米SANS Instituteは現地時間8月30日,TCPポート139番へのトラフィック(通信量)の急増をインターネット上で観測していることを明らかにした。8月に公開されたWindowsのセキュリティ・ホールを突く攻撃(あるいは攻撃前の調査)の可能性があるとして注意を呼びかけている。
8月9日に公開された「Serverサービスの脆弱性により,リモートでコードが実行される (921883) (MS06-040)」は,特に危険なセキュリティ・ホールであるとして,公開当初から警告されていた(関連記事:「MS06-040」のパッチ適用を優先させるべき)。細工が施されたデータを送信されるだけで悪質なプログラムを恐れがあるためだ。
実際,このセキュリティ・ホールを突いて任意のプログラムを実行するプログラムがネット上で公開されている(関連記事:Windowsの新しいセキュリティ・ホールを突くコードを確認)。
「MS06-040」は,TCPポート139番および445番でリクエストを待ち受けるServerサービスのセキュリティ・ホールである。このため,今回確認されているトラフィック急増は,「MS06-040」を狙った攻撃あるいは攻撃前の調査である可能性がある。そこでSANS Instituteでは注意を呼びかけるとともに,インターネット/LAN境界などでTCPポート139番および445番へのトラフィックをブロックすることを勧めている。もちろん,修正パッチ(セキュリティ更新プログラム)の適用も重要である。
なお,JPCERTコーディネーションセンター(JPCERT/CC)なども同様の注意喚起を先週おこなっている(JPCERT/CCの情報)。
・SANS Instituteの情報
・JPCERT/CCの情報