• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

シマンテック製品を狙うボットネットが“復活”か,特定のトラフィックが再び急増

勝村 幸博=ITpro 2006/12/13 ITpro
図 2967番ポートに関連するトラフィック(SANS Instituteの情報から引用)<br>12月10日以降,2967番ポートあて(Targets)のトラフィックが急増している。
図 2967番ポートに関連するトラフィック(SANS Instituteの情報から引用)<br>12月10日以降,2967番ポートあて(Targets)のトラフィックが急増している。
[画像のクリックで拡大表示]

 米SANS Instituteは12月12日,米Symantecのセキュリティ製品「Symantec Client Security」および「Symantec AntiVirus」の脆弱性(セキュリティ・ホール)を狙うボットネットが“復活”している可能性があるとして注意を呼びかけた。

 SANS Instituteによると,2967番ポートへのトラフィックが増加しているという。あまりにも急増しているため,このトラフィックは,ボット感染マシンを増やすためにボットネットが送信している攻撃トラフィックだと考えられる。

 2967番ポートは,Symantec Client SecurityやSymantec AntiVirusが稼働するポートである。このため,2006年5月に公表された「Symantec Client SecurityおよびSymantec AntiVirusに特権昇格の脆弱性」が攻撃対象になっている可能性が高い。この脆弱性は,細工が施されたデータを送信されるだけで,任意のプログラムを実行される危険なもの(関連記事:シマンテックのセキュリティ製品に危険な脆弱性)。

 同様のトラフィック増加は11月末にも確認されているが,その後“沈静化”している(関連記事:シマンテック製品の脆弱性を狙う大規模攻撃)。ところが12月10日に再び急増。この理由としてSANS Instituteでは,新しい“C&C(Command&Control)サーバー”が活動を開始したためだとみる。C&Cサーバーとは,ボットネットに攻撃命令を送るマシン。C&Cサーバーがダウンさせられたために一度は沈静化したものの,それに代わるC&Cサーバーが動き出したため,攻撃が再開された可能性がある。

SANS Instituteの情報

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る