JPCERT コーディネーションセンター

TCP 1025番ポートへのスキャンの増加に関する注意喚起

各位

JPCERT-AT-2005-0012
JPCERT/CC
2005-12-12

JPCERT/CC Alert 2005-12-12


TCP 1025番ポートへのスキャンの増加に関する注意喚起

Increase in TCP Port 1025 scanning activity

http://www.jpcert.or.jp/at/2005/at050012.txt


I. 概要

JPCERT/CC では、TCP 1025番ポートへのスキャンが 2005年12月8日(木) より増加していることを、運用中の定点観測システム(*)において確認しています。これらのスキャンの原因は特定できておりませんが、MS05-051 の脆弱性を悪用する新種のワームによる感染の試みである可能性があります。

(*) JPCERT/CC 定点観測システム
http://www.jpcert.or.jp/present/2003/press1105.txt


II. 観測状況

定点観測システムにおいて観測した TCP 1025番ポートへのスキャン状況については下記をご参照下さい。本スキャンの特徴は、アクセス元ポート番号が
TCP 6000番であることです。

ISDAS アクセス先ポート別グラフ(2005/12/5-12/12)
/isdas/2005/20051205-12_port.png

ISDAS アクセス元地域別ポート指定グラフ(2005/12/5-12/12)
/isdas/2005/20051205-12_tcp1025_region.png


III.対策

TCP 1025番ポートに関連するサービスの脆弱性に対する対策を再度確認することをお勧めします。一例としてパケットフィルタリング機能などを用いて、外部から内部の TCP 1025番ポート宛の不要なパケットを制限することもご検討ください。また、ワームに感染してしまった場合の二次被害を防ぐために、内部から外部の TCP 1025番ポート宛のパケットを制限することも併せてご検討ください。

更に、Microsoft Windows への侵入やワームの感染を防ぐために、Microsoft が提供している修正プログラム (MS05-051) の適用も検討してください。詳細については以下の URL で示したページをご参照ください。

http://www.microsoft.com/japan/technet/security/bulletin/ms05-051.mspx


今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

==============================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter