NTPリフレクション攻撃(エヌティーピーリフレクションコウゲキ)とは | 意味や読み方など丁寧でわかりやすい用語解説

NTPリフレクション攻撃とは、分散型サービス拒否（DDoS）攻撃の一種であり、NTP（Network Time Protocol）サーバーの特性を悪用して、特定の標的システムに対して大量のトラフィックを送りつけ、サービスを停止させる攻撃手法である。攻撃者は、インターネット上に存在する多数のNTPサーバーを「反射板」として利用し、少量の攻撃トラフィックで標的に対してはるかに大量のトラフィックを送りつける「増幅効果」を生み出す点が特徴である。

NTPは、コンピューターやネットワーク機器の時刻を同期するために広く利用されているプロトコルである。正確な時刻は、システムのログ記録、セキュリティ、分散システム間の連携において不可欠な要素であり、NTPはUDP（User Datagram Protocol）のポート番号123を使用して通信を行う。通常のNTPの動作では、NTPクライアントがNTPサーバーに時刻情報の要求を送信し、NTPサーバーはその要求に対して時刻情報を含む応答を返す。

NTPリフレクション攻撃の具体的な手口は以下の通りである。まず、攻撃者は標的のシステムが持つIPアドレスを送信元IPアドレスとして偽装したNTPリクエストパケットを作成する。この偽装されたNTPリクエストパケットを、インターネット上に公開されている多数のNTPサーバーに一斉に送信する。これらのNTPサーバーは、受信したNTPリクエストパケットの送信元IPアドレスが偽装されたものであることを認識せず、その偽装された送信元IPアドレス、すなわち標的のシステムに対してNTP応答パケットを返送する。

この攻撃の重要な点は、NTPリクエストパケットは比較的小さいサイズであるのに対し、NTPサーバーからの応答パケットは、特定のコマンドを悪用することでリクエストパケットよりも格段に大きなサイズになる場合があることである。特に、NTPサーバーの監視情報を提供するmonlistコマンド（NTPD 4.2.7p26以降では削除されている機能）を悪用すると、わずか数十バイトのリクエストパケットに対して数百バイトから数キロバイトの応答パケットが返されることがあり、数百倍から数千倍ものトラフィック増幅率を達成できる。

このようにして、攻撃者は自身の少ないリソースで、多数のNTPサーバーからの増幅された大量の応答トラフィックを標的システムに集中させることができる。標的のシステムやネットワークは、突然集中する大量のトラフィックによってネットワーク帯域幅が飽和し、正当な通信が処理できなくなる。これにより、Webサイトやオンラインサービスが応答不能になったり、完全に停止したりする状態に陥る。これがサービス拒否、あるいは分散型サービス拒否（DDoS）攻撃であり、NTPサーバーを反射板として利用しているため、「リフレクション攻撃」と呼ばれる。

この攻撃を防ぐためには、NTPサーバーを運用する管理者側と、攻撃の標的となる可能性のあるシステム管理者側の双方での対策が必要となる。NTPサーバー管理者側では、NTPサーバーの設定を見直し、インターネットからの不要なNTPサービス要求に応答しないようアクセス制限を厳格化することが重要である。特に、monlistのような悪用されやすい機能は無効にするか、最新バージョンのNTPソフトウェアに更新し、脆弱性を解消する必要がある。また、不要なNTPサーバーをインターネットに公開しないことも一つの対策となる。

一方、標的となる可能性のあるシステム管理者側では、DDoS攻撃対策サービス（例えば、CDNサービスやスクラビングサービス）の導入を検討することが有効である。これらのサービスは、攻撃トラフィックを検知・フィルタリングし、正当なトラフィックのみをシステムに転送することで、サービス停止を防ぐ役割を果たす。また、ファイアウォールやルーターで、異常な量のNTPトラフィックを検知した場合にブロックするレートリミット設定や、インテリジェントなトラフィックフィルタリングルールを適用することも有効な対策となる。さらに、インターネットサービスプロバイダ（ISP）側での送信元IPアドレスの偽装（IPスプーフィング）対策（BCP38/RFC2827/RFC3704の適用）は、攻撃者が偽装パケットを送信することを根本的に防ぐための重要な対策であり、NTPリフレクション攻撃のみならず、あらゆる種類のリフレクション攻撃に対する効果的な抑止力となる。これらの多層的な対策を講じることで、NTPリフレクション攻撃による被害を最小限に抑えることが可能となる。