ポートスキャンとは？ポートスキャンの種類6つと被害例や対策方法を紹介

ポートスキャンとは

ポートスキャンとは利用可能なポートを調査するコンピュータ用語です。ポートは番号によって管理されていますが、ポートスキャンをすることにより、外部からでもサーバーがどんなポートでサービスを行っているのか確認できます。ポートスキャンは本来ネットワーク管理者のための管理機能ですが、外部から行われることにより犯罪として利用されるケースがあります。

ポートスキャンで得られる情報

サーバーに対してポートスキャンを行うと、開いているポート番号と閉じているポート番号に関する情報が得られます。ほかにも、ファイアウォールでフィルタリングされているポート情報や、開いているポートで稼働中のHTTPやFTPなどのサービスについての情報・開いているポートのバージョンなどのサービスについての情報を得ることも可能です。

ポートとは

ポートは通信を行うためのネットワーク上の入口です。ネットワーク上では各通信端末に割り振られたIPアドレスはよく「住所」や「家」と例えられますが、ポートは「入口」や「扉」に例えることができます。インターネット上のポートは番号で管理されており、メールの送信などのあらかじめ番号が設定されたサービスもあります。入出力ポートなど、ポートはハードウェアに対しても用いられる言葉です。

ポートの役割

ポートは通信先のソフトウェアを決める役割を持ちます。インターネット通信ではIPアドレスによって通信先のコンピュータを指定しますが、コンピュータの中のどのソフトウェアが通信先になるのかはポートに割り振られた番号によって決められます。一般的によく知られているサービスはポート番号が決まっていないと使いにくいため、メールサーバーやWebサーバーなどはポート番号があらかじめ設定されています。

ポートスキャンを悪用する人がいる？

コンピュータへの攻撃を行うための準備としてポートスキャンを悪用するケースがあります。自身が管理しているシステムに対してポートスキャンをする場合、セキュリティに対する問題のチェックを目的としているため、違法ではありません。ただし、外部サービスに対して使うとサイバー攻撃とみなされます。外部からシステムの脆弱性を探るポートスキャンは攻撃の前兆と考えられ、情報漏えいなどに発展する可能性があります。

代表的な6つのポートスキャンとは

ポートスキャンには代表的な6つの種類があります。前述のとおり、ポートスキャンの中にはサイバー攻撃として利用されるものもあり、それらはターゲットに信号を発信することで攻撃対象を見つけます。また、それらのポートスキャンの中には、代表的な6つの種類があります。ここでは代表的なポートスキャン6つをご紹介しますので、運用しているシステムのセキュリティ対策のためにもぜひ参考にしてみてはいかがでしょうか。

1：FINスキャン

FINスキャンとは、FINパケットを送信して開いているポートを見つけるポートスキャンです。FINパケットは「接続完了」の意味を持つもので、FINパケットを送信することで応答し稼働しているサーバーを見つけ出します。FINスキャンの特徴は接続完了の合図を送ることにより、ポートスキャンの痕跡を残さないことです。FINスキャンのように痕跡が残らないポートスキャンを「ステルススキャン」と呼びます。

2：UDPスキャン

UDPスキャンとは、UDPで待ち受けているサービスを判断するポートスキャンです。ターゲットのUDPポートに適当なパケットを送り、「ICMP Port Unreachable」というメッセージで応答がなければ稼働していることが判断できます。まだ、稼働していなければ何も返ってきません。多くのポートスキャンはTCPのサービスで判断しますが、UDPスキャンはUDPのサービスを対象とするという特徴があります。

3：クリスマスツリースキャン

クリスマスツリースキャンとは、ターゲットにFIN、URG、PUSHの3種類のパケットを送信するポートスキャンです。「接続完了」、「緊急確認」、「プッシュ」という矛盾したフラグの立ったTCPパケットを送信することで、ターゲットはパケットを処理することができなくなります。そのため、稼働しているポートの場合は何も返ってきません。一方、ポートが稼働していなければRSTパケットを返します。

4：TCPスキャン

TCPスキャンとは、ターゲットに対して3WAYハンドシェイクのシーケンスを実行するポートスキャンです。
TCPポートを対象とした手法で、3WAYハンドシェイクにコネクションを確立できるか否かで稼働状態を確認します。TCPスキャンではコネクションが確立されるため、ターゲットのログに残りやすいスキャン方法です。そのため、TCPスキャンはログ解析を行うことでポートスキャンが受けたことを確認できます。

5：SYNスキャン

SYNスキャンとは、SYNパケットを送信するポートスキャンです。TCPスキャンの中でも一般的な手法で、完全なTCP接続を行わず、SYNパケットを送信することによってターゲットポートで部分的な接続を行います。ターゲットからSYN/ACKを受信すれば稼働しており、ターゲットからリセットを受信した場合は稼働していないと判断できます。SYNスキャンもステルススキャンと呼ばれています。

6：NULLスキャン

NULLスキャンとは、フラグの立っていないパケットを送信するポートスキャンです。TCP接続が確立していない状態ですべてのフラグが0のパケットを送信することにより、ターゲットはTCPパケットを処理することはできません。そのため、ターゲットが稼働していれば何も返ってこず、ターゲットが稼働してなければRSTパケットを返します。NULLスキャンも痕跡が残らないステルススキャンの1種です。

