Written by WizLANSCOPE編集部
Webアプリケーション診断で指摘される
脆弱性TOP5を解説!
Webアプリのセキュリティ対策は万全ですか?
実際に診断でよく指摘される脆弱性TOP5を
原因や対策方法も含め、分かりやすく説明します。
目 次
ポートスキャンとは、ネットワーク上のコンピューターやサーバーの各ポート(通信口)にデータを送り、その応答から開いているポートや稼働しているサービスを調べる手法です。
ポートスキャンは本来、サーバー管理者が自社サーバーの稼働状況を確認するために使用する技術ですが、サイバー攻撃者に悪用されるケースもあります。
本記事では、ポートスキャンの概要や悪用された場合のリスク、対策について解説します。
▼本記事でわかること
- ポートスキャンの種類・仕組み
- ポートスキャンが悪用された場合のリスク
- 不正なポートスキャンの検知方法
- ポートスキャンへの対策
「不正なポートスキャンによってどのような被害が想定されるのか」を把握し、対策に役立てたい方はぜひご一読ください。
また本記事では、ポートスキャンを悪用したサイバー攻撃への対策に有効な「LANSCOPE プロフェッショナルサービス」についても紹介しています。
セキュリティ強化を目指す企業・組織の方は、ぜひご確認ください。
ポートスキャンとは?
ポートスキャンとは、ネットワークに接続されたコンピューターやサーバーの各ポート(通信口)にデータを送り、開いているポートを特定する技術のことで、ネットワークセキュリティの分野で用いられています。
サーバーには、各サービスに対して「ポート」と呼ばれる通信の「出入り口」が用意されています。
ポートはネットワーク上でデータの送受信をおこなうための特定の接続ポイントで、異なるサービスが同じサーバー上で同時に動作する上で必要です。
ポートには0番から65535番までの番号が割り振られており、特定のポート番号に通信を送信することで、そのポート番号に関連付けられたサービスにアクセスすることができます。
以下は、代表的なポート番号の一覧です。
| ポート番号 | プロトコル | サービス名 | 用途 |
|---|---|---|---|
| 20 | TCP | ftp-data | ファイル転送 |
| 21 | TCP | ftp | コントロールポート |
| 22 | TCP | ssh | リモートログイン |
| 53 | TCP/UDP | domain | DNS(ドメインネームシステム) |
| 67-68 | UDP | DHCP(Server) | IPアドレスの自動取得 |
| 80 | TCP | http | Webサーバー(HTTP) |
| 110 | TCP | pop3 | メール受信(Post Office Protocol 3) |
| 443 | TCP | https | https |
ポートスキャンを実施することで、開いているポート番号を調べられるだけでなく、サーバーのOSに関する情報やシステムに潜在する脆弱性を特定することが可能です。
ポートスキャンが悪用されるケースとは
ポートスキャンは本来、サーバー管理者が自社サーバーの稼働状況を確認するために用いられる技術です。
しかし前述した通り、ポートスキャンによって「開いているポート番号」や「サーバーのOSに関する情報」などがわかってしまうことから、サイバー攻撃者に悪用されることがあります。
例えば、ポートスキャンにより「開いているポート」がわかれば、攻撃者はそこから不正に侵入することができてしまいます。また、「サーバーのOSの種類・バージョン」がわかってしまうと、攻撃者側は脆弱性を調査し、攻撃を仕掛けることも可能になってしまいます。
外部から自社ネットワークに対してポートスキャンがおこなわれていることを検知した場合、サイバー攻撃の前兆である可能性が極めて高く、適切な対処をとることが求められます。
ポートスキャンの種類と仕組み
前述した通りポートスキャンは、特定のポートにデータを送り、その応答を確認することで、開いているポートを特定する技術のことです。
送信するデータの種類や応答の内容によって、「開いている」「閉じている」などのポートの状態を把握することができます。
ここでは、代表的なポートスキャンの種類を紹介します。
| スキャンの種類 | 概要 |
|---|---|
| TCPスキャン | ・パケットの送受信を3回おこなうことで接続を確立する「スリーウェイハンドシェイク」を用いる、基本的なTCPポートスキャンの手法 ・開いているポートを確実に確認できるが、ファイアウォールのログに記録されやすい |
