米eEye Digital Securityは、Symantecのセキュリティ対策製品に存在する脆弱性を狙ったマルウェア「Big Yellow」をハニーポットを通じて捕獲した。
米eEye Digital Securityは12月15日、Symantecのセキュリティ対策製品に存在する脆弱性を狙ったマルウェア「Big Yellow」を発見したと発表した。
米SANS Internet Storm CenterやSymantecでは11月末より、2967番ポートをスキャンするトラフィックが大幅に増加したことを踏まえ、Symantecの「Symantec Client Security」「Symantec AntiVirus Corporate Edition」を狙ったボットが急増していることに注意を呼び掛けていた。
Big Yellowが発見されたのは12月14日遅くのこと。セキュリティ調査のために設置しているハニーポットを通じて捕獲した。
同社の分析によると、Big Yellowは自力で脆弱性を突いて感染を広める「ワーム」と、特定のサーバから送られる指令に基づいてさまざまな攻撃活動を行う「ボット」の性質を兼ね備えている。OSの脆弱性を狙ったワーム「Code Red」とは対照的に、デスクトップアプリケーションをターゲットとしたワーム兼ボットと言えるという(日本語版の情報)。
Big Yellowは、Windows OSそのものの脆弱性ではなく、Symantecのウイルス対策製品の脆弱性「SYM06-010」を突いてPCに侵入する。この脆弱性は、悪用されれば、System権限で任意のコードをリモートから実行される恐れのある危険性の高いものだ。ただし5月25日にはパッチがリリースされていた。
eEye Digital SecurityのCTO、マーク・メイフレット氏はリリースの中で、「Microsoft(の製品)ではなく、ネットワークのあちこちで利用されている無数のアプリケーションが新しい攻撃経路となっていることを理解する必要がある」とコメントしている。アプリケーションに存在する脆弱性が、Microsoft OSのそれよりも早く発見されるようになっているからだ。
「IT部門はいまだに認識していないが、ウイルス対策ソフトからiTunesに至るまで、非Microsoftのデスクトップアプリケーションが、企業における最も脆弱なポイントになっている。しかもこの動きは本当に本当に急速だ」(同氏)
なおeEyeでは、企業向けの対策として、アプリケーションも含めた脆弱性管理プログラムと、包括的なエンドポイントセキュリティ製品の導入を推奨している。またBig Yellowへの当面の対処としては、Symantec AntiVirus/Client Securityを最新バージョンにアップデートすること、ゲートウェイでTCP 2967番ポートの通信をブロックすることが挙げられている。
Copyright © ITmedia, Inc. All Rights Reserved.