DNSリフレクター攻撃は、送信元IPを偽装してDNSサーバから大量の応答を標的に送りつけるDoS攻撃です。仕組みと増幅の考え方、SG試験でのひっかけポイントを整理します。

sg threat_vulnerability unauthorized_access network sg-security-overview

まず結論

DNSリフレクター攻撃とは、送信元IPアドレスを偽装してDNSサーバにリクエストを送り、その応答を標的に集中させることで通信を圧迫する攻撃(DoS/DDoS)です。
SG試験では「なりすまし+応答を利用した増幅攻撃」と理解できているかが問われます。

直感的な説明

「他人の住所を書いた注文を大量に出して、商品を全部その人に送りつける」イメージです。

  • 攻撃者:DNSサーバに大量の問い合わせを送る
  • ただし送信元は「標的のIP」に偽装
  • DNSサーバ:問い合わせに対して応答を返す
  • 結果:標的に大量の応答が押し寄せる

攻撃者は直接攻撃せず、サーバを“踏み台”にするのがポイントです。

定義・仕組み

DNSリフレクター攻撃は、次の2つの特徴で成り立ちます。

① IPアドレスの偽装(IPスプーフィング)

  • 攻撃者は送信元IPを「標的」に偽装
  • DNSサーバはそれを本物と信じて応答を返す

② 応答の増幅(Amplification)

  • 小さなリクエスト → 大きなレスポンスになる
  • そのため、攻撃トラフィックが何倍にも増える

この結果、

  • 攻撃者の負荷は小さい
  • 標的には非常に大きな負荷がかかる

という非対称な攻撃になります。

SG試験では「増幅型DDoS攻撃の代表例」として理解しておくと整理しやすいです。

どんな場面で使う?

使われる場面

  • Webサービスや企業サイトへのDDoS攻撃
  • サービス停止を狙う妨害行為
  • ボットネットと組み合わせた大規模攻撃

業務での重要ポイント

  • 外部公開DNSサーバが踏み台にされる可能性がある
  • 自社が「加害側」にもなり得る

そのため、

  • 不要なDNS応答の制限
  • オープンリゾルバの無効化 などの対策が重要になります。

よくある誤解・混同

❌ DNSサーバ自体が攻撃対象

→ ⭕ DNSサーバは「踏み台(リフレクター)」として使われる

❌ 攻撃者が直接大量通信を送る

→ ⭕ サーバの応答を利用して間接的に攻撃する

❌ 単なるDoS攻撃の一種

→ ⭕ なりすまし+増幅が特徴のDDoS攻撃

SG試験のひっかけ

  • 「送信元IPを偽装しているか?」が重要
  • 「応答を利用しているか?」が判断ポイント

👉 この2つがなければ、DNSリフレクター攻撃ではないと切れます。

確認問題(SG試験対策)

次のうち、DNSリフレクタ攻撃の説明として最も適切なものはどれか。

A. 送信元を攻撃対象に偽装し、DNSサーバからの応答を対象へ集中させる攻撃である。 B. DNSサーバのキャッシュに偽の名前解決情報を保存させる攻撃である。 C. DNSでドメイン名からIPアドレスを正しく調べる通常処理である。 D. DNSの設定情報を暗号化して保存するバックアップ方式である。

▶ クリックして答えと解説を見る(ここを開く)

正解:A

解説

  • A:反射と増幅により、攻撃対象へ大量の応答を向けます。
  • B:DNSキャッシュポイズニングの説明です。
  • C:通常の名前解決です。
  • D:DNSリフレクタ攻撃ではありません。

👉 判断ポイント DNSリフレクタ攻撃は「送信元偽装」と「応答の反射・増幅」で判断する。

まとめ(試験直前用)

  • DNSリフレクター攻撃=偽装したIPにDNS応答を送りつける攻撃
  • ポイントは「IPスプーフィング+増幅
  • DNSサーバは攻撃対象ではなく踏み台
  • 「直接攻撃か/間接攻撃か」で切り分ける
  • 選択肢では「応答を利用しているか」に注目

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る