ポートスキャンとは？ わかりやすく10分で解説

外部と通信できるシステムは、インターネット越しに常に「見られている」前提で考える必要があります。中でもポートスキャンは、攻撃者が侵入経路を探す際に行う典型的な情報収集であり、被害の“前段”として観測されやすい挙動です。本記事では、ポートスキャンの基本から検出・対策までを整理し、読者が自社環境で取るべき判断をしやすくすることを目的に解説します。

はじめに

近年、デジタル技術の進化とともに、サイバー攻撃の脅威が増大しています。私たちの生活やビジネスにおいて、インターネットは欠かせない存在となっていますが、それと同時に、さまざまなセキュリティリスクも増えてきました。この記事では、サイバー攻撃の予兆の一つでもある「ポートスキャン」に焦点を当て、その概要と、検出・防御の考え方について解説します。

サイバー攻撃とは？ 種類と対策をわかりやすく解説 | ネットアテスト

企業が活動を続けるなかでセキュリティ対策は欠かせません。情報化が進んだことで企業が持つ情報の価値は高まり、サイバー攻撃の標的になるようになったからです。適切なセキュリティ対策を取るためには、サイバー攻撃の種類についてもしっかりと理解しておく必要があります。この記事では、企業が注意...

netattest.com

サイバー攻撃とは?

サイバー攻撃とは、コンピュータやネットワークを標的とした悪意のある行為を指します。これには、マルウェアの感染、不正アクセス、情報の窃取、サービス妨害など、さまざまな手法が存在します。特にビジネスの現場では、機密情報の漏えい、システム停止、業務継続への影響といった被害につながる可能性があるため、攻撃そのものだけでなく、攻撃に至る前段の兆候も含めて対策することが重要です。

ポートスキャンについて

ポートスキャンは、サイバー攻撃の事前準備として行われることが多い行為です。コンピュータやサーバーには、通信を行うための「ポート」という論理的な出入口があります。ポートスキャンは、対象に対して複数のポートへ通信を試み、どのポートが開いているか、どのようなサービスが待ち受けていそうかを推測・把握する行為です。

攻撃者は、この情報をもとに狙いを絞ったり、脆弱性が残りやすいサービスを探したりします。そのため、ポートスキャンの検出と対策は、サイバーセキュリティの基本的なテーマの一つと言えます。ただし、ポートスキャンの観測＝即侵害という意味ではありません。重要なのは、観測された事実を手掛かりに、公開範囲・設定・監視の状態を見直せるようにすることです。

ポートスキャンの基本

インターネット上の通信は、IPアドレスとポート番号の組み合わせによって、どのアプリケーション（サービス）へ届けるかが識別されます。この章では、ポートやポートスキャンの基本概念を整理し、なぜポートスキャンが情報収集として有効なのかを説明します。

ポートとは?

ポートは、コンピュータやサーバーがネットワーク上で通信を行うための論理的な出入口（番号）を指します。一つのコンピュータには複数のポートが存在し、それぞれが異なるサービスやアプリケーションと関連付けられています。例えば、Web閲覧で使われるHTTPは80番、暗号化されたHTTPSは443番、メール送信で使われるSMTPは25番などが代表例です。

実務上は「TCP/UDPどちらの通信か」も重要です。ポート番号はTCPにもUDPにも存在し、同じ番号でもTCPとUDPで意味合いが異なる場合があります。ポートスキャンは、このTCP/UDPの違いも含めて、対象の通信口の状態を探る行為として実行されます。

ポートスキャンの目的

ポートスキャンは、特定のコンピュータやサーバーで開放（外部から到達可能）されているポートを調査する行為です。調査によって、攻撃者は「到達できるポートがあるか」「応答が返るか」「どのサービスが動作していそうか」といった手掛かりを得られます。この情報は、サイバー攻撃の狙いを絞るための重要な手掛かりとなります。

例えば、外部公開の必要がない管理用ポートが開放されていれば、認証突破や既知の脆弱性を狙う攻撃に発展しやすくなります。逆に、公開が必要なポートであっても、到達元の制限やWAFなどの多層防御が適切に設計されていれば、被害につながりにくい構成にできます。

