TCP 1025番ポートへのアクセス(米SANSの情報から引用)
[画像のクリックで拡大表示]
[画像のクリックで拡大表示]
セキュリティ組織の米SANS Instituteは現地時間12月10日,TCP 1025番ポートに対するアクセスが急増しているとして注意を呼びかけた。警察庁も12月9日,同様の警告を出している。これらのアクセスは,Windowsの既知の脆弱性(セキュリティ・ホール)を狙った攻撃である可能性が高い。修正パッチを適用していることを確認するとともに,ファイアウオールなどでは不要なポートをふさいでおきたい。
SANSでは現地時間12月8日の昼から,警察庁では12月8日の夜からアクセスの急増を確認している。SANSによると,これらのアクセスのパケットの一部には,10月に公開された「MSDTCおよびCOM+の脆弱性により,リモートでコードが実行される (902400) (MS05-051)」の脆弱性を突くプログラム(Exploit)が含まれていたという(関連記事1,関連記事2,関連記事3)。
警察庁ではアクセス増加の原因は不明としながらも,WindowsのRPC(Remote Procedure Call)を使用するDCOMインタフェースへの大規模なスキャンである可能性があるとしている。このため,修正パッチを適用するなどして,マシンのセキュリティを再確認するよう勧めている。
◎参考資料
◆Increase in Port 1025 scan(米SANS Institute)
◆Port 1025/6000 Action (Part II)(米SANS Institute)
◆Port 1025(graph)
◆TCP1025番ポートに対するアクセスの増加について(12/9)(警察庁)
