ポートスキャンとは？仕組みやサイバー攻撃の対策方法を解説

ポートスキャンに対して不安をお持ちですか？または、ポートスキャンに関する警告が表示されたものの、その意味がよく分からないために得体の知れない不気味さをお感じではないでしょうか。

結論から言えば、ポートスキャンだけで即座に被害が発生するわけではありません。しかし、ポートスキャンはさまざまな攻撃の事前調査として用いられることが多いため、その後に考えられるリスクを考慮する必要があります。

この記事では、ポートスキャンに関する正しい知識を持っていただくために、

●     ポートとは何か？そして、ポートスキャンとは何か？

●     攻撃者はなぜポートスキャンをするのか

●     ポートスキャンの後に考えられるリスク

●     ポートスキャンを受けても実害を出さないための対策

といった情報をまとめました。

10分程度でお読みいただけますので、この10分でポートスキャンに対する正しい知識と対策を身につけて、マルウェアなどの被害から大切なデバイスや情報を守りましょう。

ポートスキャンとは？

ポートとは？

ポートスキャンとは何かという前に、ポートとは何かという概念を知っておく必要があります。

簡単に言えば、ポートとはパソコンなどの機器とネットワークをつなぐ通路の「扉」のようなもので、0番から65535番までが用意されています。

通信の目的別にそれぞれのポート番号が割り当てられており、インターネットに接続されている機器はそのポートを通じて通信を行っています。

例えば、私たちが日常的に利用しているWebの閲覧でもポートが使用されており、この場合のポート番号は80番（http）、または443番（https）です。Webサーバーとパソコンやスマートフォンが80番や443番ポートで通信をすることで、Webの閲覧が可能になります。

他にもメールの送受信であれば110番（受信）と25番（送信）が用いられています。

ポートの仕組みと役割

0番から65535番まで用意されているポートには、番号別に通信の目的が割り当てられています。以下に、その一覧表があります。

⇒Service Name and Transport Protocol Port Number Registry

専門的な用途に割り当てられているポート番号も多いので分からないものも多いと思いますが、最も有名なのが前項でも解説した80番です。上記の一覧表では「World Wide Web」に使用すると記載されているのが分かります。

「ポートは扉のようなもの」と記しましたが、扉と同様に開けたり閉めたりすることができます。

一般的に65000以上ある扉の全てを解放しているわけではなく、必要な扉だけを解放して不要な通信を遮断しています。

ちなみに上記80番のポートが閉じられていれば、他のポートが開いていてもWebの閲覧をする事ができなくなります。

このように65000以上ものポートがそれぞれの役割を担い、サーバーやデバイス間で通信を行っているのがインターネットの姿です。

ポートスキャンとはサイバー攻撃の事前調査

ポートスキャンとは、ネットワークに接続されているサーバーに対して、外部からデータを送信し、それに対する反応を確かめる行為です。この反応から、ポートの稼働状況に関する情報を得ることができます。

通常、どんなにスキルの高い攻撃者であっても、ポートが開いていなければターゲットと通信をすることができないので、ポートスキャンによって開いているポートを探し、その中に脆弱性を含むものがないかどうかを探ります。

つまり、攻撃者にとってポートスキャンとは、侵入を試みるターゲットへの事前調査なのです。

攻撃者がポートスキャンをする目的

攻撃者にとってポートスキャンは、脆弱性を探し出すための事前調査であると解説しました。つまり、ポートスキャンが行われるということは、そのコンピューターが攻撃を仕掛けるターゲットの候補になっていることを意味します。

攻撃者はポートスキャンによってどのポートが開いているか、そのポートでどんな通信が行われているのか、そこに脆弱性はないか、といった情報を収集します。その結果として侵入などの攻撃ができそうな「入口」を見つけたら、次はその攻撃が現実のものになる可能性が高くなります。

ポートスキャンから想定される被害例

情報漏洩

ポートスキャンによって見つかった脆弱性を突かれ、コンピューター内に保存されている情報が漏洩または盗み出され、その中に機密情報が含まれていると重大な事態に発展します。

時折発生する企業の情報漏洩や不正侵入といった事件も、ポートスキャンによって見つけ出された脆弱性に対する攻撃によるものが少なからずあると思われます。

システムが乗っ取られる

本来、システムとはそのシステムを所有する人、または管理する人のみが操作する権限を持っています。しかし、マルウェアなどによってこの権限が奪われてしまうと、システムの乗っ取り被害に発展します。

マルウェアがなぜこのような乗っ取りを可能にできたのかというと、それもポートスキャンによってシステムの使用状況が探られ、そこから見つかった脆弱性を突かれたからです。

乗っ取りに遭ってしまうと攻撃者の意のままになるので、情報漏洩を含む深刻な被害につながる可能性があります。

システムをハッキングされる

攻撃者の侵入を許してしまうと、そこに保存されているデータやシステム自体を破壊される危険があります。バックアップを取っていなかったデータは二度と戻ってきませんし、仮にバックアップを取っていたとしても破壊されたデータの復旧には多大な損失を伴うでしょう。

ポートスキャンの種類

ポートスキャンは、標的としたサーバーにパケット（データ）を送り、その応答を基に開いているポート、閉じているポート、ファイアウォールでフィルタリングされているポートなどを確認する方法です。送信するパケットの種類によって、サーバーとの接続方法や把握可能な情報が異なります。

