Written by Aimee
Webアプリケーション診断で指摘される
脆弱性TOP5を解説!
Webアプリのセキュリティ対策は万全ですか?
実際に診断でよく指摘される脆弱性TOP5を
原因や対策方法も含め、分かりやすく説明します。
目 次
ポートスキャンとは、ネットワーク上のコンピューターやサーバーの各ポート(通信口)を調査し、どのポートが開いているか、どのサービスが稼働しているかを調べる手法です。
通常、ネットワークのセキュリティ診断やトラブルシューティングのために使用される手法ですが、悪意を持った攻撃者が「サイバー攻撃を行うための手段」として、ポートスキャンを悪用するケースも少なくありません。
攻撃者はポートスキャンによって、ターゲットのシステム環境における「脆弱性」を特定したり、不正アクセスに利用できる「開いているポート」の場所を明らかにしたりします。
攻撃者によって行われる、「不正なポートスキャン」を早期に検出するためには、以下のような”ネットワーク上の不正な通信”を検知する、セキュリティツールの活用が有効です。
- ・ ファイアウォール
- ・ IDS/IPS
- ・ NDR
- ・ WAF
また、不正なポートスキャン利用の被害を防ぐためにも、対策として不要なポートは閉鎖し、OS・ソフトウェアは常に最新の状態を保つことで、脆弱性を残さないことが大切です。
この記事では、ポートスキャンの概要、悪用された場合のリスクや対策について詳しく解説します。
▼この記事を要約すると
- ポートスキャンとは、特定のIPアドレスに対してどのポートが開いているかを確認する技術
- ポートスキャンは本来、サーバー管理者が自社サーバーの稼働状況を確認するために用いられるが、サイバー攻撃の事前準備に悪用されることもある
- ポートスキャンによって得られた情報が悪用されると、「情報漏洩」「マルウェア感染」「データ破壊」「サイバー攻撃の踏み台への利用」といった被害が想定される
- ポートスキャンを検知するためには、「ファイアウォール」「IDS/IPS」「NDR」「WAF」といったツールの導入が有効
- ポートスキャン攻撃への対策としては、「不要なポートを閉じる」「OS・ソフトウェアは常に最新の状態を保つ」などが挙げられる
ポートスキャンとは?
「ポートスキャン」とは、特定のIPアドレスに対してどのポートが開いているかを確認する技術のことで、ネットワークセキュリティの分野で用いられます。
ポートスキャンを行うことで
- ・ 開いているポート番号
- ・ 各ポート(Port)で稼働しているサービスの情報
- ・ サーバーのOSに関する情報
- ・ システムに潜在する脆弱性
などがわかります。
サーバーには、各サービスに対して「ポート」と呼ばれる通信の「出入り口」が用意されています。ポートはネットワーク上でデータの送受信を行うための特定の接続ポイントで、異なるサービスが同じサーバー上で同時に動作する上で必要です。
ポートには0番から65535番までの番号が割り振られており、特定のポート番号に通信を送信することで、そのポート番号に関連付けられたサービスにアクセスすることができます。
以下は、代表的なポート番号の一覧です。
| ポート番号 | プロトコル | サービス名 | 用途 |
|---|---|---|---|
| 20 | TCP | ftp-data | ファイル転送 |
| 21 | TCP | ftp | コントロールポート |
| 22 | TCP | ssh | リモートログイン |
| 53 | TCP/UDP | domain | DNS(ドメインネームシステム) |
| 67-68 | UDP | DHCP(Server) | IPアドレスの自動取得 |
| 80 | TCP | http | Webサーバー(HTTP) |
| 110 | TCP | pop3 | メール受信(Post Office Protocol 3) |
| 443 | TCP | https | https |
ポートスキャンはサイバー攻撃の事前準備に悪用されることも
ポートスキャンは本来、サーバー管理者が自社サーバーの稼働状況を確認するために用いられる技術です。
しかしながら、ポートスキャンによって「開いているポート番号」や「サーバーのOSに関する情報」などがわかってしまうことから、サイバー攻撃者に悪用されることがあります。
例えば、ポートスキャンにより「開いているポート」がわかれば、攻撃者はそこから不正に侵入することができてしまいます。また、ポートスキャンでは「サーバーのOSの種類・バージョン」なども把握できるため、攻撃者側でそれらの脆弱性を調査し、攻撃を仕掛けることも可能です。
