-----BEGIN PGP SIGNED MESSAGE----- 各位 JPCERT-AT-2006-0021 JPCERT/CC 2006-12-25 <<< JPCERT/CC Alert 2006-12-25 >>> TCP 2967番ポートへのスキャン増加に関する注意喚起 Increased activity targeting TCP port 2967 http://www.jpcert.or.jp/at/2006/at060021.txt I. 概要 JPCERT/CC では、TCP 2967番ポートへのスキャンが 2006年12月中旬より増 加していることを、インターネット定点観測システム (以下、ISDAS) におい て確認しております。これらのスキャンの原因は特定できておりませんが、 Symantec Client Security および Symantec AntiVirus などの脆弱性を悪用 するワームによる感染の試みである可能性があります。 II. 観測状況 ISDAS において観測した TCP 2967番ポートへのスキャン状況については下 記をご参照ください。 ISDAS TCP 2967番ポート指定グラフ (2006/12/1-12/25) http://www.jpcert.or.jp/isdas/2006/20061201-1225_2967_port.png ISDAS TCP 2967番ポート指定グラフ (2006/1/1-12/31) http://www.jpcert.or.jp/isdas/2006/20060101-1231_2967_port.png III. 対策 TCP 2967番ポートに関連するサービスの脆弱性に対する対策を再度確認する ことをお勧めします。 1) Symantec Client Security および Symantec AntiVirus を利用してい る場合は、「IV. 参考情報」に従い対策済みソフトウェアの適用もしく は緩和策を実行する 2) ウイルス等検知ソフトを最新の状態に更新する 3) ファイアウォールなどで外部からの TCP 2967番ポート宛てパケットを フィルタリングする また、ワームに感染した場合の二次被害を防ぐために、内部から外部の TCP 2967番ポート宛のパケットを制限することも併せてご検討ください。 IV. 参考情報 インターネット定点観測システム (ISDAS) http://www.jpcert.or.jp/isdas/ SYM06-010 Symantec Client Security および Symantec AntiVirus に特権昇格の脆弱性 http://www.symantec.com/region/jp/avcenter/security/content/2006.05.25.html Symantec Security Response W32.Sagevo http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.sagevo.html 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ====================================================================== JPCERT コーディネーションセンター (JPCERT/CC) TEL: 03-3518-4600 FAX: 03-3518-4602 http://www.jpcert.or.jp -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBRY+9Aox1ay4slNTtAQG6fAQA3f2ir57q8Hbt5qMlRLki+UXz9D67xZN/ RbFB5fTT5TIZ4mf4qLbt/PmSkFNNc0VoirRfQHCLMA7yrMeA5mQ6VsWq2QqLhCBl uIbu6UBo6noNMjU6hoG4rs6gRyNEsZP24zlbEg/cZTqY/d0n6bbRhCrCa6jSV154 dRh/9gOQVkg= =5a7/ -----END PGP SIGNATURE-----