ポートスキャン攻撃とは？危険性と対策のポイントをわかりやすく解説！

「ポートスキャン攻撃」という言葉を聞いたことはありますか？

インターネットのセキュリティに関わる重要なトピックであり、私たちのオンライン世界での安全性に関わる問題です。

ポートスキャン攻撃は、悪意のある攻撃者があなたのシステムやネットワークに侵入するために使用する手法です。

この記事では、ポートスキャン攻撃の基本から具体的な事例、さらには効果的な対策までを一挙に解説します。

外資系エンジニア

この記事は以下のような人におすすめ！

ポートスキャン攻撃とは何か知りたい人

ポートスキャン攻撃の検出方法について知りたい人

ポートスキャン攻撃に対する防御策を知りたい人

1 ポートスキャン攻撃とは？
- 1.1 1-1. ポートスキャン攻撃の定義
- 1.2 1-2. ポートスキャン攻撃の目的と動作原理
2 ポートスキャン攻撃の種類
3 ポートスキャン攻撃の影響とリスク
- 3.1 3-1. セキュリティへの影響
- 3.2 3-2. ビジネスへのリスク
4 ポートスキャン攻撃の検出方法
5 ポートスキャン攻撃からの防御策
6 ポートスキャン攻撃の実例とその対策
- 6.1 6-1. 実際のポートスキャン攻撃の事例
- 6.2 6-2. それぞれの事例への対策

ポートスキャン攻撃とは？

ポートスキャン攻撃は、インターネット上のセキュリティを破るために用いられる手法の一つで、通信を行うための”ドア”であるポートを探し出し、それが開いているかどうかを調べるものです。

このセクションでは、ポートスキャン攻撃の定義とその動作原理について解説します。

1-1. ポートスキャン攻撃の定義

ポートスキャン攻撃とは、ネットワーク上のコンピュータやサーバーの通信ポートを探し出し、そのポートが開いているか（すなわち、サービスが待ち受けているか）を確認する行為です。

攻撃者はこれにより、セキュリティの脆弱性を見つけ出し、悪用することが可能となります。

1-2. ポートスキャン攻撃の目的と動作原理

ポートスキャン攻撃の主な目的は、あるシステムがどのポートを開放しているのかを把握することです。それにより攻撃者は、そのシステムに対するさらなる攻撃（例えば、エクスプロイトによる侵入やDoS攻撃）のための情報を得ることができます。

攻撃者は一般的に特定のポート番号範囲内のすべてのIPアドレス、または特定のIPアドレスのすべてのポートをスキャンします。

これにより、開放されているポートや稼働中のサービス、使用中のオペレーティングシステムなど、システムに関する詳細な情報を取得することができます。

ポートスキャン攻撃の動作原理は、攻撃者がスキャン対象のポートに対してネットワークパケットを送信し、その応答を観察することに基づいています。

特定の応答は、ポートが開いている（アクティブなサービスが待機している）ことを示す一方で、別の応答は、ポートが閉じている（サービスが存在しない）ことを示します。

この方法を用いて、攻撃者はターゲットシステムの脆弱性を特定します。

ポートスキャン攻撃の種類

ポートスキャン攻撃は、さまざまな手法で行われます。それぞれの手法は、異なるタイプの情報を提供し、異なるレベルのステルス性（検出を避ける能力）を持つことがあります。以下に、主要なポートスキャンの種類を詳しく見ていきましょう。

2-1. TCPスキャン

TCPスキャンは、最も一般的で直接的なポートスキャン手法の一つです。これは、攻撃者が目標のポートに対してTCPパケットを送信し、その応答を観察することによって行われます。このスキャンは通常、ポートが開いているか閉じているかを明確に示しますが、一方でその直接性から防御側に容易に検出される可能性があります。