外部から自社ネットワークに対してポートスキャンが行われていることを検知した場合、サイバー攻撃の前兆である可能性が極めて高く、適切な対処をとることが求められます。
ポートスキャンの種類と仕組み
ポートスキャンにはいくつかの種類があり、それぞれ異なる手法で、ネットワーク上のデバイスの「ポート状態」を調査します。
以下では、主なポートスキャンの種類を説明します。
| スキャンの種類 | 概要 |
|---|---|
| TCPスキャン | パケットの送受信を3回行うことで接続を確立する「スリーウェイハンドシェイク」を用いる、基本的なTCPポートスキャンの手法。 ファイアウォールのログに記録されやすい。 |
| SYNスキャン | スリーウェイハンドシェイクの途中で「RSTパケット(接続を中断・拒否する際に送られるパケット)」を送信し、接続を中断。 これにより、通常のスリーウェイハンドシェイクのプロセスとは異なる動作をするため、ファイアウォールのログに記録されにくくなる。 |
| FINスキャン | 「FINパケット(接続を終了する際に送られるパケット)」を利用するポートスキャン。 本来FINパケットは接続済みの相手に送信されるが、FINスキャンでは未接続の相手に送信する。 サービスが稼働している場合、受信側は接続中断を示す「RSTパケット」を返すため、ポートの状態が明らかになる。 |
| NULLスキャン | NULLスキャンでは、全てのフラグを「0」、つまりフラグなしにしたパケットを送信する。 ※NULL…プログラミング用語で「データが含まれていない状態」 接続先でサービスが稼働していない場合「RSTパケット」が返され、稼働中の場合は何も返されない。 つまり応答の有無によりポートの状態がわかる。 |
| UDPスキャン | UDPポート(データの転送時に正式な接続を確立しないポート)を対象にしたスキャン手法。 接続先にUDPパケットを送信しサービスが稼働している場合、サービスが特定の応答を返すか、何も返さない。 一方、サービスが稼働していない場合は「ICMP Port Unreachable」メッセージが返される。 ※ただし、ファイアウォール(FW)や他のネットワークセキュリティ機器がICMPメッセージをブロックする設定になっている場合、このメッセージが返されないこともあります。 |
| クリスマスツリースキャン | 「FIN」「URG(緊急)」および「PUSH(データ伝送指示)」の各パケットを送信するスキャン手法。 接続先のポートが閉じている場合、RSTパケットが返されるため、ポートの状態を把握できる |
ポートスキャン攻撃による被害
「ポートスキャン」自体、直接的な被害をもたらすものではありませんが、ポートスキャンによって得られた情報をもとにサイバー攻撃が行われ、甚大な被害が発生することがあります。
ここでは、ポートスキャン攻撃によって引き起こされる被害について詳しく説明します。
個人・機密情報が漏洩する
「ポートスキャンとは」の部分でも少し説明したように、ポートスキャンを行うことで、システムに潜在する脆弱性が明らかにされるリスクがあります。
特定できた脆弱性を悪用してシステムに侵入された場合、機密情報が窃取されたり、意図せず流出したりする危険性があります。
マルウェアに感染する
ポートスキャンによって特定の脆弱性が明らかになると、攻撃者はその脆弱性を利用してマルウェアを侵入させることがあります。システムがマルウェアに感染すると、データの窃取、システムの破壊、あるいはリモートからの制御など、さまざまな悪影響を及ぼすことになります。
データが破壊される
攻撃者が脆弱性を突いてシステムに侵入した場合、データが破壊されることも考えられます。
攻撃者がデータベースにアクセスし、重要なデータを削除したり改ざんしたりすることで、業務に深刻な影響を与える可能性があります。
また、ポートスキャンによる情報収集をもとに、ランサムウェアによるデータの暗号化など、厄介なサイバー攻撃が仕掛けられるケースもあります。
DDoS攻撃など、サイバー攻撃に悪用される
脆弱性を突いてシステムに侵入された場合、「ボット」と呼ばれる、遠隔操作用の不正プログラムを仕掛けられてしまう可能性があります。
攻撃者はボットを悪用することで、被害者のPC内のデータを不正にのぞき見したり、アカウントの乗っ取りを働いたりすることが可能です。
また、攻撃者は、ボットに感染した複数のコンピューターで「ボットネット」を形成し、DDoS攻撃などの大規模なサイバー攻撃の踏み台に利用します。
※DDoS攻撃…複数の端末から攻撃対象のサーバーに対して、意図的に大量のパケットを送信し、相手のサーバーやネットワークへ膨大な負荷をかけダウンさせる、サイバー攻撃の一種
Webアプリケーション診断で指摘される
脆弱性TOP5を解説!
