公開:

135番ポートとは?意味をわかりやすく簡単に解説

text: XEXEQ編集部


135番ポートとは

135番ポートはWindowsネットワークサービスのリモート手続き呼び出し(RPC)に使用されるポート番号です。RPCは分散コンピューティングにおいてプロセス間通信を実現するためのプロトコルの一つになります。

RPCを利用することで、クライアントプログラムはサーバー上の関数を呼び出すことができます。つまり、135番ポートはRPCサービスを提供するサーバーとクライアント間の通信に利用されるのです。

WindowsではRPCはさまざまなサービスで使用されています。例えば、Windowsの印刷スプーラーサービス、DCOMなどがRPCを利用して機能しています。

RPCは名前付きパイプやTCP/IPなどの様々な通信プロトコル上で動作します。そのうち、TCP/IPネットワーク上でRPCを利用する際に使用されるのが135番ポートになります。

135番ポートはWindowsネットワークにおいて非常に重要な役割を果たしています。しかし、適切に保護されていない場合、セキュリティ上のリスクにもなり得ます。

135番ポートが使用されるWindowsサービス

「135番ポートが使用されるWindowsサービス」に関して、以下3つを簡単に解説していきます。

  • Windowsの印刷スプーラーサービスにおける135番ポートの役割
  • 分散コンポーネントオブジェクトモデル(DCOM)と135番ポートの関係
  • その他の135番ポートを利用するWindowsサービスの例

Windowsの印刷スプーラーサービスにおける135番ポートの役割

Windowsの印刷スプーラーサービスは印刷ジョブの管理や印刷キューの制御を行うサービスです。このサービスはRPCを利用してクライアントとサーバー間の通信を行います。

クライアントが印刷ジョブをサーバーに送信する際、135番ポートを介してRPC経由で印刷スプーラーサービスに接続します。そして、印刷スプーラーサービスは印刷ジョブを受け取り、適切なプリンタードライバーに渡すのです。

このように、Windowsの印刷スプーラーサービスにおいて、135番ポートはクライアントとサーバー間の通信を実現する上で重要な役割を果たしています。適切に保護されていない場合、悪意のあるユーザーが印刷スプーラーサービスに不正にアクセスする可能性があります。

分散コンポーネントオブジェクトモデル(DCOM)と135番ポートの関係

分散コンポーネントオブジェクトモデル(DCOM)はWindowsにおけるコンポーネント技術の一つです。DCOMはネットワーク上の異なるコンピューター間でオブジェクトを共有し、相互に通信を行うことを可能にします。

DCOMはRPCを利用してクライアントとサーバー間の通信を行います。そのため、DCOMを利用するサービスやアプリケーションは135番ポートを介してRPC経由で通信を行うことになります。

例えば、Windowsのコンポーネントサービス(COM+)やMicrosoft Management Console(MMC)などがDCOMを利用しています。これらのサービスやアプリケーションが正常に機能するためには135番ポートが適切に開放され、保護されている必要があります。

その他の135番ポートを利用するWindowsサービスの例

Windowsには印刷スプーラーサービスやDCOM以外にも、135番ポートを利用するサービスが存在します。例えば、Windowsの遠隔レジストリサービスや、Windows Management Instrumentation(WMI)などが挙げられます。

遠隔レジストリサービスはネットワーク上の他のコンピューターのレジストリにアクセスし、設定を変更することを可能にするサービスです。一方、WMIはWindowsのシステム管理を行うための基盤技術の一つになります。

これらのサービスも、RPCを利用してクライアントとサーバー間の通信を行います。そのため、135番ポートが適切に開放され、保護されている必要があります。管理者はこれらのサービスの必要性を十分に検討し、不要な場合は無効化するなどの対策を講じる必要があります。

135番ポートに関するセキュリティリスクと対策

「135番ポートに関するセキュリティリスクと対策」に関して、以下3つを簡単に解説していきます。

  • 135番ポートを狙った攻撃の種類とその危険性
  • 135番ポートのセキュリティを強化するための設定方法
  • 135番ポートに関連する脆弱性への対策とパッチ管理の重要性

135番ポートを狙った攻撃の種類とその危険性

135番ポートはWindowsネットワークにおいて重要な役割を果たしているため、サイバー攻撃者の標的になりやすいポートの一つです。攻撃者は135番ポートの脆弱性を突いて、不正なRPCリクエストを送信することで、システムに侵入を試みます。

代表的な攻撃としてはバッファオーバーフロー攻撃やDoS攻撃などが挙げられます。バッファオーバーフロー攻撃はRPCリクエストに大量のデータを送信することで、サービスをクラッシュさせたり、不正なコードを実行したりすることを目的とした攻撃です。

