情報セキュリティ

基本情報技術者試験ポートスキャン」の問題

情報セキュリティ情報セキュリティ難易度:normal
J社のセキュリティ担当者が境界の通信ログを点検したところ、同一の外部送信元から、自社の公開サーバの多数のポート番号へ順番に短時間で接続を試みる通信が記録されていた。各接続は成立していない。この通信の解釈と対応として、最も適切なものはどれか。
接続が成立していない以上は実害がないと解し、ログを残さず経過も追わずそのままにする。
開放ポートを探る事前偵察の兆候と解し、送信元を監視・遮断したうえで公開ポートを点検する。
サーバの処理能力不足が招いた現象と解し、機材の増強だけで再発は収まると結論づける。
利用者の資格情報が破られた痕跡と解し、全利用者へのパスワード変更依頼だけで対処する。
正解
開放ポートを探る事前偵察の兆候と解し、送信元を監視・遮断したうえで公開ポートを点検する。

同一送信元から多数のポートへ順番に短時間で接続試行し各接続が不成立、というパターンは開放ポートやサービスを探る事前偵察(ポートスキャン)の典型である。送信元IPの監視・遮断を行い、不要な公開ポートを閉じ脆弱性を点検することが、本格攻撃への移行を防ぐ初動になる。

?選択肢ごとの解説

ア ×接続不成立でも多数ポートへの順次試行は偵察の特徴であり、実害なしと決めて放置すると本攻撃の前兆を見逃す。
イ ○同一送信元から多数のポートへ順番に短時間で接続試行し各接続が不成立、というパターンは開放ポートやサービスを探る事前偵察(ポートスキャン)の典型である。送信元IPの監視・遮断を行い、不要な公開ポートを閉じ脆弱性を点検することが、本格攻撃への移行を防ぐ初動になる。
ウ ×処理能力不足という解釈は誤りで、本通信は外部からの探索行為であり機材増強では対策にならない。
エ ×接続は成立しておらず資格情報突破の痕跡はなく、偵察を認証突破と取り違えた誤った解釈である。

くわしく

攻撃はおおむね『偵察→侵入→拡大』の段階を踏む。ポートスキャンは偵察段階の代表で、開放ポートやサービス版数を把握して攻撃経路を選定する準備である。早期に検知・遮断し、攻撃面(不要な公開ポート)を縮小することで侵入段階への移行を阻める。

本番での押さえどころ

試験のコツ

単一送信元→多数ポートへ順次試行はポートスキャン(偵察)。対応は送信元の監視・遮断と不要ポートの閉鎖・点検。

覚え方

ポートスキャンは『泥棒が家の全部の窓をガチャガチャ試す』偵察。鳴る前に施錠確認と警戒。

よくある誤り

『接続が成立していないから問題ない』と軽視する。スキャン自体が攻撃の前兆であり、検知・対応の対象である点を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0094

【基本情報技術者試験】ポートスキャンの問題 — 解答・解説|ukamiru 過去問