テルネットトラフィック83%急減 — CVE公開6日前に何が?
- 2026年1月14日、グローバルテルネットセッションが1時間で65%減少した
- GNU Inetutils telnetdの脆弱性(CVE-2026-24061)が6日後に公開された
- 現在のテルネットトラフィックは従来の3分の1水準である
1時間で消えたテルネットセッション5万件
2026年1月14日21時(UTC)、グローバルテルネットセッションが約7万4千件から2万2千件に急減した。2時間後には基準値比83%まで下落した[GreyNoise Labs]。18の主要ASNが完全に沈黙し、ジンバブエなど5か国がテルネットデータから消えた。
6日後に明らかになったルートシェル奪取脆弱性
1月20日、CVE-2026-24061が公開された。GNU Inetutils telnetdにおいて、USER環境変数の処理時に引数注入の欠陥が存在する[NVD]。ユーザー名として-f rootを送信すると、認証なしにルートシェルを取得できる。1月26日、CISAがKEVリストに追加し、連邦機関は2月16日までに措置を講じる必要がある[CISA]。
バックボーン事業者の先制遮断仮説
脆弱性公開6日前にトラフィックが急減した理由が興味深い。GreyNoiseの研究者は、Tier 1バックボーン事業者が事前通知を受け、ポート23のフィルタリングを適用した可能性を示唆している[GreyNoise Labs]。クラウド事業者は影響が少なかった。AWSトラフィックは78%増加、Contaboは90%増加した。住宅用ISPのみ大きな打撃を受けた。
現在、週間テルネットセッションは32万件で、12月初旬の108万件から70%減少した。テルネットの退場が加速化したと言える。GNU Inetutils 2.7-2のパッチまたはテルネットの非活性化を推奨する。
よくある質問 (FAQ)
Q: CVE-2026-24061はどのように動作するのか?
A: GNU Inetutils telnetdがUSER環境変数を処理する際、引数注入の欠陥が存在する。攻撃者がユーザー名に-f rootを送信すると、認証を迂回してルートシェルを取得する。別途認証なしにリモートでサーバーを掌握できる深刻な脆弱性である。
Q: テルネットの代わりに何を使用すべきか?
A: SSH(Secure Shell)が標準的な代替手段である。すべての通信を暗号化し、キーベース認証をサポートする。テルネットは平文送信であるため、セキュリティ上、以前から推奨されていなかった。今回の事件は、テルネットを運用中のシステムがまだ多いことを示した事例である。
Q: 一般ユーザーにも影響があるのか?
A: ほとんど直接的な影響はない。テルネットは主にサーバー管理とネットワーク機器の設定に使用される。ただし、古いIoT機器や産業用機器がテルネットに依存する可能性があり、管理者はパッチまたはプロトコル転換を検討する必要がある。
この記事が役に立ったなら、AI Digesterを購読してください。
参考文献
- The Day the Telnet Died – GreyNoise Labs (2026-02-10)
- CVE-2026-24061 – NVD (2026-01-20)
- Known Exploited Vulnerabilities Catalog – CISA (2026-01-26)