Symantecのセキュリティ製品に脆弱性、TCPポートのスキャン急増

Symantecは問題を修正した更新版を公開し、できるだけ早く適用するよう呼びかけている。

[鈴木聖子，ITmedia]

　米Symantecの法人向けウイルス対策ソフト「Endpoint Protection Manager」に脆弱性が発覚し、同ソフトが使っているTCPポートに対するスキャンが急増しているという。米セキュリティ機関のSANS Internet Storm Centerが2月17日のブログで伝えた。

　Symantecが2月13日付で公開した情報によると、Endpoint Protection Managerには危険度の高い脆弱性が複数確認されていた。同社はこの問題を修正した更新版の「Endpoint Protection Manager 12.1 RU4a」（12.1.4023.4080）と「同11.0 RU7-MP4a」（11.0.7405.1424）を公開し、できるだけ早く更新を適用するよう呼びかけている。

Symantecの公開情報

　2月13日の時点でこの脆弱性を突く攻撃は確認されていないとしていた。

　一方、SANSによれば、Endpoint Protection Managerが使っているTCP 9090番ポートと8443番ポートに対するスキャンが2月7日に急増していたという。

　この現象は特定のIPアドレスが引き起こしたもので、9090番ポートのスキャンを急増させていたのは中国の大学に割り当てられたIPアドレス、8443番ポートは英国のホスティング企業に割り当てられたIPアドレスだったことが判明した。

ポートスキャンの状況（SANSより）

　Whoisの情報ではこの2つのIPアドレスの間に組織的な関係は確認されなかったといい、この時点で両ホストとも乗っ取られていた可能性があるとSANSは推測する。

　2月17日には再び9090番ポートに対するスキャンの急増が確認され、何者かが脆弱性のあるシステムの標的リストを構築していることがうかがえるとSANSは警告している。