警察庁は2月11日,TCP 3127番ポートへのトラフィック増加を検知したことを明らかにした。TCP 3127番は,Mydoomウイルスのバックドア・プログラムが外部からのアクセスを待ち受けるポートの一つである。トラフィック増加は,このバックドアを悪用しようとするアクセスが増えているためだと考えられる。警察庁では,使用しているパソコンのセキュリティを再確認するよう勧めている。
Mydoomは,感染したパソコン(Mydoomが実行されたパソコン)にバックドアを仕掛ける(関連記事)。そのバックドアにアクセスして特定のコマンドを送信すれば,任意のサイトに置かれた任意のファイルを,そのパソコンにダウンロードできる。そして,そのパソコン上で実行させることが可能である。
このため,Mydoomが感染していて(バックドアが稼働していて),なおかつTCP 3127番などのポートが開いているパソコンを見つければ,攻撃者はそのパソコンを乗っ取れる可能性がある。乗っ取られると,そのパソコンを操作されるだけではなく,別のパソコンへ攻撃するための踏み台としても利用される。被害は自分だけにとどまらない。
Mydoomは急激に感染を広げたので,バックドアにアクセス可能なパソコンは少なくない。それを狙った多数の攻撃者のアクセスにより,TCP 3127番ポートへのトラフィックが増加していると考えられる。Mydoomのバックドアにアクセスして自分自身を送り込む「DOOMJUICE」や「DEADHAT」といったウイルス(ワーム)も出現している。攻撃者やウイルスに自分のパソコンを悪用されないためには,ウイルス対策をきちんと実施する必要がある。また,過去に一度でも感染した場合には,きちんと駆除しておこう。駆除ツールはアンチウイルス・ベンダー各社やマイクロソフトなどが公開している。
Mydoomは,2月12日になると感染およびDoS攻撃活動を停止するようプログラミングされている。ただし,Mydoomが消去されるわけではない。2月12日を過ぎても,バックドアを含むMydoomのファイルは残っている。Mydoomを添付したメールが届かなくなっても,感染パソコンではバックドアが稼働していて,外部からのアクセスを待ち受けているのだ。十分注意したい。
◎参考資料
◆TCP3127番ポートに対するトラフィックの増加について(2/11)(警察庁)
◆「TCP3127番ポートに対するトラフィックの増加について」(PDFファイル)
(勝村 幸博=IT Pro)
