図 2967番ポートに関連するトラフィック(SANS Instituteの情報から引用)<br>12月10日以降,2967番ポートあて(Targets)のトラフィックが急増している。
[画像のクリックで拡大表示]
米SANS Instituteは12月12日,米Symantecのセキュリティ製品「Symantec Client Security」および「Symantec AntiVirus」の脆弱性(セキュリティ・ホール)を狙うボットネットが“復活”している可能性があるとして注意を呼びかけた。
SANS Instituteによると,2967番ポートへのトラフィックが増加しているという。あまりにも急増しているため,このトラフィックは,ボット感染マシンを増やすためにボットネットが送信している攻撃トラフィックだと考えられる。
2967番ポートは,Symantec Client SecurityやSymantec AntiVirusが稼働するポートである。このため,2006年5月に公表された「Symantec Client SecurityおよびSymantec AntiVirusに特権昇格の脆弱性」が攻撃対象になっている可能性が高い。この脆弱性は,細工が施されたデータを送信されるだけで,任意のプログラムを実行される危険なもの(関連記事:シマンテックのセキュリティ製品に危険な脆弱性)。
同様のトラフィック増加は11月末にも確認されているが,その後“沈静化”している(関連記事:シマンテック製品の脆弱性を狙う大規模攻撃)。ところが12月10日に再び急増。この理由としてSANS Instituteでは,新しい“C&C(Command&Control)サーバー”が活動を開始したためだとみる。C&Cサーバーとは,ボットネットに攻撃命令を送るマシン。C&Cサーバーがダウンさせられたために一度は沈静化したものの,それに代わるC&Cサーバーが動き出したため,攻撃が再開された可能性がある。
