Symantec製品の脆弱性狙うスキャンが国内でも増加、JPCERT/CCが警告

JPCERT/CCのインターネット定点観測システム（ISDAS）で、12月中旬より、TCP2967番ポートへのスキャンが増加していることが観測された。

[ITmedia]

　JPCERTコーディネーションセンター（JPCERT/CC）は12月25日、インターネット定点観測システム（ISDAS）において、TCP2967番ポートへのスキャンが増加していることを観測し、改めて注意を呼び掛けた。

　海外ではSANS Internet Storm Centerなどが11月末より、TCP2967番ポートへのスキャンが増加していることを踏まえ、ボットの急増を警告していた。

　このポートは、シマンテックのセキュリティ対策製品「Symantec Client Security」「Symantec AntiVirus」が利用している。5月に公開されたパッチを適用せず、脆弱性「SYM06-010」が残ったままの製品を利用していると、このポートを通じて感染するワーム「Big Yellow」に感染し、ボット化される恐れがある。

　SANSが11月末に最初の警告を発した後、トラフィックはいったん沈静化した。しかし12月中旬に入って再び2967番ポートのトラフィックが急増したという。12月22日には、さらなるスキャンの急増が見られるとして、再度警告を発していた。

　JPCERT/CCのISDASでも、12月中旬より同ポートへのスキャン増加が見られるという。原因は特定できていないが、「Symantec Client SecurityおよびSymantec AntiVirusなどの脆弱性を悪用するワームによる感染の試みである可能性」があるという。

　JPCERT/CCでは、Symantec製品を利用している場合はパッチの適用や緩和策を実行するよう推奨するとともに、「ウイルス対策ソフトを最新の状態にする」「ファイアウォールなどで外部からのTCP2967ポート宛のパケットをフィルタリングする」といった対策を講ずるよう勧めている。