ポートスキャンの方法と種類

ポートスキャンには、さまざまな方法が存在します。ここでは代表的な種類を挙げつつ、手法ごとの特徴を「どう見分けるか」「どう備えるか」という観点も含めて整理します。

• TCPコネクトスキャン
  TCPの接続を最後まで確立しようとする基本的な方法です。確実に状態を把握しやすい一方、ログに残りやすく、検知もされやすい傾向があります。
• SYNスキャン
  TCPの接続確立（ハンドシェイク）を途中で止めて状態を探る方法です。高速に実行されることがあり、環境によってはコネクトスキャンよりも検知しにくい場合があります。
• FINスキャン／NULLスキャン
  通常とは異なるフラグやパケットの特徴を利用し、応答の違いから状態を推測する方法です。すべての環境で同じように成立するわけではなく、OSやネットワーク機器の挙動に左右されます。また、単純なフィルタリングや監視設定をすり抜けようとする意図で用いられることがあります。
• UDPスキャン
  UDPはTCPのような接続確立がないため、応答が返らないケースも多く、推測が難しい一方で、DNSなどUDPを使うサービスの有無を探る目的で実行されることがあります。

なお、どの手法であっても「スキャンされる側のログに必ず残る」とは限りません。ネットワーク機器の設定、ログ取得の範囲、クラウド・オンプレミスの構成によって、観測できる情報は変わります。検知の話に進む前に「どこで、どのログを取れているか」を把握しておくことが重要です。

サイバー攻撃とポートスキャン

サイバー攻撃の背後には、緻密な計画と事前の情報収集が存在します。このセクションでは、ポートスキャンがサイバー攻撃のどの段階で利用されるのか、そして「観測したときに何を疑うべきか」を深掘りします。

攻撃の事前準備としてのポートスキャン

サイバー攻撃者は、攻撃を成功させるために、ターゲットとなるシステムの情報を事前に収集します。この情報収集の一環として、ポートスキャンが行われることが多いです。開放されているポートや動作しているサービスの手掛かりを得ることで、攻撃者は狙うべき入口を絞り込み、脆弱性が残りやすい箇所や認証突破を試す箇所を選定します。

実務の観点では、ポートスキャンが観測されたときに「攻撃の試行が始まる前の段階かもしれない」と判断できることが重要です。特に、同一送信元から短時間に多数のポートへ到達が試みられる場合や、普段アクセスがない国・ネットワーク帯からの到達が見える場合は、優先度を上げて調査すべきサインになり得ます。

ポートスキャンからの攻撃シナリオ

ポートスキャンによって得られた情報を基に、攻撃者は具体的な攻撃シナリオを構築します。例えば、外部に公開されたサービスに対して既知の脆弱性を突く攻撃、管理画面への認証突破（パスワードスプレーなど）、到達可能なポートへの不正なコマンド送信などが考えられます。

ここで注意したいのは、スキャン結果は「弱点がある」ことを直接証明するものではなく、あくまで攻撃者が次の行動を選ぶための材料に過ぎない点です。したがって、防御側は「公開しているべきサービスか」「到達元制限が妥当か」「パッチや設定が最新か」「監視と検知の仕組みが整っているか」を順番に点検し、リスクの芽を潰す運用が求められます。

実際のサイバー攻撃事例とポートスキャンの関連

多くのインシデントでは、侵入や攻撃の前段としてスキャンや探索的通信が観測されることがあります。ただし、インターネットに接続したサーバーやクラウド環境では、日常的にスキャンが飛来することも珍しくありません。そのため、「スキャンが来た＝即危険」と短絡的に結論づけるのではなく、頻度・対象ポート・到達範囲・直後の挙動といった文脈で重要度を判定する姿勢が現実的です。

ポートスキャンの検出方法

ポートスキャンはサイバー攻撃の事前準備として行われることが多いため、早期に検出できるほど対応の選択肢が増えます。このセクションでは、ポートスキャンをいかにして検出し、誤検知と見落としのバランスを取りながら運用するかを説明します。

不審な通信の特徴

ポートスキャンは、通常の業務通信とは異なる特徴を持ちます。例えば、短時間に多数のポートに対して接続要求が行われる、存在しないサービスに対して連続して到達が試みられる、同一送信元が複数の宛先へ同様の試行を繰り返すなど、通常とは異なる通信パターンが観測されることがあります。

