ポートおよびポート番号とは？

コンピューターのポートは、プログラムまたはインターネットからデバイスまたはネットワーク上の他のコンピューターへ情報の流れ（また、その逆）のドッキング ステーションとして働きます。 これは、電子媒体、ソフトウェア、プログラム関連のメカニズムを介してデータを交換するための駐車場のようなものです。

ポート番号は、一貫性の保持とプログラミングのために使用されます。ポート番号と IP アドレスの組み合わせは、インターネット サービス プロバイダーが要求に応えるために不可欠な情報です。ポートは 0～65536 まであり、基本的に使用頻度に応じてランク付けされます。

ポート 0～1023 は、インターネット用に設計された「ウェルノウン ポート番号」ですが、特殊目的にも使用できます。これらは、Internet Assigned Numbers Authority（IANA、インターネット番号割当機関）によって管理されています。これらのポートは、Apple QuickTime、MSN、SQL サービス、他の有名組織などの一流企業に割り当てられています。他のよく使用されるポートと割り当てられたサービスは以下のとおりです。

• ポート 20（UDP）は、データ転送に使用されるファイル転送プロトコル（FTP）に割り当てられています
• ポート 22（TCP）は、セキュアなログイン、FTP、ポート転送などの Secure Shell（SSH）に割り当てられています
• ポート 53（UDP）は、名前を IP アドレスに変換する Domain Name System（DNS）に割り当てられています
• ポート 80（TCP）は、World Wide Web HTTP に割り当てられています

1024～49151 の番号は「登録済みポート」とされ、ソフトウェア企業によって登録されています。ポート 49151～65536は、ダイナミック ポートとプライベート ポートで、ほぼ誰でも使用できます。

ポート スキャンで使用されるプロトコルは何ですか？

ポート スキャンに使用される一般的なプロトコルは TCP（トランスミッション コントロール プロトコル）と UDP（ユーザー データグラム プロトコル）です。どちらもインターネットのデータ転送方式ですが、仕組みが異なります。

TCP は信頼性の高い双方向接続ベースのデータ転送で、送信の完了は通信相手のステータスに依存します。一方で UDP は、コネクションレスで信頼性に欠けます。UDP プロトコル経由で送信されたデータは、通信相手の状態を考慮せず配信されるため、データが到達するかどうかの保証はありません。

この 2 つのプロトコルを利用する際、ポート スキャンの実行にはいくつかの異なるテクニックが存在します。

ポート スキャンのテクニックが異なるのはどのような点ですか？

ポート スキャンには、具体的な目標に応じていくつかの異なるテクニックが存在します。サイバー犯罪者も、その目標や攻撃戦略に基づいて特定のポート スキャンのテクニックを選択するという点に注意しておくことが重要です。

以下は、テクニックの一部とその仕組みです。

• Ping スキャン：最もシンプルなポート スキャンは、ping スキャンと呼ばれます。ネットワーク内で、ping は、ネットワーク データ パケットが IP アドレスにエラーなく配信されるかどうかを確認するために使用されます。Ping スキャンは、インターネット制御メッセージ プロトコル（ICMP）要求であり、自動化された複数の ICMP 要求のまとまりをさまざまなサーバーに送信して応答を引き出します。IT 管理者はこのテクニックを使用してトラブルシューティングを行ったり、ファイアウォールを使用して ping スキャンを無効にすることで、攻撃者による ping を介したネットワーク検出を防ぐことができます。
• ハーフ オープン（SYN）スキャン：ハーフ オープン スキャン、別名 SYN （同期： synchronize の短縮形）スキャンは、攻撃者が完全な接続を確立せずにポートのステータスを判断するために使う戦術です。このスキャンでは、SYN メッセージが送信されるだけで接続は完了しない状態となるため、ターゲットはハングしたままとなります。ターゲットのデバイス上で開いている可能性のあるポートを探すときに使用される、簡単かつ検知されにくいテクニックです。
• XMAS スキャン：XMAS スキャンは、さらにファイアウォールによって見つかりにくいスキャン方法です。たとえば、FIN パケットは通常、TCP 3ウェイ ハンドシェイクを確立してデータの転送に成功した後に、接続を終了させるためにサーバーまたはクライアントから送信されるものです。これは「送信者からのデータはこれ以上利用できません」というメッセージによって示されます。ファイアウォールでは主に SYN パケットが監視の対象となることから、FIN パケットは多くの場合気付かれずにファイアウォールをすり抜けます。 そのため、XMAS スキャンは FIN を含むすべてのフラグが付いたパケットを送信し、応答がなければそのポートが開いていることを察知します。ポートが閉じている場合、RST 応答が受信されます。XMAS スキャンが監視ログに現れることはほとんどなく、ネットワークの保護とファイアウォールを隠れて把握できる 1 つの方法となっています。

