企業が注意すべきサイバー攻撃といえば、標的型攻撃やランサムウェアなど、直接特定のターゲットを攻撃するものがよく知られています。
そのようなサイバー攻撃とは一線を画すものが、今回解説する“ポートスキャン”です。
今回は、ポートスキャンの概要や怖さについて、手法や対策について知っていただきたいと思います。
ポートスキャンの概要
コンピュータネットワークにおいて、対象のコンピュータの複数のポートに対して接続要求を行い、応答を確認して、利用可能なポートを探すことを“ポートスキャン”といいます。
これは、不正アクセスにおいて、標的で動作しているサービスを確認し、脆弱性を発見するために用いられる基礎的な手法です。
つまり、ポートスキャン自体はターゲットを攻撃するものではなく、あくまで攻撃の準備だということです。
特に、他者が管理するコンピュータに対し、みだりにポートスキャンを行うことは、攻撃の準備である可能性が極めて高いです。
ちなみに、“ポート”とは、コンピュータやその周辺機器が、外部とデータ通信をする際の出入口を指しています。
ポートスキャンをされると企業はどうなるのか?
ポートスキャンを実行された企業は、公開サーバの個人情報、機密情報を窃取される可能性があります。
これらの情報が悪用され、二次被害を受ける可能性も否定できません。
また、ポートスキャンによって脆弱性を見つけられると、企業は自社システムや自社ホームページなどを乗っ取られる可能性もあります。
ちなみに、一度ポートスキャンの受け、攻撃されてしまうと、その後再び攻撃される可能性も高くなります。
これは、攻撃者がうまく攻撃できたIPアドレスを記録し、いつでも利用できるように準備しているとされるからです。
もちろん、二度目以降の攻撃が同じ人物からのものとは限らず、データが共有されている場合は、別々の攻撃を同時に受ける可能性もあります。
6種類のポートスキャンについて
ポートスキャンの手法には、主に以下の6種類があります。
・TCPスキャン
・SYNスキャン
・FINスキャン
・クリスマスツリースキャン
・NULLスキャン
・UDPスキャン
TCPスキャン
ターゲットのポートに接続する際、3回のやり取りをして接続する“3WAYハンドシェイク”を用いる方法です。
ログが残りやすいスキャン方法として知られています。
SYNスキャン
TCPスキャンとは異なり、完全なTCP接続を行わない方法で、まずはターゲットのポートにSYNパケットを送信します。
そして、対象サーバが起動している場合はSYN+ACKパケット、起動していない場合はRST+ACKパケットが返ってくるという仕組みです。
FINスキャン
ターゲットのポートに“接続終了”を意味するFINスキャンを送信する方法です。
スキャンされた対象サーバのポートが起動している場合、接続の中断、拒否を意味するRSTを返します。
クリスマスツリースキャン
ターゲットのポートに“緊急確認”を意味するURG、PUSHパケットを送信する方法です。
サーバがオープンなら特に返信はなく、クローズの場合はRSTが返ってきます。
NULLスキャン
ターゲットのポートに、何のフラグも立てないパケットを送る方法です。
対象サーバが起動していないときのみ、RSTパケットが返信されます。
UDPスキャン
標的のポートにUDPパケットを送信する一方的な方法で、サーバ起動時には返信がなく、起動していないときはICMP port unreachableが返信されます。
ポートスキャンを受けないようにするには?
企業がポートスキャンを受け、データを窃取されたり、システムやデータを乗っ取られたりしないようにするには、以下の対策を取るべきです。
・使用していないポートを閉じる
・セキュリティソフトの導入
・WAFの導入
使用していないポートを閉じる
企業がポートスキャンを防止するためには、まず使用していないポートを閉じるところから始めましょう。
特に、137番や138番といったポート番号は、他のコンピュータへのアクセスや、ネットワークに接続されたデバイスの一覧表示などができるため、非常に便利ですが、外部公開は控えなければいけません。
セキュリティソフトの導入
これは基本中の基本ですが、ポートスキャンのリスクを減らすためには、パーソナルファイアウォールなどのセキュリティソフトが欠かせません。
ファイアウォールは、ソフトウェアと外部が許可なく通信しないよう、ポートを制御してくれます。
WAFの導入
WAFは、従来のファイアウォールでは防げないWebアプリケーションに対する、不正な攻撃を制御するセキュリティシステムです。
中でも、クラウド型のWAFを導入すれば、コストや手間をあまりかけず、ポートスキャンへの対策を取ることができます。
まとめ
ここまで、ポートスキャンという一風変わったサイバー攻撃について解説しましたが、いかがでしたでしょうか?
ポートスキャンは、言ってしまえばまだ黄色信号の状態です。
よって、早めに検知・防止できる体制を取っておき、これが赤信号(情報窃取、不正アクセスなど)に変わらないよう、日ごろから意識しておくことが重要と言
