ポートスキャン攻撃
読み方:ポートスキャンコウゲキ
ポートスキャン攻撃とは
ポートスキャン攻撃とは、インターネットに接続されているポート(データ通信を行うための出入り口)が通信の際に使用されることを利用し、サイバー攻撃を行う目的で侵入経路を調査することを言います。
ポートスキャン自体は管理者が業務上の都合で通信の可否調査に行われることもあるため問題はありませんが、悪意ある第三者が行う場合はサイバー攻撃の前準備に脆弱性等を調査している可能性が高いです。
このポートスキャン攻撃の被害に遭うと、個人情報や機密情報の漏洩、システムやWebサイトの乗っ取りに不正侵入、重要データの消失やシステムのクラッキングを受ける危険性につながってしまいます。
ポートスキャン攻撃の対策
使用していないポートを閉じて、OSやソフトウェアを常に最新の状態にしておくことを心がけましょう。そのうえでファイアウォールやセキュリティソフト、不正侵入検知システム(IDS)の導入が推奨されています。
ポートスキャン攻撃の種類
- TCPスキャン
TCP通信が行われるときに、スリーウェイハンドシェイクと呼ばれる手法を利用します。きちんと通信の確立がされるため(途中で切ることなどしない)、ログが残りやすく、実行されたことを察知しやすいと言われています。
- SYNスキャン
完全なTCP接続を行わなず、SYNパケットを送信することでポートの開閉状態を確認するスキャン方法です。SYNパケットを受信した側からSYN/ACKが返信されてきた場合はポートが開いている状態で、RST/ACKを返信した場合はポートが閉じている状態であることがわかります。この手法は通信の確立をしていないため、ログが残らなく、気づかれにくいです。別称として、「ハーフオープンスキャン」や「ステルススキャン」という呼称もあるので、こちらも把握しておくと良いでしょう。
- FINスキャン
ターゲットのポートにFINパケット(接続終了)を送信し、ポートの開閉状態を確認します。ターゲットから何も返っていない場合はクローズポート、RSTパケットが返ってきたらオープンポートと判断します。
- クリスマスツリースキャン
FIN、URG(緊急確認)、PUSHパケットを送信し、RSTパケットが返ってくるかどうかで、ポートの開閉状態を確認します。閉じている場合は何も返って来ず、開いている場合はRSTパケットが返ってきます。名称の由来はFIN、URG、PUSH、ACK、RST、SYNといったフラグが立った形相が、クリスマスツリーに似ているところから来ています。現在ではFIN、URG、PUSHの3つのフラグが立った状態でもこの呼称を使われています。
- NULLスキャン
NULLはプログラミング用語で数値が一切設定されていない空の状態を指します。ゼロでもないため特定の数値よりも大きい、あるいは小さいデータを検索した場合、候補から除外されます。フラグなしのパケットを送信し、RSTパケットが返ってくるかどうかでポートの開閉状態を判断します。クリスマスツリースキャンとは対照的に、ポートが開いている場合に反応は返って来ず、閉じている状態にRSTパケットが返ってきます。
- UDPスキャン
TCPスキャンとは対照的に、一方的に通信を行う手法です。UDPスキャンはUDPで待ち受けているサービス状態を確認するために行います。NULLスキャンと同様にポートが開いている場合は何も返信がなく、閉じている時に固定メッセージの応答が返ってきます。