NTPはネットワーク上で機器の時刻を同期するためのプロトコルです。SG試験で問われやすい時刻同期の役割と、NTPリフレクション攻撃への対策を整理します。

sg sg-technology network threat_vulnerability sg-security-measures

まず結論

  • NTP(Network Time Protocol)とは、ネットワーク上の機器の時刻を同期するためのプロトコルです。
  • SG試験では、NTPそのものの細かい通信仕様よりも、時刻同期の役割と、NTPサーバがDDoS攻撃の踏み台にされるリスクへの対策を判断できるかが問われます。

特に、選択肢では「NTPを止める」「時刻同期を禁止する」「NTP以外のUDPサービスを拒否する」など、似ているようで目的がずれた対策が出ることがあります。

NTPの問題では、守りたいものは時刻同期そのものではなく、NTPサーバを踏み台にされないようにすることだと押さえるのが大切です。

直感的な説明

NTPは、社内のパソコンやサーバの時計をそろえるための仕組みです。

たとえば、複数のサーバでログを確認するとき、時刻がずれていると「どの通信が先に起きたのか」が分かりにくくなります。

そのため、NTPは情報セキュリティの運用でも重要です。

  • ログの時刻をそろえる
  • 障害発生時刻を確認しやすくする
  • インシデント調査で証跡を追いやすくする
  • 認証や証明書の有効期限確認に影響する

一方で、外部から誰でも使える状態のNTPサーバや、古いNTPサーバの一部機能は、攻撃者に悪用されることがあります。

イメージとしては、時刻を教える親切なサーバが、攻撃者に利用されて大量の返事を別の相手へ送ってしまうような状態です。

定義・仕組み

NTPは、ネットワークを通じてコンピュータやサーバの時刻を合わせるためのプロトコルです。

一般的には、NTPクライアントがNTPサーバに時刻を問い合わせ、受け取った時刻情報をもとに自分の時計を補正します。

NTPは通常、UDPの123番ポートを使用します。UDPは通信のやり取りが軽い反面、送信元を偽装した攻撃に悪用されることがあります。

NTPを使った代表的な攻撃として、NTPリフレクション攻撃があります。

基本的な流れは次のとおりです。

  1. 攻撃者が送信元IPアドレスを攻撃対象に偽装する
  2. 公開NTPサーバに問い合わせを送る
  3. NTPサーバが、偽装された攻撃対象へ応答を返す
  4. 多数のNTPサーバから応答が集まり、攻撃対象の通信量が増える

古いntpdでは、NTPサーバの状態確認に使われるmonlist機能が悪用され、大きな応答を返してしまうことが問題になりました。

JPCERT/CCも、ntpdのmonlist機能を使ったDDoS攻撃について注意喚起を行っており、対策として修正済みバージョンの適用や、monlist機能の無効化が示されています。詳しくはJPCERT/CCの注意喚起を確認できます。

ここで大切なのは、NTP自体が悪いのではなく、不要な公開状態や古い機能が踏み台化の原因になるという点です。

どんな場面で使う?

NTPは、システム運用やセキュリティ運用で広く使われます。

たとえば、次のような場面です。

  • サーバやPCの時刻をそろえる
  • ログの時系列を正しく確認する
  • 障害調査やインシデント対応で時刻を突き合わせる
  • 認証基盤や証明書の有効期限を正しく扱う

SG試験では、NTPの利用場面よりも、公開NTPサーバが踏み台にされないための対策として問われることがあります。

判断基準は次のように考えると分かりやすいです。

  • 社内機器が時刻同期できることは必要
  • しかし、外部から誰でもNTPサーバを利用できる状態は危険
  • 古いNTPサーバの不要な機能は無効化する
  • 公開が不要なら、外部からのNTP要求を制限する

そのため、NTPリフレクション攻撃への対策では、NTPサーバのmonlist機能を無効化する修正済みバージョンへ更新する外部からの不要なNTPアクセスを制限するといった対応が適切です。

選択肢では「自ネットワーク外のNTPサーバへ時刻問い合わせできないようにする」といった表現に注意が必要です。

これは、社内機器の時刻同期そのものを妨げる可能性があります。問題が問うているのは、時刻同期の禁止ではなく、NTPサーバが攻撃の踏み台になることを防ぐ対策です。

よくある誤解・混同

NTPでは、次のような混同がよくあります。

NTPを使うこと自体が危険だと考える

NTPは、時刻同期に必要な仕組みです。

危険なのは、NTPそのものではなく、不要に公開されたNTPサーバや、古い実装の危険な機能が放置されている状態です。

外部NTPサーバへの問い合わせを止めればよいと考える

これは、社内機器が正しい時刻を取得できなくなる可能性があります。

NTPリフレクション攻撃の対策で重要なのは、攻撃者からの問い合わせに対して、自組織のNTPサーバが大きな応答を返さないようにすることです。

ブロードキャスト宛のパケットを拒否すれば十分と考える

ブロードキャスト宛パケットの拒否は、NTPサーバへの通常の問い合わせ対策とは論点がずれます。

踏み台化を防ぐには、NTPサーバの公開範囲、不要機能、アクセス制御を確認する必要があります。

NTP以外のUDPサービスを拒否すればよいと考える

NTPを悪用した攻撃で問われているなら、対策対象はNTPです。

選択肢で「NTP以外」と書かれていたら注意です。NTP以外を止めても、NTPサーバが応答を返す状態なら踏み台リスクは残ります。

SG試験では、何を防ぎたいのかを見て選択肢を切ることが大切です。

  • 時刻同期を止める話なのか
  • NTPサーバの踏み台化を防ぐ話なのか
  • UDP全般の話なのか
  • NTP以外のサービスの話なのか

この切り分けができると、ひっかけ選択肢を外しやすくなります。

まとめ(試験直前用)

  • NTPは、ネットワーク上の機器の時刻を同期するためのプロトコル。
  • セキュリティ運用では、ログやインシデント調査の時刻をそろえるために重要。
  • NTPリフレクション攻撃では、公開NTPサーバがDDoS攻撃の踏み台にされることがある。
  • 対策は、修正済みバージョンへの更新、monlist機能の無効化、不要な外部アクセスの制限。
  • SG試験では「時刻同期を止める」のではなく、踏み台化を防ぐ対策かどうかで判断する。

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る