Symantec製品の脆弱性狙うスキャンが国内でも増加、JPCERT/CCが警告
JPCERT/CCのインターネット定点観測システム(ISDAS)で、12月中旬より、TCP2967番ポートへのスキャンが増加していることが観測された。
JPCERTコーディネーションセンター(JPCERT/CC)は12月25日、インターネット定点観測システム(ISDAS)において、TCP2967番ポートへのスキャンが増加していることを観測し、改めて注意を呼び掛けた。
海外ではSANS Internet Storm Centerなどが11月末より、TCP2967番ポートへのスキャンが増加していることを踏まえ、ボットの急増を警告していた。
このポートは、シマンテックのセキュリティ対策製品「Symantec Client Security」「Symantec AntiVirus」が利用している。5月に公開されたパッチを適用せず、脆弱性「SYM06-010」が残ったままの製品を利用していると、このポートを通じて感染するワーム「Big Yellow」に感染し、ボット化される恐れがある。
SANSが11月末に最初の警告を発した後、トラフィックはいったん沈静化した。しかし12月中旬に入って再び2967番ポートのトラフィックが急増したという。12月22日には、さらなるスキャンの急増が見られるとして、再度警告を発していた。
JPCERT/CCのISDASでも、12月中旬より同ポートへのスキャン増加が見られるという。原因は特定できていないが、「Symantec Client SecurityおよびSymantec AntiVirusなどの脆弱性を悪用するワームによる感染の試みである可能性」があるという。
JPCERT/CCでは、Symantec製品を利用している場合はパッチの適用や緩和策を実行するよう推奨するとともに、「ウイルス対策ソフトを最新の状態にする」「ファイアウォールなどで外部からのTCP2967ポート宛のパケットをフィルタリングする」といった対策を講ずるよう勧めている。
関連記事
- Symantec製品の脆弱性狙うボット「Big Yellow」、eEyeが捕獲
米eEye Digital Securityは、Symantecのセキュリティ対策製品に存在する脆弱性を狙ったマルウェア「Big Yellow」をハニーポットを通じて捕獲した。 - Symantec製品の脆弱性を狙うボットが活動再開?
- Symantecがボット警告――パッチの適用を呼び掛け
- Symantec製品の脆弱性突いたボットが急増
- 特集:年末緊急特番!ボットネット対策のすすめ
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.