| SYNスキャン | ・スリーウェイハンドシェイクの途中で「RSTパケット(接続を中断・拒否する際に送られるパケット)」を送信し、接続を中断し、通信を完了せずにポートの状態を把握する手法 ・通信を完了しないため、「ステルススキャン」とも呼ばれ、ファイアウォールのログに記録されにくい |
| FINスキャン | ・TCP接続を終了する際に送られる「FINパケット」を利用する手法 ・通常FINパケットは「すでに接続済みの通信を終了する」際に送信されるが、FINスキャンでは未接続の相手に送信する ・サービスが稼働している場合、受信側は接続中断を示す「RSTパケット」を返すため、ポートの状態を明らかにすることができる |
| NULLスキャン | ・すべてのフラグを「0」(フラグなし)にしたパケットを送信し、応答の有無で状態を把握する手法 ・接続先でサービスが稼働していない場合「RSTパケット」が返され、稼働中の場合はなにも返されない ※ NULL:プログラミング用語で「データが含まれていない状態」 |
| UDPスキャン | ・データの転送時に正式な接続を確立しない「UDPポート」を対象にした手法 ・サービスが稼働している場合は、応答を返すか、なにも返さない ・サービスが稼働していない場合は「ICMP Port Unreachable」メッセージが返される ・ファイアウォールIDS/IPSなどのネットワークセキュリティ機器がICMPメッセージをブロックしている場合は、応答が得られない場合もある |
| クリスマスツリースキャン | ・TCPヘッダにある「FIN」「URG(緊急)」「PUSH(データ伝送指示)」の3つのフラグを同時に立てて送信し、状態を把握する手法 ・接続先のポートが閉じている場合、RSTパケットが返されることで、ポートの状態を把握できる ・ステルス性が高いため、一部のファイアウォールやIDSを回避できる一方で、OSへの依存性が高く、信頼性に欠けるケースがある |
ポートスキャン攻撃による被害
ポートスキャンは、ポートの状態を把握するための手法のため、これ自体が被害をもたらすものではありません。
しかし、ポートスキャンによって得られた情報を悪用し、脆弱性を特定して、サイバー攻撃を仕掛けるケースが多く報告されています。
ここでは、ポートスキャン攻撃によって引き起こされる被害について解説します。
- 個人・機密情報の漏洩
- マルウェアへの感染
- データの破壊
- サイバー攻撃への悪用
詳しく確認していきましょう。
個人・機密情報の漏洩
前述した通り、ポートスキャンによって「開いているポート番号」や「サーバーのOSに関する情報」などがわかってしまうと、システムに潜在する脆弱性が明らかにされ、サイバー攻撃に悪用されるリスクがあります。
特定された脆弱性を悪用してシステムに侵入された場合、機密情報が窃取されたり、意図せず流出したりするリスクが発生します。
マルウェアへの感染
ポートスキャンによって脆弱性が明らかになると、攻撃者はその脆弱性を利用してマルウェアを侵入させる可能性があります。
システムがマルウェアに感染すると、データの窃取、システムの破壊、あるいはリモートからの制御など、さまざまな悪影響がもたらされます。
データの破壊
攻撃者が脆弱性を突いてシステムに侵入した場合、データ破壊や改ざんといった深刻な被害につながる恐れがあります。
また、攻撃者がデータベースに不正にアクセスし、重要なデータを削除・改ざんしたり、持ち出したりすると、業務に大きな支障をきたすだけでなく、企業活動そのものに深刻な影響を及ぼしかねません。
さらに、ポートスキャンによる情報収集をもとに、ランサムウェア攻撃が仕掛けられるケースもあります。
関連ページ
サイバー攻撃への悪用
脆弱性を突いてシステムに侵入された場合、「ボット」と呼ばれる、遠隔操作用の不正プログラムを仕掛けられてしまう可能性があります。
攻撃者はボットを悪用することで、被害者のPC内のデータを不正にのぞき見したり、アカウントの乗っ取りを働いたりすることが可能です。
また、攻撃者は、ボットに感染した複数のコンピューターで「ボットネット」を形成し、DDoS攻撃などの大規模なサイバー攻撃の踏み台に利用します。
DDoS攻撃とは、複数のデバイスから攻撃対象のサーバーに対して、意図的に大量のパケットを送信し、相手のサーバーやネットワークへ膨大な負荷をかけダウンさせる、サイバー攻撃の一種です。
サイバー攻撃の踏み台となってしまうと、たとえ被害者側であったとしても、取引先や顧客からの信頼を失ってしまう可能性が高いです。
Webアプリケーション診断で指摘される
脆弱性TOP5を解説!