一方で、監視・保守のための正当なスキャン（資産管理ツールや脆弱性診断）も存在します。自社の正規スキャンの送信元や実行時間帯を把握しておくと、「正当なスキャン」と「未知のスキャン」を切り分けやすくなります。

ポートスキャンの検出

ポートスキャンの検出には、さまざまなツールや技術が利用されます。例えば、ネットワークトラフィックを監視するツール、ファイアウォールのログ分析、IDS（侵入検知システム）などがあります。これらの仕組みは、不審な通信の特徴をもとに、ポートスキャンを検出し、アラートを出すことができます。

ただし、検出精度を高めるためには「導入」だけで終わらず、運用設計が必要です。具体的には、アラートの閾値（短時間に何回、何ポートで通知するか）、重要資産（公開サーバー、認証基盤など）に対する優先度付け、通知後の初動（遮断・調査・証跡保全）をあらかじめ決めておくことが、実効性のある対策につながります。

ポートスキャンから身を守る方法

ポートスキャンそのものを完全に止めることは困難ですが、「攻撃の入口を減らす」「到達できても侵入に至らない」「兆候を早くつかむ」という観点で対策を積み重ねることで、リスクを下げられます。

不要なポートの閉鎖

最も基本的な対策として、使用していないポートは閉じることが挙げられます。開放されているポートが多いほど、攻撃者にとって試せる入口が増えるため、不要なポートは積極的に閉鎖することが推奨されます。

ここで重要なのは、「サーバー上でサービスが動いていない」だけでは不十分な場合がある点です。ネットワーク機器やクラウドのセキュリティグループ設定で到達を遮断し、外部から見える面を減らすことが、より確実な対策になります。

ファイアウォールの活用

ファイアウォールは、不正な通信をブロックするための仕組みです。特定のポートや送信元IPアドレスからの通信を制限することで、ポートスキャンを含むさまざまな攻撃の到達を抑制できます。

運用上は、「許可する通信を明確にして、それ以外を原則拒否する（最小権限の考え方）」が基本になります。また、公開が必要なサービスでも、管理画面は社内VPNや踏み台経由に限定するなど、到達経路を分離する設計が有効です。

IDS/IPSの導入と設定

IDS（侵入検知システム）やIPS（侵入防止システム）は、ネットワーク上の通信を監視し、不正な通信を検出し、必要に応じて遮断する仕組みです。これらを導入し、適切な設定を行うことで、スキャンの兆候を早期に把握し、攻撃への移行を抑止できる可能性があります。

ただし、IPSによる遮断は誤検知時の業務影響もあり得るため、いきなり強い遮断に寄せるのではなく、検知→分析→段階的な制御（レート制限、グレーリスト化など）といった設計が現実的です。

WAFの利用とその重要性

WAF（Web Application Firewall）は、Webアプリケーションを対象とした攻撃から保護するための仕組みです。ポートスキャン自体への直接対策というより、Web経由の攻撃（SQLインジェクションやクロスサイトスクリプティングなど）に備える役割を担います。

実際の防御では、ネットワーク層の制御（不要ポート閉鎖・到達元制限）と、アプリケーション層の防御（WAF、認証強化、脆弱性管理）を組み合わせ、多層防御として成立させることが重要です。

まとめ

この記事では、サイバー攻撃の前段として観測されやすい「ポートスキャン」について、基本から検出方法、対策までを解説しました。ポートスキャンは攻撃の準備行為として利用されることがある一方で、インターネットに接続した環境では日常的に観測されることもあります。そのため、重要なのは「観測した事実をどう判断し、どう運用に落とし込むか」です。

ポートスキャンの理解と対策の重要性

ポートスキャンは、攻撃者が侵入経路や弱点を探るための手段として利用されます。これを早期に検知し、公開範囲や設定を点検し、必要に応じて遮断・監視強化を行うことで、サイバー攻撃のリスクを低減できます。

日々のセキュリティ対策の意識の高揚

最後に、セキュリティは日々の運用の積み重ねが重要です。脅威情報の収集、システムやミドルウェアの更新、不要なポートの閉鎖、アクセス制御の見直しなど、基本的な対策を継続することが、防御の底力になります。加えて、監視やログ分析、専門的なツールの活用によって、兆候を早期に捉えられる体制を整えることも有効です。