ポートスキャンによる被害例4つ

ポートスキャンにはいくつかの被害例があります。外部からポートスキャンを受けた場合、サーバーが稼働していることや開いているポートが見つかってしまうため、サーバー攻撃に発展する可能性があります。そのため、被害にあわないためにもポートスキャンを受けた場合は早急に対処をする必要があります。ここではポートスキャンにおける被害例4つをご紹介しますので、被害にあわないためにも参考にしてみてはいかがでしょうか。

1：情報漏洩

ポートスキャンを受けたことで情報漏洩が発生した例があります。ポートスキャンによってセキュリティの脆弱性が見つかることで、攻撃者に脆弱性を突かれ、コンピュータ内の機密情報が盗み出されることがあります。サイバーテロで企業が保管している顧客情報などの個人情報が漏えいするケースがありますが、その中にはポートスキャンによりセキュリティホールを突かれたことで発生しているものも含まれていると言えるでしょう。

2：システムの乗っ取り

ポートスキャンを受けたことで、システムの乗っ取りが発生した例があります。ポートスキャンでシステムの使用状況が探られ、セキュリティの脆弱性が見つかることにより、システム運営者が持っているはずの権限がマルウェアに奪われ、マルウェアにシステムを乗っ取られることもあります。攻撃者によるシステムの乗っ取りにあった場合、そこから更に機密情報の情報漏えいなどの深刻な被害に繋がるケースがあります。

3：データの破損

ポートスキャンを受けたことでデータを破壊された例があります。ポートスキャンによりシステムの脆弱性を突かれ、攻撃者がシステム内に侵入してきた場合、コンピュータ内に保管しているデータやシステムを破壊されることがあります。仮にポートスキャンが原因で侵入され、データが破壊された場合の被害は深刻です。破壊されたデータは元には戻せないため、こまめなバックアップを取っておくことが必要でしょう。

4：悪事への加担

ポートスキャンを受けたことで、気づかないうちに他者への攻撃に加担させられた例もあります。ポートスキャンによってシステム内に侵入され、攻撃者によって攻撃ツールが仕込まれたために、知らないうちに他者への攻撃という悪事に加担させられます。攻撃の意図はなくても攻撃者になってしまうため、攻撃を受けた側から損害賠償を請求される危険性もあるので、注意が必要です。

ポートスキャンによる被害に遭わないための対策5つ

ポートスキャンには事前の対策が必要です。
前述のとおり、悪意を持った第三者からのポートスキャンを受けることにより、情報漏えいやデータ破損などの深刻なサイバー攻撃に発展するケースがあります。そのため、まずは外部からのポートスキャンを受けないために対策を行いましょう。ここではポートスキャン対策5つをご紹介しますので、ぜひポートスキャンによる被害を受けないためにも参考にしてみてはいかがでしょうか。

1：WAFの導入

WAFとは脆弱性を利用した攻撃からWebサイトを守るセキュリティ対策です。WAFは「Web Application Firewall」の略です。WAFを導入することにより、ポートスキャンなどの外部からのサイバー攻撃からWebサイトを保護し、不正ログインなどを防ぐことが可能です。

2：判明している脆弱性への対策

既に判明している脆弱性に対策を取ることで、ポートスキャンからシステムを守ることができます。ポートスキャンではシステムの脆弱性が探られるため、すでに判明している脆弱性があれば事前に対策を打っておくことに越したことはありません。わかっている脆弱性に対しては修正プログラムが配布されているため、適用しておきましょう。

3：ファイアウォールの記録を確認

ファイアウォールの記録を確認することで、ポートスキャンの痕跡を見つけられるケースがあります。ファイアウォールはWindowsやmacOSに標準装備されているもので、外部からの攻撃からある程度コンピュータを守ることができます。また、ファイアウォールには外部からのアクセスのログが残るため、ポートスキャンを受けていないかこまめに確認しましょう。

4：OS・アプリのこまめなアップデート

OSやアプリをこまめにアップデートすることにより、脆弱性に対する対策を行うことができます。OSやアプリに脆弱性があるとそこをポートスキャンで探られて攻撃される可能性がありますが、新しい状態にアップデートしていれば見つかっている脆弱性に関してはカバーできるでしょう。

5：IDS・IPSを導入する

IDS・IPSを導入することで、不正アクセスに対応が可能です。IDSは不正侵入検知システムのことで、リアルタイムでネットワークへの不正アクセスをチェックできます。ポートスキャンを検知すると管理者に即座に通知があるので素早い対処が可能です。IPSは不正侵入防止システムのことで、不正アクセスを検知すると管理者に通知し自動的にブロックします。IDS・IPSは、ファイアウォールと併用するとより効果的です。

ポートスキャンとは何か正しく理解しよう

ポートスキャンからサイバー攻撃に発展しないように万全な対策を取りましょう。ポートスキャンはネットワーク管理者が管理するシステムなどに対して行う場合は問題ありませんが、外部から受けた場合は注意が必要です。ぜひこの記事でご紹介したポートスキャン対策を参考に、サイバー攻撃に発展しないようにセキュリティを万全な状態に保ちましょう。