MS06-040の脆弱性にも関連するTCP 139番ポートに対するスキャンが増加。JPCERT/CCや警察庁が注意を呼びかけている。
Windowsファイル共有などで利用されているTCP 139番ポートに対するスキャンが増加していることから、JPCERT/CCや警察庁が注意を呼びかけている。
JPCERT/CCは8月24日、インターネット定点観測システム(ISDAS)において、8月18日以降、TCP 139番ポートを対象としたスキャンが増加しているとして注意を喚起した。警察庁も同様に、TCP 139番ポートに対し、不特定のIPアドレスからのアクセスが増加していると警告している。
TCP 139番は、主にWindowsのファイル共有に用いられるポートであり、本来の用途であればインターネットを介してトラフィックが観測されることはまれなはずだ。しかし、Windows OSに存在するさまざまな脆弱性を悪用するウイルス/ワームの攻撃経路として利用されているため、定点観測システムでは恒常的にトラフィックが観測されてきた。
警察庁によると、特に8月23日以降、TCP 139番ポートを狙ったアクセスが急増している。はっきりとした原因は不明だが、8月8日にMicrosoftがリリースした月例パッチ「MS06-040」で修正された脆弱性もTCP 139番を利用することから、同ポートを狙った大規模なスキャンが行われている可能性があるという。
セキュリティ企業各社はすでに、MS06-040の脆弱性を悪用し、ネットワークに接続しているだけで侵入される恐れのあるボット「Mocbot」について警告してきた。
JPCERT/CCでは、MS06-040も含めて最新のパッチを適用するほか、「ウイルス対策ソフトを最新の状態にする」「ファイアウォールなどでTCP 139番ポート宛のフィルタリングを行う」といった対策を取るよう推奨している。また、休暇などで外部に持ち出されていたPCを社内ネットワークに接続する際には、ウイルス対策ソフトなどで安全性を確認すべきとしている(関連記事)。
Copyright © ITmedia, Inc. All Rights Reserved.