ポート スキャンからはどのようなポート スキャン結果が得られますか？

ポート スキャンの結果からは、ネットワークやサーバーのステータスが明らかとなります。ステータスは、「オープン」、「クローズド」、「フィルター済み」の 3 つのカテゴリーのいずれかとなります。

• オープン ポート：オープン ポートは、ターゲットのサーバーまたはネットワークが能動的に接続またはデータグラムを受け入れており、リスニング中であることを示すパケットで応答したことを示します。さらに、スキャンに使用されたサービス（通常は TCP または UDP）が使用中であることを示します。
  通常、オープンポートはポート スキャンの最終的なゴールであり、攻撃の道筋を探しているサイバー犯罪者にとっての標的です。IT 管理者にとっての課題は、ファイアウォールをインストールすることで、正規のユーザーのアクセスに影響を与えることなく、これらのポートにバリケードを設置することです。
• クローズド ポート：クローズド ポートは、サーバーまたはネットワークに要求は届いたものの、そのポートを「リスニング」しているサービスがないことを示します。クローズド ポートにアクセスすることは可能で、ホストが IP アドレス上にあることを確認する方法として使用できます。クローズド ポートがオープン ステータスに変わり、脆弱性が発生する可能性があるため、IT 管理者は依然としてこれらのポートを監視する必要があります。IT 管理者は、ファイアウォールを使用してクローズド ポートをブロックし、「フィルター済み」ポートとすることを検討すべきです。
• フィルター済みポート：フィルター済みポートは、要求パケットが送信されたが、ホストが応答せず、リスニングしていないことを示します。通常、これは要求パケットがフィルターで除外された、またはファイアウォールでブロックされたことを示します。パケットがターゲットの場所に到達しなければ、攻撃者がそれ以上の情報を得ることはできません。フィルター済みポートからは、ほとんどの場合、「接続先なし」または「通信が禁止されています」というエラー メッセージが返されます。

サイバー犯罪者がポート スキャンを攻撃手段として使用する方法。

SANS Institute によると、ポート スキャンは攻撃者が突破できそうな脆弱なサーバーを探すときに最もよく使用する手法の 1 つです。

ポート スキャンは、ネットワークを標的とするときの予備段階としてよく使用されます。犯罪者はポート スキャンを使用してさまざまな組織のセキュリティ レベルを綿密に調べ、強力なファイアウォールを持つ組織はどれか、攻撃しやすいサーバーまたはネットワークはどれかを確認します。いくつかの TCP プロトコル テクニックは、犯罪者のネットワーク位置を隠すために使用できます。犯罪者は「おとりのトラフィック」を使用して、ターゲットにネットワーク アドレスを知られることなくポート スキャンを実行します。

攻撃者はネットワークとシステムを徹底的に調べ、どのポートが反応するか、オープンか、クローズドか、フィルター済みかを確認します。

たとえば、オープンまたはクローズドの応答があると、ネットワークが実際にスキャンを受けたということがハッカーに伝わり、サイバー犯罪者によって、オペレーティング システムのタイプやセキュリティのレベルが判断できるようになります。

ポート スキャンは古い手法であり、プロトコルとセキュリティ ツールは日々進化しているためセキュリティの変更と最新の脅威インテリジェンスが必要です。 ベスト プラクティスとして、ポート スキャン アラートとファイアウォールを使用し、ポートへのトラフィックを監視するとともに、悪意のある攻撃者がネットワークに不正に侵入する潜在的な機会を検出できないようにする必要があります。