TCP 2967番ポートへのスキャン増加に関する注意喚起(公開)
最終更新: 2006-12-25
各位
JPCERT-AT-2006-0021
JPCERT/CC
2006-12-25
<<< JPCERT/CC Alert 2006-12-25 >>>
TCP 2967番ポートへのスキャン増加に関する注意喚起
Increased activity targeting TCP port 2967
http://www.jpcert.or.jp/at/2006/at060021.txt
I. 概要
JPCERT/CC では、TCP 2967番ポートへのスキャンが 2006年12月中旬より増
加していることを、インターネット定点観測システム (以下、ISDAS) におい
て確認しております。これらのスキャンの原因は特定できておりませんが、
Symantec Client Security および Symantec AntiVirus などの脆弱性を悪用
するワームによる感染の試みである可能性があります。
II. 観測状況
ISDAS において観測した TCP 2967番ポートへのスキャン状況については下
記をご参照ください。
ISDAS TCP 2967番ポート指定グラフ (2006/12/1-12/25)
ISDAS TCP 2967番ポート指定グラフ (2006/1/1-12/31)
III. 対策
TCP 2967番ポートに関連するサービスの脆弱性に対する対策を再度確認する
ことをお勧めします。
1) Symantec Client Security および Symantec AntiVirus を利用してい
る場合は、「IV. 参考情報」に従い対策済みソフトウェアの適用もしく
は緩和策を実行する
2) ウイルス等検知ソフトを最新の状態に更新する
3) ファイアウォールなどで外部からの TCP 2967番ポート宛てパケットを
フィルタリングする
また、ワームに感染した場合の二次被害を防ぐために、内部から外部の TCP
2967番ポート宛のパケットを制限することも併せてご検討ください。
IV. 参考情報
インターネット定点観測システム (ISDAS)
http://www.jpcert.or.jp/isdas/
SYM06-010
Symantec Client Security および Symantec AntiVirus に特権昇格の脆弱性
http://www.symantec.com/region/jp/avcenter/security/content/2006.05.25.html
Symantec Security Response W32.Sagevo
http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.sagevo.html
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp
Topへ