Copilotと Microsoft Azureの新しいVectra AI Platformの適用範囲を紹介する。

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
攻撃テクニック

ポートスキャン

ポートスキャンはネットワークのメンテナンスに欠かせないものですが、攻撃者が開かれたドアを見つけるために利用することもあります。ここでは、検知 、ポートスキャンを停止するために知っておくべきことを説明します。

定義
仕組み
攻撃者がそれを使う理由
検知
よくあるご質問(FAQ)
定義

ポートスキャンとは何か?

ポートスキャンは、攻撃者がネットワークの脆弱性を特定するために使用する手法です。ポート・スキャナーは、開いているポートや脆弱性、ネットワークに接続されている不要なデバイスを明らかにするなど、ネットワーク・セキュリティにとって有益な用途がある一方で、悪意のある行為者は、侵入のための弱点を見つけるために使用することができます。攻撃者はまた、あなたがファイアウォール、VPN、プロキシサーバー、その他のセキュリティデバイスを実行しているかどうかを確認するために使用することができます。

仕組み

ポートスキャン技術の仕組み

ポート・スキャンは、ネットワーク・ポートの範囲にパケットを送信し、その応答を分析して、どのポートが開いているか、閉じているか、またはフィルタリングされているかを判断することで機能する。これらのポートはさまざまなサービス(HTTP、FTP、SSHなど)に対応しており、セキュリティが不十分だと攻撃者に悪用される可能性がある。

ポートスキャンプロセス
攻撃者がそれを使う理由

攻撃者がポートスキャン技術を使う理由

攻撃者は、脆弱なサービスや設定ミスのあるシステムを特定するために、偵察段階でポートスキャンを使用することがよくあります。例えば、22番(SSH)や3389番(RDP)のようなオープンポートをスキャンすることで、リモートからアクセス可能な管理サービスを発見し、悪用のターゲットにすることができます。

攻撃者は、どのポートが開いているかを知れば、そのポートで動作しているサービスの脆弱性に焦点を絞ることができる。例えば、あるウェブ・サーバーが80番ポートで稼動していることがスキャニング・ツールによって判明した場合、攻撃者はそのウェブ・サーバーの設定ミス、パッチが適用されていないソフトウェア、あるいは脆弱な認証情報を探るかもしれない。

ポートスキャン攻撃の種類

攻撃者は、必要とされるステルス性のレベルに応じて、いくつかのタイプのポートスキャン技術を使用する:

  • TCPコネクトスキャン: このスキャンは、ポートが開いているかどうかを判断するために、完全な3ウェイハンドシェイクを完了させようとします。システムの接続記録にログを残すため、検知 、最も簡単なポートスキャン攻撃です。このテクニックは、SYNCスキャンがオプションでない場合に使用されます。
  • SYNスキャン:SYNスキャン(ハーフオープンスキャン)は、TCPコネクトスキャンよりもステルス性が高い。ポートスキャンツールは、接続を開始するパケットを送信しますが、ハンドシェイクを完了しないため、検出される可能性が低くなります。この方法は、完全なTCP接続を確立したり、アラームを通知したりすることなく、オープン・ポートを明らかにします。
  • FIN、Xmas、NULLスキャン: ファイアウォールや侵入検知システム(IDS)を回避するためのテクニック。特定のポートをプローブするために、通常とは異なるフラグの組み合わせのパケットを送信する。オペレーティング・システムによって、開いているポートや閉じているポートの反応が異なるため、攻撃者はネットワークを巧妙にマッピングすることができる。
  • UDPスキャン:UDP(User Datagram Protocol)はコネクションレスなので、スキャンには、ポートにUDPパケットを送信し、レスポンス 、その有無を分析することが含まれる。このタイプのスキャンは、UDPの応答が予測しにくく、リクエストが適切に形成されない限り多くのサービスが応答しないため、TCPスキャンよりも時間がかかり、実施も難しい。
  • FTPバウンススキャン: この手口は、FTPサーバーを使用してパケットをバウンスし、送信者の位置を偽装することで、攻撃者に気付かれないようにする。
  • Pingスキャン:このタイプでは、攻撃者はpingを使用して、ネットワーク・データ・パケットがIPアドレスにどれだけ簡単に到達できるかをテストします。

以下は、様々なポートスキャン技術とそのステルスレベルをまとめた表である:

スキャン技術 目的 ステルスのレベル
TCPコネクト・スキャン ターゲット・ポートとの完全なTCPコネクションの確立を試み、そのポートが開いているかどうかをチェックする。 低い(容易に検出可能)
TCP SYNスキャン(ハーフオープンスキャン) TCPハンドシェイクを完了することなく、オープンポートを決定するためにSYNパケットを送信する。 中程度(あまり検出されない)
UDPスキャン UDPパケットを送信して、ターゲット・システム上で開いているUDPポートを見つける。 低い(信頼性が低く、検出できない可能性がある)
FIN、Xmas、そしてヌルスキャン ファイアウォールや検知 オープンポートを迂回するために、異常なフラグの組み合わせでパケットを送信する。 高い(ステルス性)
ピン・スイープ ネットワーク上のアクティブなホストを発見するためにICMPエコー要求を送信する。 低い(容易に検出可能)
バージョンのスキャン サービスのプローブを行い、ソフトウェアのバージョンを特定し、脆弱性を特定する。 低~中
アイドルスキャン ゾンビ」ホストを使用してスキャンを実行し、攻撃者のIPアドレスを隠す。 非常に高い(極めてステルス性が高い)

ポートスキャンが攻撃者にとって魅力的な理由

  • 非侵襲性とステルス性:スキャン技術の中には、ファイアウォールやIDSによる検知を避けるように設計されているものがある。
  • 参入障壁が低い:数多くの無料ツールやスクリプトが利用できるため、さまざまなスキルレベルの攻撃者がポートスキャンにアクセスできる。
  • 攻撃計画に不可欠効果的な攻撃戦略を練るために必要な重要な情報を提供します。
  • 匿名性:アイドルスキャンのような技術は、攻撃者が匿名性を保つのに役立つ。
プラットフォーム検出

検知 ポートスキャンの方法

サイバー・セキュリティ・チームがポートスキャン攻撃を防ぐ方法の1つは、ポートスキャンを定期的に実行することです。これにより、現在露出している潜在的な標的システムを特定し、不要なポートを閉じたり、脆弱性にパッチを当てることができる。不正アクセスを防ぐには、強力なファイアウォールも不可欠です。

しかし、そこで立ち止まらないことが重要だ。露出を減らすことが重要である一方で、内部サービスが攻撃を受けているときに検知 を表示する方法が必要です。例えば、Vectra AIの不審なポートスキャン検知は、攻撃者が1つまたは複数のIPアドレスで積極的にポート接続を試みている場合に防御側に警告を発するよう特別に設計されている。

検知
不審なポートのスキャン
さらに詳しく
検知
アウトバウンド・ポート・スイープ
さらに詳しく
検知
不審な港の捜索
さらに詳しく
検知
SMBアカウントスキャン
さらに詳しく
検知
内部ダークネットスキャン
さらに詳しく
検知
ケルベロスアカウントスキャン
さらに詳しく
すべての検出を調べる

高度な検出機能でネットワークを保護

Vectra AIは、ポートスキャンを含む強力なAI主導 の検出機能を使用して、ネットワークトラフィックを継続的に監視し、攻撃をその進行の初期段階で特定します。これらの検出を合わせると、関連するMITRE ATT&CK テクニックの 90% をカバーしています。

プラットフォーム
さらに詳しく

よくあるご質問(FAQ)