また、135番ポートを介して行われるDoS攻撃は大量のRPCリクエストを送信することで、サービスの応答を遅延させたり、停止させたりすることを目的とした攻撃になります。これらの攻撃により、システムの可用性が損なわれ、業務に支障をきたす可能性があります。

135番ポートのセキュリティを強化するための設定方法

135番ポートのセキュリティを強化するためにはまず、ファイアウォールでポートを適切に制御する必要があります。具体的には信頼できるIPアドレスやネットワークからのアクセスのみを許可し、不要なアクセスは遮断するように設定します。

また、Windowsの組み込みファイアウォールであるWindows Defenderファイアウォールを使用している場合、135番ポートへのアクセスを制限するルールを作成することができます。これにより、許可されたアプリケーションやサービスのみが135番ポートを使用できるようになります。

さらに、RPCサービスに関連する設定を見直すことも重要です。例えば、RPCエンドポイントマッパーサービスを無効化したり、RPCサービスのアクセス許可を最小限に設定したりすることで、セキュリティリスクを低減することができます。

135番ポートに関連する脆弱性への対策とパッチ管理の重要性

135番ポートに関連する脆弱性は定期的に発見され、修正プログラム(パッチ)がリリースされています。これらの脆弱性を放置していると、攻撃者に悪用される可能性が高くなります。

そのため、Windowsの更新プログラムを定期的に適用し、最新の状態に保つことが重要です。特に、セキュリティ更新プログラムは優先的に適用する必要があります。

また、組織内のパッチ管理プロセスを確立し、すべてのシステムに対して確実にパッチを適用することも重要です。これにより、135番ポートに関連する脆弱性を含め、既知の脆弱性を攻撃者に悪用される前に修正することができます。

135番ポートの監視とログ分析の重要性

「135番ポートの監視とログ分析の重要性」に関して、以下3つを簡単に解説していきます。

  • 135番ポートへのアクセスを監視する方法と目的
  • 135番ポートに関連するログの種類と収集方法
  • ログ分析による異常検知とインシデント対応の重要性

135番ポートへのアクセスを監視する方法と目的

135番ポートへの不正なアクセスを検知するためにはポートへのトラフィックを監視する必要があります。これはファイアウォールやIDSなどのセキュリティ機器を使用して実現することができます。

これらの機器は135番ポートへの接続を検知し、接続元IPアドレス、接続先IPアドレス、接続時刻などの情報をログに記録します。これらのログを分析することで、不審な接続パターンや異常なトラフィック量を検知し、攻撃の兆候を早期に発見することができます。

また、Windowsのイベントログにも、135番ポートに関連するイベントが記録されます。例えば、RPCサービスの開始や停止、RPC関連のエラーなどが記録されます。これらのイベントを監視することで、RPCサービスの異常動作を検知することができます。

135番ポートに関連するログの種類と収集方法

135番ポートに関連するログは主にファイアウォールログ、IDSログ、Windowsイベントログの3種類があります。ファイアウォールログとIDSログはセキュリティ機器が生成するログで、通常はsyslogなどの形式で出力されます。

一方、WindowsイベントログはWindowsのイベントビューアーで確認することができます。特に、「Application」「Security」「System」の3つのログにRPC関連のイベントが記録されることが多いです。

これらのログを一元的に収集し、分析するためにはSIEMなどのログ管理ツールを使用することが効果的です。SIEMは様々な機器やシステムから生成されるログを収集し、相関分析を行うことで、異常な動作を検知することができます。

ログ分析による異常検知とインシデント対応の重要性

収集したログを分析することで、135番ポートへの不正アクセスや、RPCサービスの異常動作を検知することができます。例えば、短時間に大量の接続が発生している場合や、特定のIPアドレスから継続的にアクセスが行われている場合は攻撃の兆候である可能性があります。

異常を検知した場合は速やかにインシデント対応を行う必要があります。具体的には該当するシステムやネットワークを分離し、被害の拡大を防ぐとともに、攻撃の原因を特定し、適切な対策を講じることが重要です。

また、検知したインシデントは詳細に分析し、再発防止策を検討することも重要です。例えば、特定の脆弱性が悪用されていた場合はパッチの適用や設定変更などの対策を講じる必要があります。

参考サイト

  1. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「コンピュータ」に関するコラム一覧「コンピュータ」に関するニュース一覧
ブログに戻る

コメントを残す

コメントは公開前に承認される必要があることにご注意ください。