2-2. UDPスキャン

UDPスキャンは、目標のUDPポートを探すために用いられます。UDPは接続が確立される前にデータの交換を開始するため、スキャン結果はTCPスキャンよりも不確かな場合があります。しかし、UDPを利用する重要なサービスが存在するため、UDPスキャンは有効な攻撃手法となり得ます。

2-3. SYNスキャン

SYNスキャン（半開放スキャンとも呼ばれます）は、TCPスキャンのよりステルスなバージョンです。攻撃者はTCP接続を完全には確立せず、単にSYNパケット（接続開始のシグナル）を送信します。これにより、防御側のログに完全な接続が記録されることを避けることができます。

2-4. FINスキャン

FINスキャンは、さらにステルスなスキャン手法です。このスキャンでは、攻撃者はTCP接続を終了するためのFINパケットを送信します。多くのシステムでは、FINパケットは開いていないポートに対して送られた場合、レスポンスが返されます。しかし、開いているポートでは無視されるため、これによりポートの状態を推測することが可能です。

2-5. その他のスキャン手法

その他のポートスキャンの手法には、以下のようなものがありますが、これらは主要な手法と比べて使用される頻度や効果が異なる可能性があります。

XMASスキャン: TCPパケットのフラグに関する異常な組み合わせ（FIN、PSH、URG）を使用して、ポートのステータスを推測します。
NULLスキャン: TCPパケットのフラグをすべてオフにし、レスポンスの有無に基づいてポートの状態を判断します。
IDLEスキャン: 別のホスト（ゾンビホスト）を経由して攻撃対象のポートをスキャンする手法です。攻撃者はゾンビホストのIPアドレスを隠すことができ、ステルス性が高いです。

これらの手法は、攻撃者がよりステルス性を持ちつつもポートの状態を判断するために使用される可能性があります。しかし、防御策も進化しており、これらの手法に対する保護措置も取られています。

ポートスキャンの手法については、常に新しい技術や手法が出現する可能性があるため、セキュリティに関心を持ち続けることが重要です。

ポートスキャン攻撃の影響とリスク

ポートスキャン攻撃は、セキュリティに悪影響を及ぼす可能性があります。攻撃者がポートスキャンを行うことで、以下のような影響やリスクが生じる可能性があります。

3-1. セキュリティへの影響

ポートスキャン攻撃は、セキュリティへのさまざまな影響をもたらす可能性があります。

セキュリティの脆弱性の特定: ポートスキャン攻撃により、攻撃者はターゲットシステムのオープンポートを特定し、セキュリティの脆弱性を特定することができます。これにより、潜在的な攻撃経路や侵入ポイントが明らかになります。
ファイアウォール回避: ポートスキャンは、ファイアウォールの設定やフィルタリングメカニズムを回避する手段として使用されることがあります。攻撃者は、開いているポートを見つけることで、ファイアウォールの制限を回避し、攻撃の実行可能性を高めることができます。
DoS攻撃の準備: ポートスキャンにより、攻撃者はシステム内のリソースやサービスの状態を把握することができます。これにより、DoS（サービス遮断）攻撃の準備が可能となります。攻撃者は、特定のポートやサービスに集中し、リソースの枯渇やサービスの遮断につながる攻撃を実行することができます。

3-2. ビジネスへのリスク

ポートスキャン攻撃は、ビジネスにさまざまなリスクをもたらす可能性があります。

機密情報の漏洩: 攻撃者がポートスキャンを通じてセキュリティの脆弱性を特定すると、機密情報へのアクセスや不正行為のリスクが高まります。企業は、顧客データや企業秘密などの重要な情報の漏洩に直面する可能性があります。
サービスの停止: ポートスキャン攻撃は、DoS攻撃の準備として使用されることがあります。攻撃者が特定のポートやサービスに集中し、リソースを枯渇させることで、サービスの停止や可用性の低下が発生する可能性があります。これにより、ビジネスの連続性や信頼性に重大な影響が生じる可能性があります。
信頼関係の損失: セキュリティ侵害や攻撃のリスクが高まると、顧客やビジネスパートナーとの信頼関係が損なわれる可能性があります。セキュリティの問題に対する十分な対策が取られていない場合、顧客やビジネスパートナーはリスクを感じ、取引や提携の解消を検討するかもしれません。

