ポートスキャンとは？サイバー攻撃から企業を守るために危険性や仕組み、対策方法を解説

インターネットが発達し、私たちの生活は豊かになる一方で、サイバー攻撃も年々巧妙化・多様化し続けています。ポートスキャンはそんなサイバー攻撃のための準備として利用されることがあるため注意が必要です。ポートスキャンの仕組みや種類について理解を深めれば、対策もできるようになります。

この記事では、ポートスキャンの概要から危険性、仕組みや種類について解説し、対策方法についても紹介します。

ポートスキャンとは

はじめに、ポートスキャンの概要と併せて、危険性について見ていきましょう。

サーバーなどの応答によって状態を取得する手法

ポートスキャンとは、名前の通りポートをスキャンすることで、サーバーからの応答によって状態を調べることです。サーバーとの通信ではIPアドレスと併せてポート番号を使用しています。

例えば、WebサーバーであればHTTP（80）やHTTPS（443）、メールサーバーであればSMTP（25）やPOP（110）、IMAP（143）などのポート番号が使われています。その他にもさまざまなポート番号を使って通信が行われており、ポートスキャンはその仕組みを使ってサーバーの状態を取得し、悪用するために利用されることが多い手法です。

ポートスキャンの危険性

ポートスキャンによってサーバーのOSやソフトウェアのバージョンを調べたり、サーバーが受け付けているポート番号などを調べたりできます。これらの情報が取得されると、特定ソフトウェアの脆弱性を突いた攻撃が行われる可能性があります。

脆弱性の情報は簡単に入手でき、特定ソフトウェアのどのバージョンにどんな脆弱性があるのかは簡単に調べることが可能です。そのため、ポートスキャンによって得た情報を悪用され、サイバー攻撃につながる可能性があります。

ポートスキャンはサイバー攻撃の足がかりとなるものであり、最悪の場合には重要情報の漏えいや、社内ネットワークへの不正アクセスなどのセキュリティ事故につながりかねません。

ポートスキャンの仕組み

ポートスキャンはおもに公開されているサーバーに対して、特徴的なパケットを送信してその応答を見ることでさまざまな情報を得る仕組みです。

TCP／IPの通信はIPアドレスとポート番号を組み合わせて利用するものであり、前述の通りHTTPなら80番、HTTPSなら443番とある程度決まっています。IPアドレスとポート番号を組み合わせ、特定のパケットを送信することでサーバーからの応答によってさまざまな情報を取得できます。

必ずしも応答が返ってくるとは限りませんが、応答が返ってこない場合でも情報は取得可能です。それらの情報を組み合わせれば、特定のサーバーで開いているポート番号、閉じているポート番号、ファイアウォールでフィルタリングされているポート番号などが把握できます。

悪意を持ったポートスキャンは、特定サーバーの付け入る隙きを調査する行為と捉えることができるでしょう。ポートスキャンによって得た情報により、ソフトウェアのバージョン情報なども取得できる場合があり、脆弱性を突いた攻撃が可能になります。

代表的なポートスキャンの種類

ポートスキャンはサーバーに特徴的なパケットを送信することからはじめますが、それらの代表的な種類を紹介します。

SYNスキャン

TCP／IPの通信では3ウェイハンドシェイクと呼ばれる接続方法を取ります。クライアントとサーバー間で3回のやり取りを行い、通信を確立させたあとに実際のデータ通信が始まる仕組みです。

SYNスキャンではそのはじめのSYNパケットを送信し、サーバーから返ってくる応答によって対象サーバーのオープン状態を確認します。

FINスキャン

FINは接続終了を意味するパケットです。対象のサーバーにFINパケットを送信した際に、RSTパケットが返ってきたら対象サーバーのポートがオープン状態であると判断できます。

RSTパケットは接続の中断や拒否を意味するパケットであり、対象サーバーのポートが閉じている場合には返されません。

UDPスキャン

TCPと対をなすプロトコルとしてUDPが挙げられます。UDPはTCPのように接続確認を行わず、アプリケーションが最小限の仕組みでデータ送受信をできるようにするプロトコルです。

