Trend Micro製ソフトの脆弱性悪用が狙い?――TCP 5168番ポートのスキャンが急増――同社は修正パッチの早期適用を呼びかけ

 米国Symantecは8月23日、Trend Micro製アンチウイルス・ソフトの脆弱性をターゲットにしていると見られるTCPポート・スキャンが急増していることを明らかにした。Symantecでは、同ソフトが稼働しているWindowsサーバが近く攻撃を受ける可能性もあるとして注意を呼びかけている。

 Symantecのセキュリティ早期警戒サービス「DeepSight」は米国時間の23日早朝、Trend Microのアンチウイルス・ソフト「ServerProtect」のRPC(リモート・プロシージャ・コール)サービスに関係するTCP 5168番ポートのスキャンが急増しているのを確認した。Symantecでは、同ソフトの脆弱性を悪用したWindowsシステムへの攻撃準備が進んでいることを示す証拠かもしれないとして、直ちに顧客企業にアラートを発したという。

 Symantecはさらに、同社のハニーポット(攻撃者をおびき寄せる「おとり」のシステム)が、ServerProtectへの攻撃例を少なくとも1件記録したことを明らかにした。同社アナリストのプフライ・シン氏は、この攻撃がServerProtectの脆弱性を利用したものかどうかの確認を行っている最中だと述べている。

 Symantecが検知したポート・スキャンは、ピーク時には世界中の1,000個のデバイス、300以上の異なるIPアドレスが関与した大規模なものだった。しかし、わずか数時間後には勢いが衰えたという。

 TCP 5168番ポートを対象とした「大規模なスキャン活動」は、SANS InstituteのISC(インターネット・ストーム・センター)でも確認されている。ISCは23日、攻撃コードの可能性がある疑わしいデータ・パケットのサンプルを同社アナリストに配布した。

 ServerProtectに脆弱性が存在することが公になったのは20日のことだ。VeriSignのiDefense緊急対策チームが詳細を公表したからである。iDefenseチームは6月中旬にも、同ソフトのバグをTrend Microに報告している。

 Trend Microは22日、ISCのスキャニング・アラートを基にした調査結果を発表、ServerProtectユーザーに対し速やかに修正パッチを施すよう呼びかけた。「当社から入手できるServerProtectの最新セキュリティ・パッチを可能なかぎり速やかに適用して潜在的攻撃から身を守ることを、ユーザー企業のセキュリティ担当者にはくれぐれもお願いしたい」(Trend Microが発したアラートより)

 今年8月は、複数のセキュリティ・ソフト・ベンダーが自社ソフトの欠陥を修正するパッチの公開を強いられた。Trend Microのアンチスパイウェア・スキャニング・エンジンは今週修正を迫られ、チェック・ポイントのセキュリティ製品ライン「ZoneAlarm」とオープンソースの「Clam AntiVirus」も同様だった。

 興味深いことに、ZoneAlarmにセキュリティ上のバグがあることをiDefenseチームがチェック・ポイントに通告したのは、ほぼ2年前の2005年9月のことである。

(グレッグ・カイザー/Computerworld オンライン米国版)

提供:Computerworld.jp