情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成26年度春期 午前Ⅱ 問12: 脆弱性検査で，対象ホストに対してポートスキャンを行った。対象ポートの状態を判定する方法のうち，適切なものはどれか。

問題本文

脆弱性検査で，対象ホストに対してポートスキャンを行った。対象ポートの状態を判定する方法のうち，適切なものはどれか。

選択肢

• ア.対象ポートにSYNパケットを送信し，対象ホストから“RST/ACK”パケットを受信するとき，対象ポートが開いていると判定する。
• イ.対象ポートにSYNパケットを送信し，対象ホストから“SYN/ACK”パケットを受信するとき，対象ポートが閉じていると判定する。
• ウ.対象ポートにUDPパケットを送信し，対象ホストからメッセージ“port unreachable”を受信するとき，対象ポートが閉じていると判定する。
• エ.対象ポートにUDPパケットを送信し，対象ホストからメッセージ“port unreachable”を受信するとき，対象ポートが開いていると判定する。

正解

ウ. 対象ポートにUDPパケットを送信し，対象ホストからメッセージ“port unreachable”を受信するとき，対象ポートが閉じていると判定する。

解説

ポートスキャンでは応答からポート状態を推定する。UDPスキャンでは、閉じているポートにパケットを送ると一般にICMPの『port unreachable』が返る。これを根拠に閉鎖と判定でき、ウが正解。実務では脆弱性検査やペネトレーションテストで開放ポートを洗い出し、不要なサービスの停止につなげる。

選択肢ごとの解説

• ア.SYNに対しRST/ACKが返るのはポートが閉じている場合で、開いているとする判定は逆であり誤り。
• イ.SYNにSYN/ACKが返るのはポートが開いている合図で、閉じているとする判定は逆であり誤り。
• ウ.UDPでport unreachableが返れば閉鎖と判定できるという、UDPスキャンの正しい原理で正しい。
• エ.port unreachableは閉鎖を示すのに開いていると判定しており、解釈が逆で誤り。