TCPのポート番号が閉じていても、UDPの同じポート番号が開いている場合があります。UDPスキャンではUDPパケットを送信し、“ICMP Port Unreachable”メッセージが返ってこなければサービスが提供されていると判断できます。

クリスマスツリースキャン

クリスマスツリースキャンは、FIN・URG（緊急確認）、PUSHのフラグをセットしたパケットを送信して応答を確認する手法です。RSTパケットが返ってこない場合にサービスが提供されていると判断できます。

もともとはすべてのフラグを立てる手法であり、その様子がクリスマスツリーの飾りつけを想像させたことが語源となっています。

NULLスキャン

NULLは空（から）を意味するものであり、NULLスキャンではどのフラグも立っていないパケットを送信します。この場合はサービスが稼働していない場合にRSTパケットが返ってくる仕組みです。

これらのさまざまなポートスキャン手法を組み合わせることで、サーバーの状態を取得します。

ポートスキャンの対策方法

ポートスキャンはサイバー攻撃の足がかりとなるため、セキュリティの観点から対策を取るべきです。ここでは簡単にポートスキャンの対策方法を紹介します。

不要なポートは閉じる

ポートスキャンでさまざまな情報を取得できますが、おもに開いているポートからソフトウェアやOSのバージョンなどが取得できます。そのため、使用していないポートは閉じることが重要です。

使用していないポート番号はファイアウォールなどでフィルタリングしたり、サーバー側でオープンな状態にしないように設定したりしましょう。ポートが開いていることを知られると悪用される可能性がありますが、閉じている場合には悪用することができません。

セキュリティ製品の導入

迅速に対応するためにも、ポートスキャンが公開サーバーに対して実施されているかどうかをいち早く発見することも重要です。そのためには、IDSやIPSといったセキュリティ製品の導入が有効です。

IDSは侵入検知システム、IPSは侵入防止システムのことであり、サーバーに対する通信を監視してポートスキャンの兆候を検知・防御できます。また、Webサービスを提供している場合には、WAF（Web Application Firewall）を導入することでポートスキャン対策と併せてその先のサイバー攻撃も防げます。

ファイアウォールログの確認

ポートスキャンの兆候はファイアウォールのログを確認することで確認可能です。ポートスキャンの仕組み上、パケットを送信して確認しているためファイアウォールのログに残っている場合が多いといえるでしょう。

攻撃者のIPアドレスも残るため、IPアドレスベースで接続を制限する対策も取れるようになります。定期的にファイアウォールログを確認し、不審な動向がないかを確認する仕組みを作ることで、いち早くポートスキャンを検知して対策できます。

セキュリティの観点からポートスキャン対策はとても重要

ポートスキャンはサーバーに特徴的なパケットを送信し、サーバーからの応答によってサーバーの状態を調べる行為です。サーバーのOSやソフトウェアのバージョンなども調べることができ、サイバー攻撃の足がかりとなる可能性があるため対策が必要です。

ポートスキャンと一言でいってもその手法はさまざまであり、SYNスキャン・FINスキャン・UDPスキャン・クリスマスツリースキャン・NULLスキャンなどが存在します。ポートスキャンを悪用する攻撃者はあらゆる方法でサーバーの付け入る隙きを探しています。

セキュリティの観点からポートスキャン対策は必須であり、不要なポートは閉じる・セキュリティ製品を導入する・ファイアウォールログを確認するといった対策が有効です。

ポートスキャンを足がかりとしたサイバー攻撃が行われると、最悪の場合には情報漏えいや不正アクセスなどにつながる可能性があるため、しっかりと対策を取ることが重要です。

対策方法としては不要なポートを閉じる・セキュリティ製品を導入する・ファイアウォールログを定期的に確認する、といった対策が有効であるため、自社の情報を守るためにポートスキャン対策を見直してみてはいかがでしょうか。