ここでは、代表的なポートスキャン手法をいくつかご紹介します。

TCPスキャン

TCPプロトコル（通信上のルール）を使ってネットワークのポートが開いているかを調べる基本的なポートスキャンの手法です。クライアントとサーバー間で「3ウェイハンドシェイク」※と呼ばれる手順を利用してポートの状態を確認します。ポートが開いている場合は接続が確立するため、サーバーにログが残りやすく、検知しやすいという特徴があります。

※【クライアント】SYNパケットを送信　→　【サーバー】ポートが開いている場合はSYN-ACKで応答、閉じている場合はRSTパケットで終了　→　【クライアント】SYN-ACKを受け取った場合ACKを返信して接続を確立

SYNスキャン

TCPスキャンの最初の手順である「SYNパケット」の送信を実行し、ポートの開閉を確認する方法です。サーバーから「SYN-ACKパケット」が返されても「ACKパケット」を送らないため、接続は確立しません。TCPスキャンよりも高速で検出されにくいという特徴があります。

FINスキャン

「FINパケット」は、接続中の相手に接続終了を知らせるデータです。これを未接続の相手に送信し、接続の中断や拒否を意味する「RSTパケット」が帰ってきたら、そのポートは稼働中であると判断できます。ポートが閉じている場合はパケットは返信されません。一方的にパケットを送るだけでポートの稼働状況が把握できる手法です。

NULLスキャン

NULLとは、プログラミング言語やデータベースにおいて、変数やデータが何も含まれない“空”の状態を意味します。NULLスキャンは、すべてのフラグを0にした状態でパケットを送信する手法です。FINスキャンとは反対に、開いているポートからは返信が無く、閉じているポートからは「RSTパケット」が返信されます。この特性を利用してポートの状態を確認します。

UDPスキャン

UDPプロトコルを使用したスキャンの手法です。TCPプロトコルが接続を確立するのに対し、UDPプロトコルは一方的にデータを送る「非接続型プロトコル」です。UDPパケットを送信した際、ポートが閉じている場合のみエラーメッセージが返信されるため、それによって稼働状況を把握することができます。

ポートスキャンに基づくサイバー攻撃の対策方法

ポート開放に敏感になる

ゲーム機やインターネットを利用した防犯カメラなどを使用するために、ポートの開放を伴う場合があります。こうしたサービスを利用している間は良いのですが、問題はこうした機器やサービスを利用しなくなった後もポートだけが開いたままになっている状態です。

使用していないポートが開いたままになっているのはセキュリティ上好ましくはなく、ポートスキャンによってそのことを攻撃者に知られるとリスク要因になってしまいます。

どのポートを開放しているのかということに敏感になった上で、不要なポートは開放しないようにしましょう。

問題のあるポート番号を閉じておく

サーバーOSを利用している場合は、ポート開放に対する管理に、より厳格さが求められます。UNIXやLinux、macOS Serverなどを利用している場合は、79番と111番のポートを使用するサービスに脆弱性が指摘されており、使用しないのであればこれらのポートは閉じておくことをおすすめします。

Windows系のサーバーを使用している場合は、137番と139番を使用するサービスに脆弱性、危険性が指摘されています。こちらも使用しないのであれば閉じておきましょう。

ファイアウォールを有効にする

ポートを通じてやり取りされる通信を監視して外部からの攻撃からコンピューターを守る仕組みとして、ファイアウォールがあります。WindowsやmacOSなどには標準装備されており、OSの設定でファイアウォールを有効にすることで、ポートスキャンから発展する外部からの攻撃からある程度守ることができます。

セキュリティソフトを導入する

主要なセキュリティソフトにもファイアウォール機能が実装されており、これを使うのも有効です。ポートスキャンという事前調査の後から本格的な攻撃を仕掛けられた際には、セキュリティソフトの防御力が必要になる可能性が高いので、セキュリティソフトを導入して常に最新の状態に保っておくことも有効な対策です。

なお、ノートン製品は権限のない、または不明なデバイスからのポートスキャンを検知・遮断し、通知を行います。

まとめ

ポートスキャンについて解説をここまでお読みになり、ポートスキャンについての正しい認識が得られたと思います。ポートスキャンをされたからといってそのことが実害を及ぼすわけではありませんが、それで脆弱性を見つけられてしまったら攻撃に発展する可能性がある「事前調査」です。

個人のパソコンがポートスキャンされる可能性はそこまで高くありませんが、皆無ではありません。常にOSやアプリを最新のものに、そしてファイアウォールが付属したセキュリティソフトを使用すれば概ね安心できるでしょう。

※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。

ノートン360セールス

ノートン 360は世界シェアNo,1のセキュリティソフトです。世界中のセキュリティデータと数十年にわたる経験は、世界中で日々増え続けるランサムウェア対策に有効です。実に1分間に数千もの脅威をブロックしております。またノートン セキュア VPNでは、インターネットを介して送受信するデータや位置情報を隠せるので、広告主、Webサイトの制作元、サイバー犯罪者などからオンラインプライバシーの保護が可能です。なお、既にノートン 360を購入されている場合、ノートン セキュア VPNはノートン360に含まれていますので、別途購入の必要はありません。