Webアプリのセキュリティ対策は万全ですか?
実際に診断でよく指摘される脆弱性TOP5を
原因や対策方法も含め、分かりやすく説明します。
ポートスキャン攻撃を検知する方法
ポートスキャン攻撃を検出するためには、以下のような、ネットワークやWEBアプリケーションの脅威検知・監視・ログ取得ができるツールを導入するのが有効です。
- ・ ファイアウォール
- ・ IDS/IPS
- ・ NDR
- ・ WAF
ファイアウォール
ファイアウォールとは、ネットワーク上を流れるデータ通信を監視し、不正な通信を遮断することで、外部からの攻撃を防ぐセキュリティ対策です。
このファイアウォールには通信ログが記録されます。
そのため、例えば多数のポートに対して短時間にアクセスを試みるような通信が記録されていた場合、その通信元からの通信を拒否する設定にしておけば、遮断することができます。
IDS/IPS
IDS(侵入検知システム)やIPS(侵入防御システム)は、ネットワークトラフィックを監視し、不正アクセスや異常な活動を検知するためのツールです。
これらのシステムは、ポートスキャンのパターンを特定し、リアルタイムで警告を発することができます。
両者の違いとして、IDSは侵入の兆候を検出してアラートを通知することが主な役割ですが、IPSは検知した攻撃を「防御」する機能も備えています。
IDS、IPSの利用により、ポートスキャン攻撃の早期発見と対応が可能になります。
NDR
NDR(Network Detection and Response)とは、ネットワーク上の異常な振る舞いを検出し、対応するためのツールです。
ポートスキャンやその他の異常なネットワークアクティビティを検出し、リアルタイムで警告を発するだけでなく、攻撃の解析や対応策の提案も行います。
NDRシステムを導入することで、ネットワーク全体のセキュリティを強化し、ポートスキャン攻撃の早期発見と迅速な対応が可能になります。
WAF
WAF(Web Application Firewall)とは、WebサーバーとWebアプリケーションの間に配置し、HTTP通信を監視することでWebアプリケーションに対する悪意ある通信を検知・ブロックするものです。
ポートスキャン攻撃そのものを防ぐわけではありませんが、Webアプリケーションのセキュリティを強化し、脆弱性を狙った攻撃を検出するのに役立ちます。
WAFのログやアラート機能を利用して、Webアプリケーションへの不審なアクセスや異常なリクエストを監視することで、ポートスキャン攻撃の兆候を早期に察知することができます。
ポートスキャン攻撃への対策
ポートスキャン攻撃への対策としては、以下の2つが挙げられます。
- 1. 不要なポートを閉じる
- 2. OS・ソフトウェアは常に最新の状態を保つ
1.不要なポートは閉じる
基本的な対策として、自社のシステム環境に在る、不要なポートは閉じるようにしましょう。開放されているポートが多ければ多いほど、攻撃者に狙われるリスクは高くなります。
ツールを使ってポートスキャンを行うことで、自社環境にて「開いているポート」を特定できるため、定期的に不必要なポートの公開がされていないかをチェックし、不正アクセスのリスク軽減が重要です。
2.OS・ソフトウェアは常に最新の状態を保つ
OSやソフトウェアを最新の状態に保つことで、既知の脆弱性やセキュリティホールからの攻撃リスクを低減できます。
先述の通り、攻撃者はポートスキャンによってターゲットのシステム環境における「脆弱性」を明らかにし、攻撃に悪用します。
よって、定期的にOSやソフトウェアを更新することで脆弱性を修正し、最新のセキュリティ対策を施すことがとても重要です。
ポートスキャン攻撃への対策ならLANSCOPE プロフェッショナルサービスにお任せ
MOTEX(エムオーテックス)では、ポートスキャン攻撃への対策として有効な以下のサービスを提供しています。