Webアプリのセキュリティ対策は万全ですか?
実際に診断でよく指摘される脆弱性TOP5を
原因や対策方法も含め、分かりやすく説明します。
不正なポートスキャンを検知する方法
不正なポートスキャンを検出するためには、以下のような、ネットワークやWEBアプリケーションの脅威検知・監視・ログ取得ができるツールを導入するのが有効です。
- ファイアウォール
- IDS/IPS
- NDR
- WAF
ファイアウォール
ファイアウォールとは、ネットワーク上を流れるデータ通信を監視し、不正な通信を遮断することで、外部からの攻撃を防ぐセキュリティ対策です。
ファイアウォールには通信ログが記録されるため、管理者は不正なアクセスの有無を把握することが可能です。
たとえば多数のポートに対して短時間にアクセスを試みるような通信が記録されていた場合、その通信元を不正なスキャンを判断し、通信を拒否することが可能です。
不正なスキャンを遮断することで、不正なポートスキャンを防ぐことができるでしょう。
IDS/IPS
IDS(侵入検知システム)やIPS(侵入防御システム)は、ネットワークトラフィックを監視し、不正アクセスや異常な活動を検知するためのツールです。
IDS/IPSは、ポートスキャンのパターンを特定し、リアルタイムで警告を発することができます。
両者の違いとして、IDSは侵入の兆候を検出してアラートを通知することが主な役割ですが、IPSは検知した攻撃を「防御」する機能も備えています。
IDS、IPSの利用により、不正なポートスキャンの早期発見と対応が可能になります。
NDR
NDR(Network Detection and Response)とは、ネットワーク上の異常な振る舞いを検出し、対応するためのツールです。
ポートスキャンやそのほかの異常なネットワークアクティビティを検出し、リアルタイムで警告を発するだけでなく、攻撃の解析や対応策の提案もおこないます。
NDRを導入することで、ネットワーク全体のセキュリティを強化し、不正なポートスキャンの早期発見と迅速な対応が可能になります。
WAF
WAF(Web Application Firewall)とは、WebサーバーとWebアプリケーションの間に配置し、HTTP通信を監視することでWebアプリケーションに対する悪意ある通信を検知・ブロックするセキュリティソリューションです。
不正なポートスキャンそのものを防ぐわけではありませんが、Webアプリケーションのセキュリティを強化し、脆弱性を狙った攻撃を検出するのに役立ちます。
WAFのログやアラート機能を利用して、Webアプリケーションへの不審なアクセスや異常なリクエストを監視することで、不正なポートスキャンの兆候を早期に察知することができます。
不正なポートスキャンへの対策
不正なポートスキャンへの対策としては、以下の2つが挙げられます。
- 不要なポートを閉じる
- OS・ソフトウェアは常に最新の状態を保つ
不要なポートは閉じる
不正なポートスキャンを防ぐ基本的な対策としては、まず、不要なポートを閉じることが挙げられます。
開放されているポートが多ければ多いほど、攻撃者に狙われるリスクは高くなります。
不必要なポートの公開がされていないかを定期的にチェックし、不正アクセスのリスク軽減を目指しましょう。
OS・ソフトウェアは常に最新の状態を保つ
OSやソフトウェアを最新の状態に保つことはセキュリティ対策の基本であり、既知の脆弱性やセキュリティホールを突いた攻撃のリスク低減につながります。
前述した通り、攻撃者はポートスキャンによってシステム環境を調査し、利用可能な脆弱性の特定を試みます。
そのため、ベンダーから更新セキュリティパッチ(更新プログラム)が公開されたら、速やかに適用し、脆弱性の修正を実施しましょう。
脆弱性を修正することで、サイバー攻撃の被害に遭うリスクを低減できます。
不正なポートスキャンへの対策ならLANSCOPE プロフェッショナルサービス
「LANSCOPE プロフェッショナルサービス」では、ポートスキャン攻撃への対策として有効なサービスを提供しています。
本記事では、不正なポートスキャン対策に役立つ2種類のサービスを紹介します。