ポートスキャン攻撃の検出方法

ポートスキャン攻撃を検出するためには、さまざまな手法とツールが利用されます。以下では、主要な検出方法について説明します。

4-1. IDS（侵入検知システム）の利用

IDS（Intrusion Detection System：侵入検知システム）は、ネットワーク上での異常行動を検知するために使用されるツールです。ポートスキャン攻撃の検出にもIDSが有用です。IDSは、ネットワーク上のトラフィックを監視し、不審なポートスキャンパターンや異常な接続試行を検知することができます。また、既知のポートスキャンパターンや攻撃シグネチャに基づいてアラートを生成することもあります。IDSを適切に設定し、適用することでポートスキャン攻撃を早期に検出し、対応することができます。

4-2. ログ分析による検出

ログ分析は、ポートスキャン攻撃の検出においても重要な手法です。ネットワーク機器やサーバーから収集されるログデータを分析し、ポートスキャンの兆候を見つけることができます。異常な接続試行、短期間に複数のポートへのアクセス試行、アクセス頻度の急増など、ポートスキャン攻撃の特徴的なパターンをログデータから検出することができます。ログ分析には、セキュリティインシデントおよび攻撃のトレースバックに役立つSIEM（Security Information and Event Management）ツールやログ管理ツールを使用することが一般的です。

4-3. 特定のツールの使用

ポートスキャン攻撃を検出するためには、特定のツールも使用されます。これには、ネットワークスキャナーやポートスキャン検出ツールなどが含まれます。ネットワークスキャナーは、自身のネットワーク内のポートスキャンを実行し、異常なアクティビティを検出するために使用されます。ポートスキャン検出ツールは、ネットワーク上のトラフィックを監視し、ポートスキャン攻撃の特徴を検出することができます。これらのツールは、ポートスキャン攻撃の早期検出と対応に役立ちます。

ポートスキャン攻撃からの防御策

ポートスキャン攻撃に対抗するためには、適切なセキュリティ対策を講じることが重要です。以下では、主要な防御策について説明します。

5-1. ファイアウォールの適切な設定

ファイアウォールは、ネットワークとインターネット間のトラフィックを監視し制御する役割を果たします。ファイアウォールの適切な設定は、ポートスキャン攻撃からの防御において重要です。以下のポイントに注意してファイアウォールを設定しましょう：

入力フィルタリング: 不要なポートやサービスへのアクセスをブロックするため、入力フィルタリングを実施しましょう。必要なポートのみを許可し、それ以外のポートへのアクセスを拒否します。
出力フィルタリング: 内部から外部への不要な通信を制限するため、出力フィルタリングを設定しましょう。信頼できないポートやアドレスへの通信を制限し、不要な情報の漏洩を防止します。
ファイアウォールのログ分析: ファイアウォールのログを定期的に監視し、ポートスキャン攻撃の兆候を検知するためにログ分析を行いましょう。異常なアクティビティや不審な接続試行を追跡し、早期に対応することが重要です。

5-2. アクセス制御リスト（ACL）の利用

アクセス制御リスト（ACL）は、ネットワークデバイスやルーターで特定のトラフィックを制御するためのルールのリストです。ポートスキャン攻撃からの防御には、以下のような方法でACLを活用しましょう：

不要なポートのブロック: ACLを使用して、不要なポートへのアクセスをブロックすることができます。特定のポートへのアクセスを必要な範囲に制限し、それ以外のポートへのアクセスを拒否します。
不審な送信元IPアドレスのブロック: ポートスキャン攻撃は、攻撃元のIPアドレスから行われます。ACLを使用して、怪しいIPアドレスからのトラフィックをブロックすることができます。
ACLの定期的な見直し: ネットワークの変更や新たな脅威に対応するために、ACLの定期的な見直しを行いましょう。必要に応じてルールを追加、修正、削除し、最新のセキュリティ要件に適合させます。

