基本情報技術者試験「ポートスキャン」の問題
J社のセキュリティ担当者が境界の通信ログを点検したところ、同一の外部送信元から、自社の公開サーバの多数のポート番号へ順番に短時間で接続を試みる通信が記録されていた。各接続は成立していない。この通信の解釈と対応として、最も適切なものはどれか。
ア接続が成立していない以上は実害がないと解し、ログを残さず経過も追わずそのままにする。
イ開放ポートを探る事前偵察の兆候と解し、送信元を監視・遮断したうえで公開ポートを点検する。
ウサーバの処理能力不足が招いた現象と解し、機材の増強だけで再発は収まると結論づける。
エ利用者の資格情報が破られた痕跡と解し、全利用者へのパスワード変更依頼だけで対処する。
正解
イ.開放ポートを探る事前偵察の兆候と解し、送信元を監視・遮断したうえで公開ポートを点検する。
同一送信元から多数のポートへ順番に短時間で接続試行し各接続が不成立、というパターンは開放ポートやサービスを探る事前偵察(ポートスキャン)の典型である。送信元IPの監視・遮断を行い、不要な公開ポートを閉じ脆弱性を点検することが、本格攻撃への移行を防ぐ初動になる。
?選択肢ごとの解説
ア ×接続不成立でも多数ポートへの順次試行は偵察の特徴であり、実害なしと決めて放置すると本攻撃の前兆を見逃す。
イ ○同一送信元から多数のポートへ順番に短時間で接続試行し各接続が不成立、というパターンは開放ポートやサービスを探る事前偵察(ポートスキャン)の典型である。送信元IPの監視・遮断を行い、不要な公開ポートを閉じ脆弱性を点検することが、本格攻撃への移行を防ぐ初動になる。
ウ ×処理能力不足という解釈は誤りで、本通信は外部からの探索行為であり機材増強では対策にならない。
エ ×接続は成立しておらず資格情報突破の痕跡はなく、偵察を認証突破と取り違えた誤った解釈である。
✎くわしく
攻撃はおおむね『偵察→侵入→拡大』の段階を踏む。ポートスキャンは偵察段階の代表で、開放ポートやサービス版数を把握して攻撃経路を選定する準備である。早期に検知・遮断し、攻撃面(不要な公開ポート)を縮小することで侵入段階への移行を阻める。
✓本番での押さえどころ
試験のコツ
単一送信元→多数ポートへ順次試行はポートスキャン(偵察)。対応は送信元の監視・遮断と不要ポートの閉鎖・点検。
覚え方
ポートスキャンは『泥棒が家の全部の窓をガチャガチャ試す』偵察。鳴る前に施錠確認と警戒。
よくある誤り
『接続が成立していないから問題ない』と軽視する。スキャン自体が攻撃の前兆であり、検知・対応の対象である点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0094