ポートスキャンとは？その種類や対策を分かりやすく紹介！

ポートスキャンとは

ポートスキャンの概要を見ていきましょう。

通信可能なサーバやサービスを外部から調べる操作

ポートスキャンとは、サーバやサービスのポートを外部から調べることです。ここでいうポートは論理的な構成概念で、データの出入り口のことです。ハードウェアの入出力ポートもポートと呼びますが、ポートスキャンにおけるポートは前者を指します。

ネットワークを介してデータ通信をする際には、IPアドレスとポート番号を指定します。ポート番号は16ビットで、通信プロトコルごとに番号が割り振られています。たとえば、Webサービスは80番、メール配信サービスは25番といった形です。

ポートスキャンは専用のソフトを使うことで行えます。フリーソフトも珍しくなく、簡単に実施できます。

サイバー攻撃の前兆を示す

ポートスキャンを行うと開いているポートやそのポートが担う通信の種類、潜んでいる脆弱性などが分かります。そのため、管理者がセキュリティ上の問題がないか調べるために行うことがあります。

一方、ポートスキャンはサイバー攻撃の準備として利用されることもあります。空き巣に例えるなら、標的となる家の中に誰もいないことを確認する作業に該当するでしょう。これ自体に攻撃性はありませんが、家の周囲に不審者がうろついているような状態であるため、攻撃の前兆として警戒する必要があります。

ポートスキャンの種類

代表的なポートスキャンの種類を紹介します。

【TCPスキャン】

３ウェイハンドシェイクで通信の確立を試み、成功すれば通信可能と判断します。

【SYNスキャン】

SYNパケットを送信し、SYN／ACKを受信→サービス稼働状態、RST／ACKを受信→サービス非稼働状態と判断します。

【FINスキャン】

FINパケットの送信に対し、RSTパケットが返ってきたらサービス稼働状態と判断します。

【クリスマスツリースキャン】

FIN、URG、PUSHフラグをセットしたパケットを送信し、RSTパケットが返ってきたらサービス稼働状態と判断します。

【NULLスキャン】

フラグをセットしていないパケットを送信し、RSTパケットが返ってきたらサービス稼働していないと判断します。

【UDPスキャン】

UDPパケットを送信し、「ICMP port unreachable」が返ってこなければサービス稼働状態と判断します。

ポートスキャンの対策

ポートスキャンに対策するにはどうすればよいのでしょうか。

IDS・IPSと併用する

IDSとは「不正侵入検知システム」のことです。一方、IPSは「不正侵入防止システム」のことをいいます。一部に違いはありますが、基本的にどちらも不正侵入を検知する機能を持ちます。

そして、IDS・IPSにはネットワーク型とホスト型があります。前者はネットワークを監視するタイプで、後者はコンピュータを監視するタイプです。このうち、ネットワーク型のIDS・IPSを使えばポートスキャンを検知できます。

不正な通信を検知するだけなら、ファイアウォールでも可能と思う人も多いでしょう。しかし、ファイアウォールは許可したプロトコル・IPアドレスからの通信は、内容が不正であっても検知できません。

したがって、ポートスキャン対策として、ファイアウォールをネットワーク型IDS・IPSと併用する必要があります。IDS・IPSとの併用は、ネットワークを通じて大量のデータを送り付けるDoS攻撃などに有効です。

WAFを導入し遮断する

WAFとは「Web Application Firewall」の略で、Webアプリケーションの脆弱性を利用するサイバー攻撃を防ぐツールです。これを使えば、ポートスキャンの発信元を特定し、そこからの通信をブロックできます。

WAFはサイバー攻撃対策ツールとして導入ハードルが低いのも特徴です。特にクラウド型製品は導入コストが低く、管理に要する手間も少なく済むため、初めてポートスキャン対策を検討する企業に適しています。

ポートスキャンの対策をしてサイバー攻撃から身を守ろう！

ポートスキャンとは、サーバやサービスのポートを外部から調べることです。管理者がセキュリティ上の問題がないか調べるために行うこともありますが、サイバー攻撃の準備として利用されることもあるため警戒する必要があります。

ポートスキャンの対策には以下の方法があります。

• ■ファイアウォールとIDS・IPSの併用によるポートスキャンの検知
• ■WAFの導入による通信遮断

以上を踏まえ、サイバー攻撃から身を守りましょう。