TCP 139番へのスキャン増加で注意喚起

[ITmedia]

　Windowsファイル共有などで利用されているTCP 139番ポートに対するスキャンが増加していることから、JPCERT/CCや警察庁が注意を呼びかけている。

　JPCERT/CCは8月24日、インターネット定点観測システム（ISDAS）において、8月18日以降、TCP 139番ポートを対象としたスキャンが増加しているとして注意を喚起した。警察庁も同様に、TCP 139番ポートに対し、不特定のIPアドレスからのアクセスが増加していると警告している。

　TCP 139番は、主にWindowsのファイル共有に用いられるポートであり、本来の用途であればインターネットを介してトラフィックが観測されることはまれなはずだ。しかし、Windows OSに存在するさまざまな脆弱性を悪用するウイルス／ワームの攻撃経路として利用されているため、定点観測システムでは恒常的にトラフィックが観測されてきた。

　警察庁によると、特に8月23日以降、TCP 139番ポートを狙ったアクセスが急増している。はっきりとした原因は不明だが、8月8日にMicrosoftがリリースした月例パッチ「MS06-040」で修正された脆弱性もTCP 139番を利用することから、同ポートを狙った大規模なスキャンが行われている可能性があるという。

　セキュリティ企業各社はすでに、MS06-040の脆弱性を悪用し、ネットワークに接続しているだけで侵入される恐れのあるボット「Mocbot」について警告してきた。

　JPCERT/CCでは、MS06-040も含めて最新のパッチを適用するほか、「ウイルス対策ソフトを最新の状態にする」「ファイアウォールなどでTCP 139番ポート宛のフィルタリングを行う」といった対策を取るよう推奨している。また、休暇などで外部に持ち出されていたPCを社内ネットワークに接続する際には、ウイルス対策ソフトなどで安全性を確認すべきとしている（関連記事）。