無料メルマガ登録でプレゼント！書籍「セキュリティ対策の基礎知識」

ホームページの公開やメールの送受信など、サーバーが提供しているサービスには様々なものがあります。

ネットワーク通信を行うサービスには、通信を行うための「ポート」という窓口があり、これは番号で管理されています。例えば、ホームページをインターネットに公開するHTTPのサービスでは80番、メールの送信には587番など、よく知られたサービスは基本的に固定したポート番号が予め割り振られています。

サーバーがどのようなポートを開放してサービスを行っているのか、外部から調査する行為のことを「ポートスキャン」と言います。今回はポートスキャンの概要とその種類、そしてセキュリティ上の対策方法について紹介します。

書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント！

セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見！

メルマガ登録・ダウンロードは
こちらから

ポートスキャンとは

ポートスキャンとは、ネットワークに接続されているサーバー上の稼働サービスを調査するために、外部から特定のデータを送信して、それに対応する応答を調べることです。得られた応答を分析することで、サーバーで動作しているサービスのバージョンやOSなどを特定できます。

ポートスキャンするためのツールとして、コマンドラインで動作する「nmap」やGUIで提供されている「Zenmap」などが有名です。ZenmapはnmapをGUIで使えるようにしてもので、日本語バージョンも公開されています。これらのツールは無料で使うことができます。

ポートスキャンを行うことで得られる情報

サーバーに対してポートスキャンを行うことで、以下のような情報を得ることができます。

• 開いているポート番号
• 閉じているポート番号
• FW（ファイアウォール）によってフィルタリングされているポート情報
• 開いているポートで稼働しているサービス（HTTPやFTP）の情報
• 開いているポートのサービスに関する情報（バージョンなど）

ポート番号は0番から65535まで存在していますが、0から1023まではすでに稼働しているサービスに割り振られています。有名なポート番号としては、以下のように定められています。

これらはウェルノウンポート（Well-Known Port）番号と呼ばれ、ユーザーはオリジナルのサービスにこれらのポート番号を使うことはできません。

サーバーがどのサービスにどのポートを使っているかは、「Service Name and Transport Protocol Port Number Registry」を参照してください。

参照Service Name and Transport Protocol Port Number Registry

ポートスキャンとサイバー攻撃の関係

ポートスキャンはサーバーなどのネットワーク機器に対して、接続できるサービスを探り、解放されているポート番号を調べる行為です。つまりポートスキャン自体は問題ありません。しかしサイバー攻撃において、攻撃者はこれから行おうとしている攻撃のための調査として、ポートスキャンを行います。

もし自社で稼働しているサーバーに対して、ポートスキャンが行われていることに気づいたら、”サイバー攻撃の予兆”としてとらえ対策をとることが重要です。

ポートスキャンは”サイバー攻撃の予兆”とも言える

ポートスキャンは例えば、家の中にだれも人がいないこと確かめるために、インターフォンを鳴らして確認するようなイメージです。もし自宅にこのような行為が確認できたら、次は犯罪者が自宅に侵入してこないかどうか、注意するでしょう。

ポートスキャンも同様に、これ自体はサイバー攻撃ではなくても、これから被害が発生するかもしれないサイバー攻撃の予兆としてとらえることが重要です。

ツールを使用すれば簡単にポートスキャンができてしまう

先ほどポートスキャンができるツールとして「nmap」や「Zenmap」を紹介しました。これらのツールを使うことで簡単にポートスキャンができることも、ポートスキャンが簡単に行われる要因にもなっています。

そのため、攻撃に結びつかない興味本位のポートスキャンも存在します。しかしそのようなポートスキャンでも無視することは得策ではありません。

書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント！

セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見！

メルマガ登録・ダウンロードは
こちらから

ポートスキャンの種類

ポートスキャンはサーバーに対してパケットと呼ばれるデータを送信して、攻撃の目標を探ります。送信されるパケットの種類に応じて、返却されるパケットの種類が決められています。返答された反応を分析することで、ターゲットで稼働しているサービスを調べること可能です。ポートスキャンの種類について、いくか紹介します。

ポートスキャンの検知、対策方法

もし運用しているサーバーにポートスキャンを検知したら、どうしたらよいのでしょうか。対策方法を3つ紹介します。

1. ファイアウォールのログを確認する

ポートスキャンが発生した場合、ファイアウォールのログを確認すると、ポートスキャンが行われた短時間の間に遮断のログが記録されます。またインターネットルーターによっては警告のログが残る場合もあります。

意図的なポートスキャンではない場合、対策としてポートスキャンの発信元を洗い出して、ファイアウォールの設定で、その通信元からの通信を遮断するように設定しましょう。

2. 脆弱性対策を行う

既知の脆弱性に対して日頃から対策を行っておくことも重要です。修正プログラムの適用を怠らないようにするだけではなく、IDS/IPSやWAFなどの製品も導入しましょう。

サーバーに不要なサービスが起動していないか定期にチェックすることも重要です。意図しないサービスが誤操作などによって起動している可能性もあるからです。サービスを提供しているサーバーで「netstat」コマンドを実行すると、開いているポートが確認できます。そのポートのサービスが不要でしたら、サービスを停止します。

また、サーバーの起動時に不要なサービスが自動的に立ち上がる設定になっていることがあるので、その点についてもしっかりと確認しましょう。

脆弱性とは？その原因と対策方法を知ってリスクを減らそう

2018.7.24

セキュリティ業界の人がよく言う「脆弱性」という言葉。 何となく意味はわかるけど、ちゃんと答えられる人は少ないのではないでしょうか。 今回は脆弱性という言葉を取り上げて、脆弱性を悪用した情報漏洩事例と、「脅威」や「セキュリティホール」

3. WAFを導入する

WAF（Web Application Firewall） の導入もおすすめです。WAFには様々なものがありますが、クラウド型のWAFはコストや手間をかけずに導入できます。クラウド型ですので、自前でハードウェアや仮想サーバーなどの用意をする必要があります。また自社ネットワーク外で動作するため、悪意のある通信が自社ネットワークの内側まで到達しないというメリットもあります。

WAFを導入する際は、機能や料金だけでなく、サポートの体制や実績も加味して、最適なものを選択しましょう。

【WAF製品】おすすめ18選を比較！無料ソフト・選び方も紹介

2016.9.11

インターネット上ではさまざまなサービスが公開されていますが、それらの多くはWebサーバー上で動作しているアプリケーションです。このWebアプリケーションの脆弱性を悪用したサイバー攻撃による被害は、毎日のように発生しています。Webアプリケー

まとめ

ポートスキャンの概要から、その種類、そして対策方法まで紹介してきました。ポートスキャンはツールを使うことで簡単に実行できるため、インターネット上で動作しているサーバーによっては、頻繁にポートスキャンのログが記録されていることもあるかもしれません。

運営しているサーバーに何度もポートスキャンの記録があっても、実際に攻撃されたことは、これまでなかったかもしれません。しかし、ポートスキャン自体は無害な行為でも、サイバー攻撃の準備段階として実行されることもあり、サービスの適切な運営のためには、無視できるものではありません。

まずはサーバーで不要なサービスが起動していないかチェックすることから始め、サーバーのアクセスログのチェックも丹念に行うなど、攻撃のきっかけとなる兆候に対して、シビアな目線でチェックすることが重要と言えるでしょう。

書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント！

セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見！

メルマガ登録・ダウンロードは
こちらから