-----BEGIN PGP SIGNED MESSAGE----- 各位 JPCERT-AT-2005-0012 JPCERT/CC 2005-12-12 <<< JPCERT/CC Alert 2005-12-12 >>> TCP 1025番ポートへのスキャンの増加に関する注意喚起 Increase in TCP Port 1025 scanning activity http://www.jpcert.or.jp/at/2005/at050012.txt I. 概要 JPCERT/CC では、TCP 1025番ポートへのスキャンが 2005年12月8日(木) よ り増加していることを、運用中の定点観測システム(*)において確認していま す。これらのスキャンの原因は特定できておりませんが、MS05-051 の脆弱性 を悪用する新種のワームによる感染の試みである可能性があります。 (*) JPCERT/CC 定点観測システム http://www.jpcert.or.jp/present/2003/press1105.txt II. 観測状況 定点観測システムにおいて観測した TCP 1025番ポートへのスキャン状況に ついては下記をご参照下さい。本スキャンの特徴は、アクセス元ポート番号が TCP 6000番であることです。 ISDAS アクセス先ポート別グラフ(2005/12/5-12/12) http://www.jpcert.or.jp/isdas/2005/20051205-12_port.png ISDAS アクセス元地域別ポート指定グラフ(2005/12/5-12/12) http://www.jpcert.or.jp/isdas/2005/20051205-12_tcp1025_region.png III.対策 TCP 1025番ポートに関連するサービスの脆弱性に対する対策を再度確認する ことをお勧めします。一例としてパケットフィルタリング機能などを用いて、 外部から内部の TCP 1025番ポート宛の不要なパケットを制限することもご検 討ください。また、ワームに感染してしまった場合の二次被害を防ぐために、 内部から外部の TCP 1025番ポート宛のパケットを制限することも併せてご検 討ください。 更に、Microsoft Windows への侵入やワームの感染を防ぐために、 Microsoft が提供している修正プログラム (MS05-051) の適用も検討してくだ さい。詳細については以下の URL で示したページをご参照ください。 http://www.microsoft.com/japan/technet/security/bulletin/ms05-051.mspx 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ====================================================================== JPCERT コーディネーションセンター (JPCERT/CC) TEL: 03-3518-4600 FAX: 03-3518-4602 http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBQ50oxYx1ay4slNTtAQEPzgP8D6dME1SJEx39X661Vd6lLA9h7i/vdbqr waLeJC8I+zRGp8qLAkVK6wvhm2DLWt6g9Slx8BSSJBlZ1fmSCejOslKMW97cdu3+ bw1U1w/8PavC4feq5sdDRS6AOzXdiuMTBqQjvakkQGyBMCtOeJMKYUKIKRRuCGTd /uRrWLj0e74= =MiEn -----END PGP SIGNATURE-----