目次
問題文
リフレクタ攻撃に悪用されることの多いサービスの例はどれか。
ア DKIM,DNSSEC,SPF
イ DNS,Memcached,NTP
ウ FTP,L2TP,Telnet
エ IPsec,SSL,TLS
解説
解答
イ
ア:DKIM,DNSSEC,SPF
これらはいずれもメールのなりすまし対策のための技術です。
- DKIM:電子署名を使って送信ドメインを認証
- DNSSEC:DNS応答をデジタル署名で保護
- SPF:送信メールサーバの正当性を検証
いずれもリフレクタ攻撃に利用されるサービスではありません。
イ:DNS,Memcached,NTP
これが正解です。
これらのサービスは、攻撃者が送信元IPアドレスを被害者に偽装して問い合わせを送ると、応答が被害者に反射される仕組みを悪用されやすい代表例です。
- DNS:小さい問い合わせに対して大きな応答が返ることがあり、増幅効果が高い
- Memcached:キャッシュ応答が非常に大きく、2018年に大規模DDoS攻撃に悪用された例が有名
- NTP:monlist コマンドを利用すると、大量の応答データが返るため、攻撃に悪用されやすい
ウ:FTP,L2TP,Telnet
これらは古い通信プロトコルですが、リフレクタ攻撃に使われることはほとんどありません。
攻撃の仕組みに「反射(問い合わせに対する応答)」が利用しにくいためです。
エ:IPsec,SSL,TLS
これらは暗号化通信のためのプロトコルです。
セキュアな通信路を確立するための仕組みであり、リフレクタ攻撃に使われることは基本的にありません。
リフレクタ攻撃に悪用されやすい代表的なサービスと、その「増幅率(Amplification Factor)」
| サービス | 悪用される機能 | 増幅率の目安 | 解説 |
|---|---|---|---|
| DNS | 大きな応答データ(例:ANYクエリ) | 約28〜54倍 | 小さい問い合わせに対して大きな応答が返るため、古くから典型的なリフレクタ攻撃の対象。 |
| NTP | monlist コマンド | 約556倍 | 過去に接続したクライアント一覧を返すため、大量の応答が発生。現在は多くのNTPで無効化されているが、過去に大規模攻撃に利用された。 |
| Memcached | キャッシュ応答 | 最大51,000倍 | 非常に大きなデータを返すことが可能で、2018年に世界的な大規模DDoS攻撃に悪用された。極めて危険。 |
| SSDP (UPnP) | M-SEARCH リクエスト | 約30〜46倍 | 家庭用ルータやIoT機器で利用されるUPnPの脆弱性を突く。家庭用ネットワークが狙われやすい。 |
| SNMP | GETBULK 要求 | 約6倍程度 | ネットワーク機器管理プロトコル。過去には攻撃に使われた例がある。 |
| Chargen | 文字列応答サービス | 約358倍 | レガシーなデバッグ用サービス。現在はほとんど使われないが、設定ミスで稼働している場合に攻撃に利用される。 |
「増幅率」は、リクエストサイズに対するレスポンスサイズの比率を表します。値が大きいほど、少ない攻撃トラフィックで大規模なDDoSが可能になります。
