• SecurityTIMES
  • ノウハウ
  • 「サイバー攻撃解説」守りの薄い出入り口を探すポートスキャンとは何か?

「サイバー攻撃解説」守りの薄い出入り口を探すポートスキャンとは何か?

2017年10月5日(木) ノウハウ

皆さんは「ポート」という言葉を聞いたことはありますか?
ポートとは、パソコンや周辺機器が外部とデータの通信をする出入り口のことを指します。
ネットワーク通信するサービスにはポート番号と呼ばれる番号が設定されており、この番号をもとに通信元と通信先サービス送受信が行われます。

例えば、Webサービス(HTTP)であれば80番、メール配信サービス(SMTP)であれば25番が割り当てられています。
「ポートスキャン」はこのネットワークに接続されている、通信可能なポートをひとつひとつ順番に探していくことです。

ポートは0番から65535番まで存在しており、0から1023番までは用途に合わせてあらかじめ割り振られた一般的な番号であり、ユーザーが自由に使用しても問題がない番号が49152番から65535番です。
有名なポート番号は以下のように定められています。

20(TCP)…ftp-data:ファイル転送(データ本体)
21(TCP)…ftp:ファイル転送(コントロール)
22(TCP)…ssh:リモートログイン(セキュア)
53(TCP/UDP)…domain:DNS
67(UDP)…BOOT/DHCP Server:IPアドレスの自動取得
68(UDP)…BOOT/DHCP Client:IPアドレスの自動取得
80(TCP)…http:www
110(TCP)…pop3:メール受信

ポートスキャンは本来であればネットワーク管理者がポート管理を行うために行われるものです。
それらを悪用し、コンピュータを攻撃するための下準備として、ポートスキャンを行うことがあります。

攻撃の前兆となるポートスキャンとは

ポートスキャンを自分たちのサービスへ行うことは問題ないですが、外部のサービスに対して行うことは立派なサイバー攻撃の一つです。

万が一意図しない外部からポートスキャンを受けていると気がついた場合は、攻撃の準備をしていると考え対策を取るようにしましょう。
次の段階としての攻撃に移行しないか注視する必要があります。
例えば、空き巣犯が家に人がいないかインターホンを鳴らして確認するといったイメージです。 

ポートスキャンの検知と対処方法とは?

自動的にポートスキャンが発生した場合、ファイアーウォールのログを確認すると、短時間に遮断ログが記録されます。インターネットルータでは、ポートスキャン攻撃として、警告のログを残す場合もあるでしょう。

このような場合、意図的にポートスキャンしたのではないのであれば、対処として、該当の通信元を洗い出し、ファイアーウォールにその通信元からのみの通信を拒否する設定を追加します。

なお、IDS/IPSを導入している場合は、通信内容から不審な通信であると判断して検知するので、すぐに対処できますし、WAFを導入すれば遮断することも可能です。

対策はポートスキャンから攻撃に進展する前に

判明している脆弱性に対して対策しておくことが第一です。
そのためには、まずセキュリティパッチは確実に適用しておくこと、加えてIDS/IPS、WAFといった製品を導入し、それぞれに適応した脆弱性攻撃に対策しておきましょう。

 
次に、不要なサービスが起動していないか定期的に確認しておきます。
定期的に実施するのは、誤操作で不要なサービスを起動してしまう可能性があるためです。
確認の方法としては、例えば、サーバ上でnetstatコマンドを実行すると、”Listen”(待ち受け)状態になっているポートを確認することができます。そのポートに対するサービスが不要であればそのサービスを停止しておきます。
さらに、そのサービスが自動起動になっている場合があるので、その点も確認します。

ポートスキャンによってさらなる攻撃を受けないためにも、対策を怠らず万が一の時のためにも準備をしておくことが大切です。

Writer:SecurityTIMES編集部