NTPリフレクション攻撃は、NTPサーバの応答を悪用して攻撃対象に大量通信を送るDDoS攻撃です。SG試験で迷いやすい踏み台化の仕組みと対策を整理します。

sg sg-security-overview threat_vulnerability sg-security-measures network

まず結論

  • NTPリフレクション攻撃とは、送信元IPアドレスを攻撃対象に偽装し、NTPサーバの応答を攻撃対象へ送らせるDDoS攻撃です。
  • SG試験では、攻撃の細かい通信仕様よりも、NTPサーバが踏み台にされる理由と、踏み台化を防ぐ対策を判断できるかが重要です。

ポイントは、攻撃者が直接大量の通信を送るだけではないことです。

攻撃者は、公開NTPサーバを利用して、攻撃対象へ大量の応答を送らせます。

つまり、NTPサーバは被害者ではなく、攻撃に利用される踏み台として登場します。

直感的な説明

NTPリフレクション攻撃は、たとえるなら「差出人を他人の住所にした問い合わせはがき」を大量に送るようなものです。

攻撃者が、差出人を攻撃対象に偽って、いろいろなNTPサーバへ問い合わせを送ります。

すると、NTPサーバは「問い合わせてきた相手に返事をしよう」として、攻撃対象へ応答を返します。

攻撃対象から見ると、自分が問い合わせていないのに、たくさんのNTPサーバから大量の返事が届く状態になります。

その結果、通信回線やサーバの処理能力が圧迫され、サービスが利用しにくくなります。

ここで大切なのは、NTPサーバが悪意をもって攻撃しているわけではないことです。

攻撃者にだまされて、攻撃対象へ返事を送らされていると考えると分かりやすいです。

定義・仕組み

NTPリフレクション攻撃は、反射型DDoS攻撃の一種です。

反射型とは、攻撃者が第三者のサーバに問い合わせを送り、その応答を攻撃対象へ向かわせる攻撃です。

NTPリフレクション攻撃の基本的な流れは次のとおりです。

  1. 攻撃者が送信元IPアドレスを攻撃対象のIPアドレスに偽装する
  2. 公開NTPサーバへNTPの問い合わせを送る
  3. NTPサーバは、偽装された送信元へ応答を返す
  4. 攻撃対象に多数の応答が集中する
  5. 通信量が増え、サービス停止や遅延につながる

特に古いntpdでは、NTPサーバの状態確認に使われるmonlist機能が悪用されることがありました。

monlistは、NTPサーバが最近やり取りしたクライアント情報などを返す管理用の機能です。

小さな問い合わせに対して大きな応答が返るため、攻撃の通信量を増幅しやすい点が問題になります。

JPCERT/CCは、ntpdのmonlist機能を使ったDDoS攻撃について注意喚起を行い、修正済みバージョンの適用や、monlist機能の無効化を対策として示しています。詳しくはJPCERT/CCの注意喚起を確認できます。

また、JVNでも、NTPDがDDoS攻撃の踏み台として使用される問題について、monlist機能の無効化、アクセス制限、最新版への更新などを対策として示しています。

SG試験では、ここを深く暗記するよりも、小さい要求が大きい応答になり、第三者サーバを経由して攻撃対象に届くという流れを押さえることが大切です。

どんな場面で使う?

NTPリフレクション攻撃は、DDoS攻撃の手口を理解する場面で出てきます。

特に、次のような判断が問われやすいです。

  • 公開NTPサーバが攻撃の踏み台になっていないか
  • 不要なNTP機能が有効になっていないか
  • 外部から誰でもNTPサーバを利用できる状態になっていないか
  • ファイアウォールやルータで不要な通信を制限しているか
  • NTPサーバやネットワーク機器が古いまま放置されていないか

実務では、NTPはログ管理やインシデント調査にも関係する重要な仕組みです。

そのため、NTPを単純に止めればよい、という考え方は危険です。

必要な時刻同期は維持しながら、攻撃に悪用される公開範囲や不要機能を減らすことが重要です。

対策としては、次のようなものが考えられます。

  • ntpdを修正済みバージョンへ更新する
  • monlist機能を無効化する
  • monlist機能へのアクセスを制限する
  • 外部からの不要なNTP要求を拒否する
  • 公開する必要のないNTPサーバを外部公開しない
  • ルータやファイアウォールでアクセス元を制限する

SG試験では、選択肢に「NTP以外のUDPサービスを拒否する」と書かれていたら注意です。

NTPリフレクション攻撃の対策として問われているなら、対象はNTPサーバです。

NTP以外を止めても、NTPサーバが大きな応答を返す状態なら、踏み台化のリスクは残ります。

よくある誤解・混同

NTPリフレクション攻撃では、次のような混同に注意します。

NTPサーバが攻撃対象だと考える

NTPサーバも悪用される側ではありますが、問題文では攻撃対象に大量通信を送る踏み台として扱われることが多いです。

攻撃対象は、NTPサーバから応答を受け取る側です。

NTPを使うこと自体が危険だと考える

NTPは時刻同期に必要な仕組みです。

危険なのは、NTPそのものではなく、不要に公開されたNTPサーバや、古い機能が有効なままの状態です。

時刻問い合わせを全部禁止すればよいと考える

時刻同期を止めると、ログの時刻、認証、証明書の有効期限確認などに影響することがあります。

試験では、時刻同期の禁止ではなく、踏み台として悪用される通信や機能を制限する対策を選びます。

DNSアンプ攻撃と完全に別物だと考える

DNSアンプ攻撃も、NTPリフレクション攻撃と同じく、反射・増幅を使ったDDoS攻撃です。

違いは、悪用されるサービスがDNSかNTPかです。

共通点は、送信元を偽装し、第三者サーバの応答を攻撃対象へ集めることです。

ファイアウォールで何でも拒否すれば正解だと考える

ファイアウォールの設定変更が正解になる場合もあります。

ただし、選択肢の内容が「NTP以外を拒否する」「ブロードキャスト宛を拒否する」など、NTPリフレクション攻撃の原因に直接対応していない場合は不適切です。

SG試験では、攻撃の原因に効く対策かを見て判断します。

まとめ(試験直前用)

  • NTPリフレクション攻撃は、NTPサーバを踏み台にして攻撃対象へ応答を集めるDDoS攻撃。
  • 攻撃者は送信元IPアドレスを攻撃対象に偽装する。
  • 古いntpdのmonlist機能は、大きな応答を返すため悪用されやすい。
  • 対策は、修正済みバージョンへの更新、monlist機能の無効化、外部からの不要なNTPアクセス制限。
  • SG試験では「NTPを止める」ではなく、踏み台化を防ぐ対策かどうかで選択肢を切る。

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る