Symantec製品の脆弱性を狙うボットが活動再開？

[ITmedia]

本記事の関連コンテンツは「年末緊急特番！ボットネット対策のすすめ」でご覧になれます。

　SANS Internet Storm Centerは12月12日付で、Symantecのセキュリティ対策製品の脆弱性を突いたボットの活動が再び活発化している恐れがあるとし、注意を呼び掛けた。

　SANSはこれに先立つ11月27日に、「Symantec Client Security」「Symantec AntiVirus Corporate Edition」に存在するスタックオーバーフローの脆弱性を悪用するボットが大量に発生していることを警告していた。その根拠の1つが、Symantecの両製品が利用する2967番ポートのトラフィックの急増だった。

　このトラフィックはいったん沈静化したが、SANSによると12月10日以降、2967番ポートをスキャニングするトラフィックが再び増加している。その理由として、新しい指令サーバ（C＆Cサーバ：コマンド＆コントロールサーバ）が活動を開始したことが考えられるという。

　なお、両製品の脆弱性自体は新しいものではなく、5月にアドバイザリーおよび修正パッチが公開済みだ。Symantecではこのボット急増を受け、改めてパッチの適用を呼び掛けていた。