複数のセキュリティ機関が警告

ServerProtectを狙う攻撃? TCP 5168番へのスキャンが急増

2007/08/23

 8月22日以降、TCP 5168番ポートへのスキャン増加が観測されている。その直前に発見された、トレンドマイクロのサーバ向けウイルス対策製品「Trend Micro ServerProtect for Windows/NetWare」の脆弱性を狙った攻撃である可能性が高く、複数のセキュリティ機関が注意を呼び掛けている。

 ServerProtectの脆弱性は、8月21日に明らかにされた。整数オーバーフローやバッファオーバーフローなど複数の脆弱性が確認されており、TCP 5168番ポートに細工を施したRPCリクエストを送り付けると、任意のコードの実行につながる恐れがある。フランスのセキュリティ企業、FrSIRTではこの脆弱性の深刻度を、最も危険な「Critical」と評価。トレンドマイクロでもパッチを公開し、適用を呼び掛けていた。

 一方、JPCERT/CCは8月23日、インターネット観測システム(ISDAS)においてTCP 5168番ポートに対するスキャンが急増していることを確認した。「原因は特定できていない」としながらも、ServerProtectの脆弱性を狙った攻撃の可能性があるという。同じく米国のセキュリティ機関、SANSもTCP 5168番ポートへのスキャンが増加していることを踏まえ、注意を呼び掛けた。

tcp5168_port.gif インターネット観測システム(ISDAS)におけるTCP 5168番ポートへのスキャンの状況(JPCERT/CCより)

 対策は、トレンドマイクロが公開しているパッチを適用すること。またJPCERT/CCでは、二次被害を防ぐ方法として、内部から外部に対するTCP 5168番ポート宛てのパケットを制限することを推奨している。

(高橋睦美)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)