ポートスキャン

ポートスキャンは古くから使われるサイバー攻撃の手法の一つです。ここではそのポートスキャンの仕組みや種類、どのような被害に繋がるのかを解説していきます。サイバーセキュリティの対応を行っている方はぜひチェックして下さい。

ポートスキャンとは？

ポートスキャンはサーバーの各ポートに対してデータを送信し、その応答状況によって稼働がどうなっているかを調べる手法の事です。ポートとは通信を行う出入り口にあたるものであり、この稼働状況を把握することができるとそのサーバーでどのようなサービス・機能が提供されているかを調べることができます。これ自体はサイバー攻撃と呼ばれるようなものではありませんが、攻撃するにあたっての下調べとして行われることがあります。

ポートスキャンの仕組み

TCPの場合

TCPの場合には「スリーウェイハンドシェイク」という技術を使われます。接続を行う側は接続してよいかの確認をするために「SYNパケット」を送信し、接続される側のサーバーなどではポートが受けられる状態である場合に「SYN+ACKパケット」を、閉じていれば「SYN+RSTパケット」を返します。接続する側は「SYN+ACKパケット」を受け取った場合に確認応答を返すことから、「送受信を3回行う」という意味で「スリーウェイハンドシェイク」と呼ばれます。

UDPの場合

UDPの場合、TCPとは異なり相互通信を行いません。接続する側が一方的に通信を行う仕組みになっており、UDPポートスキャンでは最初に接続する側が接続される側のサーバーなどに「UDPパケット」を送信します。そのうえで相手から何の返信もなければそのポートは解放されていると判断されるようになっています。逆に閉じている場合、接続をされる側から「ICMP port unreachable」というメッセージを返すような仕組みになっています。

ネットワークスキャンとの違い

ネットワークスキャンは「ネットワークマッピング」ともいわれており、ネットワーク上にあるアクティブなデバイスとそれぞれに割り当てられたIPアドレスを把握し、その脆弱性などを検知するものです。スキャンの方法は手法やツールによってさまざまですが、ICMPやARPプロトコルを利用したリクエストを用いることが一般的です。ネットワークスキャンを実行することでネットワーク内のホストやOS情報・サーバーに関する情報、脆弱性などを検知することが可能です。

ポートスキャンの種類

TCPスキャン

TCPスキャンは標的ポートに接続することでスリーウェイハンドシェイクのシーケンスを実行するようになっています。通信が確立するので、ログが残りやすいスキャン方法として広く知られている手法です。

SYNスキャン

SYNスキャンは完全なTCP接続を伴わないスキャン手法です。SYNパケットを標的のポートに送信し、標的ポートから受信する応答によって稼働している状態か非稼働の状態かを判断するようになっています。

FINスキャン

FINスキャンは標的に接続終了を意味するFINパケットを送信するスキャン手法です。FINパケットが送信されたホストはクローズしたポートにRSTを送り返すため、これにより標的サービスが稼働しているかどうかを判断できます。

クリスマスツリースキャン

標的であるポートに接続終了を意味するFIN・緊急確認を意味するURG・PUSHパケットを送信するスキャン手法であり、標的サービスが稼働していなければRSTパケットを返しますが、稼働していれば何も返らないようになっています。

NULLスキャン

NULLスキャンは全てのフラグをゼロにするスキャン手法です。標的のサービスが稼働をしていなければRSTパケットを返すようになっていますが、稼働していれば何も返ってこないようになっています。

UDPスキャン

UDPで待ち受けているサービスの状態を判断することができるスキャンとなっています。標的ポートにUDPパケットを送信し、メッセージで応答したポートが無ければ稼働していると判断できます。稼働していない場合には応答がありません。

ポートスキャンからどんな被害につながる？

ポートスキャンから始まるサイバー攻撃でシステムに潜在する脆弱性を発見されてしまうと以下のような被害につながるおそれがあります。

情報漏えい

発見された脆弱性を悪用するサイバー攻撃によって機密情報や個人情報などを盗まれるおそれがあります。企業の情報漏えいに繋がった場合、その被害は計り知れません。

マルウェアへの感染

ポートスキャンで得た情報をもとに、悪意ある第三者がマルウェアを使って攻撃するケースも散見されています。ネットワーク内のコンピュータがマルウェアに感染してしまうと、復旧まで業務を停止しなければならなくなるなどの被害を受けてしまいます。マルウェアの一種で、感染先コンピューターのデータを暗号化し利用できないようにして、復元のために身代金を要求するランサムウェアと呼ばれるものも存在します。

サイバー攻撃の踏み台にされる

発見された脆弱性を悪用されると、攻撃者によってサーバーを遠隔操作ができる状態にされてしまうことがあります。そうなると別サーバーにサイバー攻撃をしかけるための踏み台にされてしまうこともありますので、注意が必要です。

サーバー停止

発見された脆弱性を悪用されると、攻撃を仕掛けられてサーバー停止まで追いやられることもあります。サーバーが停止になってしまうとルーティンワークも滞り、大きなダメージを受けてしまいます。

データの消失

発見された脆弱性を悪用されると、重要データを失うような被害も受けかねません。復旧ができないと業務に大きな支障をきたしてしまうことになってしまうため、相当な注意が必要になるでしょう。

ポートスキャンへの対策

ポートスキャンはサイバー攻撃の前兆です、しっかり対策しましょう。

サーバーを最新状態に保つ

OSやソフトウェアのバージョンアップは、日々発展するサイバー攻撃への対策も更新されます。従って古いままで放置してしまうとサイバー攻撃を受けるリスクは大きくなりますので、常により最新の状態に保つことを考えましょう。

不要なポートは閉じる

ポートスキャンに基づく被害対策としては、開放する必要がないポートはファイアウォールなどによって閉じておく、というものがあります。ポートが不用意に開放されているとサイバー攻撃を受けやすくなってしまうため、外部に開放するポートは必要最低限にしておきましょう。

ファイアウォールのログを定期チェック

ポートスキャンが行われた場合、ファイアウォールなどのログに形跡が数多く残されることがあります。定期的にファイアウォールのログを確認することで、ポートスキャンをされたような痕跡がないかを日々チェックしておきましょう。該当しそうな記録が確認された場合、その発信元からのアクセスを遮断するなどしてセキュリティ対策を講じるようにしましょう。

サイバーセキュリティの導入（IDS/IPS・WAFなど）

パケットの中身をチェックするIDS/IPSを導入することもセキュリティレベルを上げるためには有効です。ファイアウォールですら防げない攻撃がある場合、IDS/IPSであれば検知・遮断できる可能性があります。ファイアウォールと併用することにより、高いセキュリティ性を維持できるようになるでしょう。

手法を知ってバッチリ予防を

サイバー攻撃の被害は、その手口を知っておくことで防ぐことが可能です。より多くの手口を知ることで高いセキュリティ性を維持することができますので、ぜひ可能な限り多くの手法や攻撃手口を学んでおきましょう。