JPCERTコーディネーションセンター(JPCERT/CC)は12月25日,12月中旬以降,TCP 2967番ポートへのスキャンが増加しているとして注意を呼びかけた。原因は特定できていないとしながらも,シマンテックのセキュリティ製品の脆弱性(セキュリティ・ホール)を突くワームによる感染の試みである可能性があるという。
TCP 2967番ポートへのアクセス急増は,セキュリティ組織の米SANS Instituteなども11月末および12月中旬に報告している(関連記事1,関連記事2)。これらの原因は,シマンテックのセキュリティ製品「Symantec Client Security」や「Symantec AntiVirus」の脆弱性を突く攻撃によるものだとみられている。
この脆弱性は「Symantec Client SecurityおよびSymantec AntiVirusに特権昇格の脆弱性」として2006年5月に公表され修正パッチなどもリリースされているものの,現在でも未対策のマシンが少なくないためターゲットになっている模様。
「Symantec Client SecurityおよびSymantec AntiVirusに特権昇格の脆弱性」は,Symantec Client SecurityやSymantec AntiVirusがリクエストを持ちうけるTCP 2967番ポートに細工が施されたデータを送信されるだけで任意のプログラムを実行される危険な脆弱性である。
シマンテックでは米国時間12月13日付けで,この脆弱性を突くワーム「W32.Sagevo」を報告。セキュリティ・ベンダーの米eEye Digital Securityでも,ワーム「Big Yellow」の詳細を12月15日付けで公表している。
JPCERT/CCが観測したTCP 2967番ポートへのアクセス急増は,この脆弱性を突くワームの感染活動によるものである可能性がある。このためJPCERT/CCでは,Symantec Client SecurityおよびSymantec AntiVirusのユーザーに対して,「対策済みソフトウエアの適用もしくは緩和策を実行」を勧めている(これらの詳細はシマンテックの情報に記載されている)。
加えて,「ウイルス対策ソフトなどを最新の状態に保つ」「ファイアウオールなどで,外部からTCP 2967番ポートあてに送られるパケットをブロックする」――ことを勧めている。
