Symantec製品の脆弱性狙うボット「Big Yellow」、eEyeが捕獲

米eEye Digital Securityは、Symantecのセキュリティ対策製品に存在する脆弱性を狙ったマルウェア「Big Yellow」をハニーポットを通じて捕獲した。

[ITmedia]

　米eEye Digital Securityは12月15日、Symantecのセキュリティ対策製品に存在する脆弱性を狙ったマルウェア「Big Yellow」を発見したと発表した。

　米SANS Internet Storm CenterやSymantecでは11月末より、2967番ポートをスキャンするトラフィックが大幅に増加したことを踏まえ、Symantecの「Symantec Client Security」「Symantec AntiVirus Corporate Edition」を狙ったボットが急増していることに注意を呼び掛けていた。

　Big Yellowが発見されたのは12月14日遅くのこと。セキュリティ調査のために設置しているハニーポットを通じて捕獲した。

　同社の分析によると、Big Yellowは自力で脆弱性を突いて感染を広める「ワーム」と、特定のサーバから送られる指令に基づいてさまざまな攻撃活動を行う「ボット」の性質を兼ね備えている。OSの脆弱性を狙ったワーム「Code Red」とは対照的に、デスクトップアプリケーションをターゲットとしたワーム兼ボットと言えるという（日本語版の情報）。

　Big Yellowは、Windows OSそのものの脆弱性ではなく、Symantecのウイルス対策製品の脆弱性「SYM06-010」を突いてPCに侵入する。この脆弱性は、悪用されれば、System権限で任意のコードをリモートから実行される恐れのある危険性の高いものだ。ただし5月25日にはパッチがリリースされていた。

　eEye Digital SecurityのCTO、マーク・メイフレット氏はリリースの中で、「Microsoft（の製品）ではなく、ネットワークのあちこちで利用されている無数のアプリケーションが新しい攻撃経路となっていることを理解する必要がある」とコメントしている。アプリケーションに存在する脆弱性が、Microsoft OSのそれよりも早く発見されるようになっているからだ。

　「IT部門はいまだに認識していないが、ウイルス対策ソフトからiTunesに至るまで、非Microsoftのデスクトップアプリケーションが、企業における最も脆弱なポイントになっている。しかもこの動きは本当に本当に急速だ」（同氏）

　なおeEyeでは、企業向けの対策として、アプリケーションも含めた脆弱性管理プログラムと、包括的なエンドポイントセキュリティ製品の導入を推奨している。またBig Yellowへの当面の対処としては、Symantec AntiVirus／Client Securityを最新バージョンにアップデートすること、ゲートウェイでTCP 2967番ポートの通信をブロックすることが挙げられている。