［世界］
トレンドマイクロ製ソフトの脆弱性悪用が狙い？――TCP 5168番ポートのスキャンが急増

同社は修正パッチの早期適用を呼びかけ

（2007年08月24日）

　米国シマンテックは8月23日、トレンドマイクロ製アンチウイルス・ソフトの脆弱性をターゲットにしていると見られるTCPポート・スキャンが急増していることを明らかにした。シマンテックでは、同ソフトが稼働しているWindowsサーバが近く攻撃を受ける可能性もあるとして注意を呼びかけている。

　シマンテックのセキュリティ早期警戒サービス「DeepSight」は米国時間の23日早朝、トレンドマイクロのアンチウイルス・ソフト「ServerProtect」のRPC（リモート・プロシージャ・コール）サービスに関係するTCP 5168番ポートのスキャンが急増しているのを確認した。シマンテックでは、同ソフトの脆弱性を悪用したWindowsシステムへの攻撃準備が進んでいることを示す証拠かもしれないとして、直ちに顧客企業にアラートを発したという。

　シマンテックはさらに、同社のハニーポット（攻撃者をおびき寄せる「おとり」のシステム）が、ServerProtectへの攻撃例を少なくとも1件記録したことを明らかにした。同社アナリストのプフライ・シン氏は、この攻撃がServerProtectの脆弱性を利用したものかどうかの確認を行っている最中だと述べている。

　シマンテックが検知したポート・スキャンは、ピーク時には世界中の1,000個のデバイス、300以上の異なるIPアドレスが関与した大規模なものだった。しかし、わずか数時間後には勢いが衰えたという。

　TCP 5168番ポートを対象とした「大規模なスキャン活動」は、SANSインスティチュートのISC（インターネット・ストーム・センター）でも確認されている。ISCは23日、攻撃コードの可能性がある疑わしいデータ・パケットのサンプルを同社アナリストに配布した。

　ServerProtectに脆弱性が存在することが公になったのは20日のことだ。ベリサインのiDefense緊急対策チームが詳細を公表したからである。iDefenseチームは6月中旬にも、同ソフトのバグをトレンドマイクロに報告している。

　トレンドマイクロは22日、ISCのスキャニング・アラートを基にした調査結果を発表、ServerProtectユーザーに対し速やかに修正パッチを施すよう呼びかけた。「当社から入手できるServerProtectの最新セキュリティ・パッチを可能なかぎり速やかに適用して潜在的攻撃から身を守ることを、ユーザー企業のセキュリティ担当者にはくれぐれもお願いしたい」（トレンドマイクロが発したアラートより）

　今年8月は、複数のセキュリティ・ソフト・ベンダーが自社ソフトの欠陥を修正するパッチの公開を強いられた。トレンドマイクロのアンチスパイウェア・スキャニング・エンジンは今週修正を迫られ、チェック・ポイントのセキュリティ製品ライン「ZoneAlarm」とオープンソースの「Clam AntiVirus」も同様だった。

　興味深いことに、ZoneAlarmにセキュリティ上のバグがあることをiDefenseチームがチェック・ポイントに通告したのは、ほぼ2年前の2005年9月のことである。

(グレッグ・カイザー／Computerworld オンライン米国版)