- AIがサイバー攻撃を自動検知・遮断する「Darktrace(ダークトレース)」
- 高品質な診断が可能な「脆弱性診断・セキュリティ診断」
AIがサイバー攻撃を自動検知・遮断する「Darktrace(ダークトレース)」
「Darktrace」は、企業・組織のネットワークやクラウドのパケットを収集し、ネットワーク全体の通信状況の可視化と異常な挙動を検知するNDRソリューションです。
AI 機械学習と数学理論を用いた通信分析で自己学習し、ポートスキャン攻撃のような、通常とは異なる通信パターンを検知・対処します。
AIが脅威レベルを自動で判断し、危険な通信を自動遮断するため、脅威判定が簡単で管理工数がかからない点も強みです。
またDarktraceではネットワークに加え、クラウド、テレワーク、Eメール、SaaS環境など、広範なデジタル環境を網羅的に監視し一元管理できるため、あらゆる脅威を素早く検知し対策することが可能です。
「管理負荷が少なく、自社のIT環境を網羅的に監視・対策できるセキュリティソリューションを求めている」方に最適です。詳しくは以下の詳細よりご覧ください。
高品質な診断が可能な「脆弱性診断・セキュリティ診断」
「LANSCOPE プロフェッショナルサービス」の脆弱性診断・セキュリティ診断では、国家資格をもつ経験豊富なスペシャリストが、お客様の利用環境に潜む脆弱性・セキュリティリスクを網羅的に洗い出し、効率的な脆弱性対策をサポートします。
定期的に脆弱性診断をおこない、システム環境における弱点を明らかにすることで、サイバー攻撃に狙われるリスクを軽減できます。
診断後のレポートでは、各脅威の種類やリスクレベルだけでなく、「適切な対策内容」もあわせてお伝えするため、着実な脆弱性の修正とセキュリティレベル向上を目指していただけます。
▼脆弱性診断サービス 一覧
- Webアプリケーション診断
- ソースコード診断
- ネットワーク診断
- スマートフォンアプリケーション診断
- ゲームセキュリティ診断
- IoT 脆弱性診断
- ペネトレーションテスト
- サイバーリスク健康診断
「自社環境やサービスの脆弱性に懸念がある」「診断ツールではなく、プロの目による診断を受けたい」などの悩みを持つ担当者の方は、ぜひ一度お問合せください。
ご都合・予算などに応じて、最適なプランをご紹介させていただきます。
また「まずは簡易的に脆弱性診断をおこないたい」というお客様向けに、低コスト・短期で診断が実施できる「セキュリティ健康診断パッケージ」も提供しています。
まとめ
本記事では「ポートスキャン」をテーマに、その概要や対策について解説しました。
本記事のまとめ
- ポートスキャンとは、ネットワーク上のコンピューターやサーバーの各ポート(通信口)にデータを送り、その応答からポートの状態を調べる手法
- ポートスキャンは本来、サーバー管理者が自社サーバーの稼働状況を確認するために用いられるが、サイバー攻撃の事前準備に悪用されることもある
- ポートスキャンによって得られた情報が悪用されると、「情報漏洩」「マルウェア感染」「データ破壊」「サイバー攻撃の踏み台への利用」といった被害が想定される
- ポートスキャンを検知するためには、「ファイアウォール」「IDS/IPS」「NDR」「WAF」といったツールの導入が有効
- ポートスキャン攻撃への対策としては、「不要なポートを閉じる」「OS・ソフトウェアは常に最新の状態を保つ」などが挙げられる
ポートスキャンは、ポートの状態を把握するための手法のため、これ自体が被害をもたらすものではありません。
しかし、攻撃者に悪用されると、情報漏洩やデータ破壊、サイバー攻撃の踏み台化など、深刻な被害が引き起こされる可能性があります。
本記事で紹介した「Darktrace」「脆弱性診断」は、不正なポートスキャンの防止に有効なセキュリティソリューションです。
ぜひ適切に活用し、セキュリティ強化を目指してください。
Webアプリケーション診断で指摘される
脆弱性TOP5を解説!
Webアプリのセキュリティ対策は万全ですか?
実際に診断でよく指摘される脆弱性TOP5を
原因や対策方法も含め、分かりやすく説明します。
おすすめ記事
