図1 TCP/UDP 2967番ポートに関連するトラフィック(SANS Instituteの情報から引用)<br>2967番ポートあて(Targets)のトラフィックが急増していることが分かる。
図1 TCP/UDP 2967番ポートに関連するトラフィック(SANS Instituteの情報から引用)<br>2967番ポートあて(Targets)のトラフィックが急増していることが分かる。
[画像のクリックで拡大表示]

 米SANS Instituteは現地時間11月27日,米Symantecのセキュリティ製品「Symantec Client Security」および「Symantec AntiVirus」の脆弱性(セキュリティ・ホール)を狙った大規模な攻撃が報告されたことを明らかにした。攻撃は,ボットネットがボット感染マシンを増やすためにおこなっている可能性がある。

 今回の攻撃対象になっているのは,2006年5月に公表された「Symantec Client SecurityおよびSymantec AntiVirusに特権昇格の脆弱性」。細工が施されたデータを送信されるだけで,データに含まれる任意のプログラムを実行される危険な脆弱性である(関連記事:シマンテックのセキュリティ製品に危険な脆弱性)。

 SANS Instituteによれば,現時点ではこのボットネットの存在は確認していないものの,Symantec Client Securityが稼働するポート(TCP/UDP 2967番ポート)へのトラフィックがここ数日で急増していることは確認しているという(図1)。このトラフィック急増は,攻撃によるものだと考えられる。

 なお攻撃対象となっている脆弱性については,Symantecは修正パッチを公開済み。パッチを適用していれば,ボットなどを勝手にインストールされる恐れはない。パッチは,同社製品が備える自動アップデート機能「Live Update」を有効にしていれば(デフォルトは有効),自動的に適用されると考えられる。また,同社サイトからダウンロードすることもできる(詳細は,同社のセキュリティ情報を参照)。

SANS Instituteの情報
シマンテックの情報