- ・ AIがサイバー攻撃を自動検知・遮断する「Darktrace(ダークトレース)」
- ・ 高品質な診断が可能な「脆弱性診断・セキュリティ診断」
1.AIがサイバー攻撃を自動検知・遮断する「Darktrace(ダークトレース)」
「Darktrace」は、企業・組織のネットワークやクラウドのパケットを収集し、ネットワーク全体の通信状況の可視化と異常な挙動を検知するNDRソリューションです。
AI 機械学習と数学理論を用いた通信分析で自己学習し、ポートスキャン攻撃のような、通常とは異なる通信パターンを検知・対処します。
AIが脅威レベルを自動で判断し、危険な通信を自動遮断するため、脅威判定が簡単で管理工数がかからない点も強みです。
またDarktraceではネットワークに加え、クラウド、テレワーク、Eメール、SaaS環境など、広範なデジタル環境を網羅的に監視し一元管理できるため、あらゆる脅威を素早く検知し対策することが可能です。
「管理負荷が少なく、自社のIT環境を網羅的に監視・対策できるセキュリティソリューションを求めている」方に最適です。詳しくは以下の詳細よりご覧ください。
2.高品質な診断が可能な「脆弱性診断・セキュリティ診断」
弊社が提供する脆弱性診断・セキュリティ診断では、国家資格をもつ経験豊富なスペシャリストが、お客様の利用環境に潜む脆弱性・セキュリティリスクを網羅的に洗い出し、効率的な脆弱性対策をサポートします。
定期的に脆弱性診断をおこない、システム環境における弱点を明らかにすることで、サイバー攻撃に狙われるリスクを軽減できます。
診断後のレポートでは、各脅威の種類やリスクレベルだけでなく、「適切な対策内容」もあわせてお伝えするため、着実な脆弱性の修正とセキュリティレベル向上を目指していただけます。
▼脆弱性診断サービス 一覧
- ・ Webアプリケーション診断
- ・ ソースコード診断
- ・ ネットワーク診断
- ・ スマートフォンアプリケーション診断
- ・ ゲームセキュリティ診断
- ・ IoT 脆弱性診断
- ・ ペネトレーションテスト
- ・ サイバーリスク健康診断
「自社環境やサービスの脆弱性に懸念がある」
「診断ツールではなく、プロの目による診断を受けたい」
そういった担当者様は、ぜひ一度、LANSCOPE プロフェッショナルサービスへお問い合わせください。お客様のご都合・予算等に応じて、最適なプランをご紹介させていただきます。
また「まずは簡易的に脆弱性診断を行いたい」というお客様向けに、低コスト・短期で診断が実施できる「セキュリティ健康診断パッケージ」も提供しています。
まとめ
本記事では「ポートスキャン」をテーマに、その概要や対策について解説しました。
本記事のまとめ
- ポートスキャンとは、特定のIPアドレスに対してどのポートが開いているかを確認する技術
- ポートスキャンは本来、サーバー管理者が自社サーバーの稼働状況を確認するために用いられるが、サイバー攻撃の事前準備に悪用されることもある
- ポートスキャンによって得られた情報が悪用されると、「情報漏洩」「マルウェア感染」「データ破壊」「サイバー攻撃の踏み台への利用」といった被害が想定される
- ポートスキャンを検知するためには、「ファイアウォール」「IDS/IPS」「NDR」「WAF」といったツールの導入が有効
- ポートスキャン攻撃への対策としては、「不要なポートを閉じる」「OS・ソフトウェアは常に最新の状態を保つ」などが挙げられる
ポートスキャンそのものは直接的なダメージを与えるものではありませんが、それによって得られた情報が悪用されると、甚大な被害を引き起こす可能性があります。ポートスキャンを受けた場合には、迅速な対応とセキュリティ対策を講じることが重要です。
Webアプリケーション診断で指摘される
脆弱性TOP5を解説!
Webアプリのセキュリティ対策は万全ですか?
実際に診断でよく指摘される脆弱性TOP5を
原因や対策方法も含め、分かりやすく説明します。
おすすめ記事