5-3. OSとソフトウェアの更新

ポートスキャン攻撃からの防御には、オペレーティングシステム（OS）と使用しているソフトウェアの定期的な更新が重要です。以下のポイントに留意しましょう：

パッチの適用: ベンダーが提供するセキュリティパッチやアップデートを定期的に適用しましょう。これにより、既知の脆弱性が修正され、攻撃のリスクが低減します。
セキュリティ設定の強化: オペレーティングシステムやソフトウェアのセキュリティ設定を適切に構成しましょう。デフォルトの設定から変更することで、攻撃者の潜在的な侵入経路を減らすことができます。

5-4. 不要なポートの閉鎖

ポートスキャン攻撃からの防御には、不要なポートの閉鎖も重要です。以下のポイントに留意しましょう：

ポートの必要性の評価: システムやサーバー上の各ポートの必要性を評価しましょう。不要なポートは閉鎖することで攻撃の対象を減らし、セキュリティを強化します。
ポートのフィルタリング: ファイアウォールやルーターを使用して、不要なポートへのアクセスをフィルタリングしましょう。不要なポートへのアクセスを遮断することで、攻撃者の侵入経路を制限します。

ポートスキャン攻撃の実例とその対策

ポートスキャン攻撃は実際に発生しており、様々な事例が報告されています。以下では、実際のポートスキャン攻撃の事例とそれぞれの事例への対策について説明します。

6-1. 実際のポートスキャン攻撃の事例

実際のポートスキャン攻撃は、さまざまな形で発生しています。

以下にいくつかの事例を挙げます。

6-1-1. ミライボットネットによるポートスキャン攻撃

2016年に発生したMiraiボットネットは、インターネット上の数十万台のデバイスを感染させ、DDoS攻撃に利用しました。この攻撃では、MiraiボットネットがランダムなIPアドレスに対してポートスキャンを行い、感染可能なデバイスを見つけました。感染したデバイスはDDoS攻撃のために利用されました。

6-1-2. ウェブサーバーへのポートスキャン攻撃

ウェブサーバーは常にインターネット上で公開されており、攻撃者の関心を引く標的となります。ポートスキャン攻撃によって、攻撃者はウェブサーバー上の脆弱性を探索し、攻撃のための情報を収集します。これにより、不正なアクセスやデータ漏洩などのリスクが生じます。

6-2. それぞれの事例への対策

それぞれのポートスキャン攻撃事例に対しては、以下のような対策を講じることが重要です：

6-2-1. ミライボットネットによるポートスキャン攻撃への対策

デバイスのセキュリティパッチの適用: セキュリティパッチを最新の状態に保つことで、既知の脆弱性からの感染リスクを低減します。
デバイスのデフォルトパスワードの変更: Miraiボットネットはデフォルトのユーザー名やパスワードを使用して感染しました。デバイスのデフォルトパスワードを変更することで、攻撃のリスクを低減します。
ネットワークトラフィックの監視: ポートスキャン攻撃の早期検出のために、ネットワークトラフィックを監視し、不審なアクティビティを検知することが重要です。

6-2-2. ウェブサーバーへのポートスキャン攻撃への対策

ファイアウォールとセキュリティグループの設定: ファイアウォールやセキュリティグループを使用して、ウェブサーバーへの不正なアクセスを制限します。
セキュリティの脆弱性のスキャンと修正: 定期的にウェブサーバーのセキュリティスキャンを実施し、脆弱性を特定して修正します。
WAF（Web Application Firewall）の導入: WAFを使用することで、ウェブサーバーに対するポートスキャンや不正なアクセスを検知し、適切にブロックすることができます。