Nmap コマンドは、FIN、PSH、および URG フラグが設定されたパケットを送信するクリスマス スキャン技術を使用します。これは、ファイアウォール ルールをバイパスし、開いているポートから応答を引き出す試みです。ただし、ターゲットが RST パケットで応答した場合は、ポートが閉じられていることを意味します。開いているポートはクリスマス スキャン パケットを無視するか、ACK パケットを送り返します。したがって、この情報は、ターゲット範囲内のすべてのポートが閉じられていることを示している可能性が高くなります。参考文献: [Nmap スキャン タイプ]、[Nmap ポート スキャン技術]、[CompTIA PenTest+ スタディ ガイド: 試験 PT0-002、第 4 章: 受動的偵察の実施、127 ページ]

https://nmap.org/book/scan-methods-ack-scan.html

最終レポートのコメントは、最高経営責任者 (CEO)、最高財務責任者 (CFO)、最高情報責任者 (CIO) など、組織の上級レベルのマネージャーまたはリーダーである経営幹部を対象としています。 。経営幹部は通常、特定の脆弱性やリスクの影響を受けるシステムの割合、侵害の潜在的な影響やコスト、推奨されるアクションや優先順位など、侵入テスト結果の高レベルの概要や概要に関心を持っています。修復。経営幹部は、特定の脆弱性、エクスプロイト、ツール、テクニックなど、侵入テストに関する詳細または技術情報を理解するための技術的な背景や専門知識を持っていない可能性があります。最終レポートのコメントは、経営幹部にとって関連性があり、理解できる侵入テスト結果の概要を提供します。他の視聴者はこのコメントに興味を持たないと思われます。システム管理者は、システムとネットワークのインストール、構成、保守、セキュリティ保護を担当する技術スタッフです。彼らは、特定の脆弱性、エクスプロイト、ツール、テクニックなど、ペネトレーション テストに関する詳細情報や技術情報に興味を持つでしょう。データ プライバシー オンブズマンは、データ プライバシーの問題や苦情に関して、個人と組織の間の独立した調停者として機能する人物です。彼らは、侵入テストが GDPR や CCPA などのデータ プライバシー法や規制にどのように準拠しているかについての情報に興味を持つでしょう。規制当局は、金融、医療、エネルギーなどの特定の業界または分野に関連する法律や規制の遵守を強制する当局です。彼らは、侵入テストが PCI-DSS、HIPAA、NERC-CIP などの業界固有の標準やフレームワークにどのように準拠しているかに関する情報に興味があるでしょう。