ステルススキャンとは？サイバー攻撃者の手口を理解する

ざっくりと

ステルススキャンとは、ログを残さない不正のポートスキャンです。

ステルススキャンとは、ログを残さずに標的となるコンピュータの状態を調査する手法である。なぜならば、通常の接続手順から外れた応答を行うことにより、調査が行われていることを相手に知らせずに行うからだ。

例えば、「SYNスキャン」や「FINスキャン」のような手法が使われる。そして、これらの手法により、攻撃者は目的のコンピュータのどのポートが開いているかを知ることができる。

つまり、これらの情報は攻撃者にとって、その後の攻撃を計画するための重要な情報となる。だから、サイバーセキュリティの観点からステルススキャンは重要な概念となる。

ネットワークエンジニア
ネットワークエンジニアは、ステルススキャンを知っていることが必要である。なぜなら、これはネットワークのセキュリティを保つために必要な知識だからだ。例えば、不正アクセスを防ぐためにはステルススキャンの手法を理解し、対策を講じることが求められる。
システムアドミニストレータ
システムアドミニストレータも、ステルススキャンを理解することが必要だ。なぜなら、システムの脆弱性を把握し、適切なセキュリティ対策を行うためには、攻撃者がどのようにシステムに侵入するかを理解することが求められるからだ。例えば、ステルススキャンによりどのポートが攻撃対象となり得るかを把握し、適切な対策を講じる必要がある。
セキュリティコンサルタント
セキュリティコンサルタントは、ステルススキャンの知識を持つことで、顧客のセキュリティ状態を評価し、最適な対策を提案できる。なぜなら、ステルススキャンは潜在的な脆弱性を見つけるための一つの手段であり、これを理解していることで、より適切な対策を顧客に提供できるからだ。例えば、ステルススキャンに対する対策を含めたセキュリティプランを作成することができる。

ステルススキャンはその名の通り、標的のコンピュータに記録（ログ）を取られずに、調査を行う手法を指します。

ポートスキャン
ポートスキャンは、ステルススキャンの一種だ。それは、コンピュータのTCP/UDPポートが開いているか調べることである。だけど、ポートスキャンは通常の接続試行で通信記録に残る。
SYNスキャン
SYNスキャンは、ステルススキャンの手法の一つだ。それは、接続確立寸前にキャンセルを意味するRSTパケットを送って接続を中断することだ。これにより、攻撃者はログを残さずにスキャンできる。
FINスキャン
FINスキャンもステルススキャンの手法だ。これは、接続がまだ確立していないのに接続終了を意味するFINパケットを送り、相手の反応を見ることだ。これにより、攻撃者は標的のコンピュータに気づかれずに情報を収集できる。

ログ取り
ログ取りはステルススキャンの反対だ。それは、全ての活動を記録することで、隠密行動は不可能だ。例えば、普通のインターネット閲覧行為がこれに当たる。
オープンスキャン
オープンスキャンはステルススキャンの逆だ。それは、あからさまに接続を試みることで、自分が何をやっているかを隠そうとしない。例えば、普通のネットワークテストがこれに当たる。
透明性
透明性はステルススキャンとは対照的だ。それは、行動が明確に見える状態だからだ。例えば、オープンソースソフトウェアのコミュニティはこの透明性を重んじる。

友達との会話
Q.「なんでステルススキャンっていうの？」
A.「”ステルス”っていうのは”見えない”や”探知されにくい”って意味だから、相手に気づかれずに情報を集めることができるんだよ。」
コンピュータクラブでの会話
Q.「ステルススキャンってどうやって行うの？」
A.「特殊なパケットを使って接続の流れをいじるんだ。例えば、SYNスキャンやFINスキャンがあるよ。」
保護者との会話
Q.「ステルススキャンって危険なの？」
A.「うん、それはサイバー攻撃の一部だからね。だから、自分のコンピュータのセキュリティをしっかりと管理することが大切だよ。」

ステルススキャンを使う時の注意点は、自分の行動が違法になる可能性があることだ。なぜなら、他人のコンピュータを無許可で調査するのは法に触れる可能性があるからだ。

例えば、ハッキングと見なされて逮捕されることもある。そして、ステルススキャンは専門的な知識を必要とする。だから、しっかりと学んでから使うこと。

ステルススキャンとポートスキャンの違いは、間違えやすいので注意しましょう。

ステルススキャンは攻撃者が気づかれずに情報を集める手法です。

一方、ポートスキャンは単にポートが開いているかを調べる行為です。