sg sg-security-overview threat_vulnerability sg-security-measures network
まず結論
- UDPを悪用した増幅攻撃とは、送信元IPアドレスを攻撃対象に偽装し、第三者サーバから大きな応答を攻撃対象へ送らせるDDoS攻撃です。
- SG試験では、攻撃名を暗記するよりも、UDPの特徴、反射と増幅の仕組み、DNSやNTPが踏み台にされる理由を判断できるかが重要です。
ポイントは、攻撃者が自分だけで大量通信を送るのではなく、外部のサーバを利用して通信量を増やすことです。
つまり、DNSサーバやNTPサーバが、攻撃対象に大量の応答を送る踏み台として悪用されます。
SG試験では「UDPを使っているから危険」と単純に考えるのではなく、送信元偽装がしやすく、小さな要求に対して大きな応答が返るサービスが悪用されやすいと整理すると選択肢を切りやすくなります。
直感的な説明
UDPを悪用した増幅攻撃は、たとえるなら「差出人を他人の住所にした問い合わせはがき」を大量に送るような攻撃です。
攻撃者は、差出人を攻撃対象の住所に偽って、いろいろなサーバへ問い合わせを送ります。
サーバは、問い合わせが来たと思って、偽装された差出人、つまり攻撃対象へ返事を送ります。
このとき、問い合わせよりも返事のほうが大きいと、攻撃対象にはより大きな通信が集中します。
これが「増幅」です。
たとえば、次のようなイメージです。
- 攻撃者が小さな問い合わせを送る
- DNSサーバやNTPサーバが大きな応答を返す
- 応答は攻撃対象に届く
- 攻撃対象の回線やサーバが圧迫される
ここで大切なのは、DNSやNTPそのものが悪いわけではないことです。
問題なのは、外部から誰でも使える状態や、不要な機能が有効な状態が放置され、攻撃者に利用されてしまうことです。
定義・仕組み
UDPを悪用した増幅攻撃は、反射型DDoS攻撃の一種です。
仕組みは、大きく分けると「反射」と「増幅」の2つで考えると分かりやすいです。
反射
反射とは、第三者のサーバに応答を返させ、その応答を攻撃対象へ向けることです。
攻撃者は、送信元IPアドレスを攻撃対象に偽装します。
その結果、問い合わせを受けたサーバは、攻撃者ではなく攻撃対象へ応答を返します。
増幅
増幅とは、小さな要求に対して大きな応答が返ることで、攻撃対象に届く通信量が大きくなることです。
DNSやNTPの一部の問い合わせは、条件によっては、要求よりも大きな応答を返します。
この性質が悪用されると、攻撃者が送った通信量以上の通信が攻撃対象に届きます。
代表例は次の2つです。
| 悪用されるサービス | 攻撃の例 | 見るべきポイント |
|---|---|---|
| DNS | DNSアンプ攻撃 | オープンリゾルバや大きなDNS応答が悪用される |
| NTP | NTPリフレクション攻撃 | 古いntpdのmonlist機能などが悪用される |
JPCERT/CCは、ntpdのmonlist機能を使ったDDoS攻撃について注意喚起を行っています。また、JVNでも、NTPDがDDoS攻撃の踏み台として使用される問題について、monlist機能の無効化やアクセス制限、最新版への更新を対策として示しています。詳しくはJPCERT/CCの注意喚起やJVNの脆弱性情報を確認できます。
SG試験では、細かいパケットの中身よりも、送信元偽装、第三者サーバ、応答の増幅、DDoSの流れを押さえることが大切です。
どんな場面で使う?
UDPを悪用した増幅攻撃は、DDoS攻撃の手口やネットワーク対策を理解する場面で出てきます。
特に、次のような場面で問われます。
- 公開サーバが攻撃の踏み台になっていないか確認する
- DNSサーバがオープンリゾルバになっていないか確認する
- NTPサーバの不要な機能が有効になっていないか確認する
- 外部からの不要な問い合わせを制限する
- サーバやネットワーク機器を修正済みバージョンへ更新する
実務では、DNSやNTPは止めればよいものではありません。
DNSは名前解決に必要で、NTPは時刻同期に必要です。
そのため、対策の考え方は、必要な機能は維持しながら、外部から悪用される範囲を小さくすることです。
具体的には、次のような対応が考えられます。
- オープンリゾルバにならないようにDNSの再帰問い合わせを制限する
- NTPのmonlist機能を無効化する
- NTPサーバを修正済みバージョンへ更新する
- 外部からの不要なUDP通信をファイアウォールで制限する
- 送信元IPアドレスを偽装した通信が外へ出ないようにする
SG試験では、選択肢に「UDPをすべて禁止する」と書かれていたら注意です。
UDPを全面的に止めると、DNSやNTPなど必要な通信まで影響を受ける可能性があります。
正しい対策は、悪用される公開範囲や不要機能を制限することです。
よくある誤解・混同
UDPを悪用した増幅攻撃では、次の混同に注意します。
UDPを使うサービスはすべて危険だと考える
UDPは、DNSやNTPなど多くの基本的な通信で使われます。
危険なのはUDPそのものではなく、送信元偽装を前提に、第三者サーバが大きな応答を返してしまう状態です。
DNSアンプ攻撃とNTPリフレクション攻撃を別物として暗記する
どちらも、反射と増幅を使ったDDoS攻撃です。
違いは、悪用されるサービスがDNSかNTPかです。
- DNSアンプ攻撃:DNSサーバの応答を悪用する
- NTPリフレクション攻撃:NTPサーバの応答を悪用する
共通点は、送信元IPアドレスを偽装し、第三者サーバの応答を攻撃対象へ集めることです。
サーバが攻撃者だと考える
踏み台にされたDNSサーバやNTPサーバは、攻撃者ではありません。
攻撃者に利用され、結果として攻撃対象へ応答を送らされている状態です。
SG試験では、攻撃者、踏み台、攻撃対象の3者を分けて考えると分かりやすいです。
ファイアウォールでUDPを全部止めればよいと考える
UDPをすべて拒否すると、必要なDNSやNTPまで止まる可能性があります。
試験では、全部止める選択肢よりも、不要な公開、不要な機能、不要なアクセス元を制限する対策を選ぶことが多いです。
NTPの問題なのにDNSの対策を選ぶ
NTPリフレクション攻撃が問われているなら、NTPサーバの設定やmonlist機能が対策の中心です。
DNSアンプ攻撃が問われているなら、DNSの再帰問い合わせやオープンリゾルバ対策が中心です。
選択肢では、どのサービスが悪用されているかを確認してから判断します。
まとめ(試験直前用)
- UDPを悪用した増幅攻撃は、送信元IPアドレスを偽装し、第三者サーバの大きな応答を攻撃対象へ集めるDDoS攻撃。
- 「反射」は第三者サーバに応答させること、「増幅」は小さな要求に対して大きな応答が返ること。
- DNSアンプ攻撃はDNS、NTPリフレクション攻撃はNTPを悪用する。
- 対策は、DNSの再帰問い合わせ制限、NTPのmonlist無効化、不要な外部アクセス制限、修正済みバージョンへの更新。
- SG試験では「UDPを全部止める」ではなく、悪用されるサービス・公開範囲・不要機能に効く対策かで判断する。
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【SG試験】
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- AESとは?鍵長とラウンド数も押さえる共通鍵暗号【SG試験】
- アンチパスバックとは?不正な入退室を防ぐ仕組み【SG試験】