライアントの情報をサーバに伝えるための仕組みであり、一般的には「Chrome」「Firefox」などブラウザを識別する程度に使用されることが多いです。一方、ハニーポットで観測したリクエストを分析すると、ブラウザの種類以上の情報が含まれていることが分かります。
スキャンツールの実装言語や、調査目的でスキャンをしている組織、さらには、マルウェア感染を試みているかどうか、など、送信元ホストに対する深い情報を得ることができます。一方、iPhoneのUser-Agent情報に偽装しているホストなど、User-Agent情報以外にもIPアドレスの所属情報やリクエスト内容も総合して観察することにより、「偽装」であると示唆できる場合もあります。
このように、User-Agent情報は簡単に偽装ができる文字列ではあるものの、クライアントについての多くの情報を含んでおり、攻撃者の実態把握に有用な情報であるといえます。
おわりに
ここまでお読みいただき、ありがとうございました。
今回は、User-Agent情報に着目した分析結果についてご紹介しました。実際にリクエストを取得してみないと分からない情報であり、攻撃者の正体を知る上で非常に興味深い文字列であると感じています。
今後もハニーポットで観測・分析した結果について発信していく予定です。ご質問やコメント、お待ちしております。
参考
- zmap, zgrab2 (https://github.com/zmap/zgrab2)
- Palo Alto Networks, Cortex Xpanse Scanning activity (https://docs-cortex.paloaltonetworks.com/r/1/Cortex-Xpanse/Scanning-activity)
- censys, censys Documentation (https://docs.censys.com/docs/opt-out-of-data-collection)
- IIJ, 「wizSafe Security Signal 2026年1月 観測レポート」(https://wizsafe.iij.ad.jp/2026/02/2134/)
- Infrawatch (https://infrawat.ch/)