Criminal IP (https://www.criminalip.io/ja) が収集した世界中の IP アドレス データでは連結されたドメインと Whois、位置、脆弱性と オープン ポート 情報などの総合的な CTI インテリジェンスが含まれています。その中で、ポート(Port)とは、主にソフトウェアでネットワーク サービスとプロセスを分類する単位で使用され、0から 65535までのポート 番号で運用されているネットワーク サービスを仕分けをつけることができます。特に、0から 1023までのポートを Well-known port と呼び、よく使われるサービスとポート番号をマッチングしておいたものです。Criminal IP は well-known port だけではなく、registered port、dynamic port までスキャンし、その中で特定の IP に連結されたオープン ポートを検知し、ポート状態の変動事項と脆弱性を把握します。 

IP アドレスに連結されたポート情報の特定

オープン ポートの中では、ネットワーク作業とサービス運営にかかわらず無駄に開いているポートも含まれています。管理の死角に置かれて放置されたオープン ポートはサイバー攻撃のメインルートになります。従って、間違えて開かれたポートがあるか、あったらいつから開かれてどんな脆弱性を持っているか、即時に閉じるべきのポートかなどの情報が必要です。これを一目で把握できているなら、適切な事前防御の対応を効率的にとることができるためです。

Asset Search (https://www.criminalip.io/ja/asset) に特定の IP を検索すると、検索結果の中で ‘最近のポート開放’ ボックスに検知されたオープン ポート リストを確認できます。オープン ポートの中で、脆弱性が存在するポートは対応措置が必要となるポートとして分類されます。

Criminal IP アセット検索で検知された特定 IP の オープン ポート

Criminal IP アセット検索で検知された特定 IP のオープン ポート

検知されたポートの情報は下のように最近のポート開放の詳細で運用中のサービス、製品、バージョン、ステータス、オープン ポートが検知された日時とバナー情報まで総合して提供されます。また、右側にはそのポートで発見された脆弱性情報も共に確認できます。

検知された オープン ポート と脆弱性の詳細

検知されたオープン ポートと脆弱性の詳細

オープン ポート脆弱性 でペネトレーションテスト及びサイバー攻撃対象領域を検知

Well-known port の場合、各ポートで運用しているサービスが明確な方であるため、ペネトレーションテストやサイバー攻撃のターゲットになる特定のポートが存在します。特に、上のスクリーンショットでも発見された 22番ポートは SSH(Secure Shell)を運用するポートで、サーバーに対する安全なリモート アクセスを保証する TCP ポートです。22番ポートは開いているだけで重大なセキュリティ 問題です。さらに、サービスの脆弱性まで発見された場合は総当たり攻撃が可能になり、深刻な場合はアドミンのアカウントやサーバーの乗っ取りまでつながられます。

Criminal IP Code Samples (https://www.criminalip.io/ja/developer/sample-code)ではユーザーが興味を持たれる主題に対するコマンドを紹介しています。その中で、アセット検索の asciinema 映像をご参考にすると、IP の脆弱性、オープン ポート、バナー情報、ホスト情報などを総合的に呼び出せるコマンドを確認できます。

アセット検索で使えるサンプルコード コマンドで検知された オープン ポート

アセット検索で使えるサンプルコード コマンドで検知されたオープン ポート

ポート フィルター検索及びマップ検索を通じた オープン ポート 情報の可視化

Criminal IP では IP に連結された一部の資産としてポート情報を確認できるだけではなく、Criminal IP アセット検索で独自的に “port: 22”フィルター検索を行うこともできます。さらに、Mapsへの関連検索または、port: 22 を検索すると、可視化されたポートの位置及びスコアリング(Critical、Dangerous、Moderate、Low、Safe)を含むポート情報と各部門の統計を閲覧できます。

マップでポート検索する際、閲覧できる可視化されたポート情報と統計

オープン ポート脆弱性 検知を含む全ての Criminal IP データは Criminal IP アカウント登録 (https://www.criminalip.io/ja/register) の後、検索エンジン プラットホームで直接検索または、マイ情報ページの API キーをコピーし、素早い統合ができ、大量の API Call を必要とするエンタプライズ顧客のためのカスタマイズ及びオーダーメード Call の数の提供も可能です。

オープン ポートの脆弱性検知に対する CIP ブログの詳しい分析内容が気になりましたら、Criminal IP アセット検索の Port フィルターを活用して攻撃対象領域にさらされている複合機脆弱性を検知する投稿をご参考にしてください。

より多い Criminal IP の活用ケースをご覧になる方は Criminal IP 営業チームまでお問い合わせください。


データの 提供:Criminal IP (https://www.criminalip.io/ja)

ご参考: