0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@teppei19980914(哲平 須山)

NTPリフレクション攻撃とNTPの深掘り解説

Posted at

NTPリフレクション攻撃とNTPの深掘り解説

はじめに

2025年10月のプロジェクトマネージャ試験受験を終え、2026年春の情報処理安全確保支援士に向けて勉強中です。
本記事を含めた各知識のインデックスや学習の道のりについては、「情報処理安全確保支援士への道のり(随時更新中)」をご参照ください。
本記事は学習した内容を記載しています。

該当問題

情報セキュリティスペシャリスト平成28年秋期 午前Ⅱ 問2

1. NTP(Network Time Protocol)とは

NTP(RFC 5905)は、ネットワーク上の端末が正確な時刻に同期するためのプロトコルであり、UDP 123番ポートを使用します。
正確な時刻は、ログ管理/電子署名/証明書の有効期限管理/セキュリティ検知など、多くのシステムの基盤となります。

NTPの階層構造(Stratum)

  • Stratum 0:原子時計/GPSなど基準時計
  • Stratum 1:Stratum 0 に直接接続されたサーバ
  • Stratum 2:Stratum 1 と同期するサーバ
  • 以下同様に階層化される

NTPの主なメッセージ構造

NTPパケットには以下が含まれます。

  • LI(閏秒情報)
  • VN(バージョン)
  • Mode(クライアント/サーバ/ブロードキャスト等)
  • 送受信タイムスタンプ

2. NTPリフレクション攻撃とは(Reflection Attack)

NTPリフレクション攻撃は、UDPの送信元IPアドレスが偽装可能である性質を悪用し、攻撃者が少量のリクエストをNTPサーバへ送信 → サーバが大量のレスポンスを被害者へ送ってしまう攻撃です。
DDoS攻撃の1種であり、特に 2013–2014 年頃に大規模攻撃が多発しました。

仕組み

  1. 攻撃者 → NTPサーバへ 送信元IPを被害者に偽装したUDPパケット を送信
  2. NTPサーバ → 被害者に大量のレスポンスを返す
  3. 被害者への通信量が増大し、サービス不能(DoS/DDoS)

3. なぜ増幅されるのか(Amplification)

特定のNTPコマンド、とくに古い実装で使用されていた monlist(monitoring list)コマンド は、「接続してきたクライアント一覧」を応答するため、たった1パケットに対し数百倍〜数千倍の応答が返ることがあります。

増幅係数(Amplification Factor)

研究報告値では以下のように非常に高い増幅となり得ます(参考:US-CERT、RFC 5357 脆弱性報告)。
NTPが最も危険視された理由がこの増幅係数の高さです。

攻撃手法 増幅係数の例
DNS Amplification 28〜54倍
SSDP Amplification 30倍程度
NTP Amplification(monlist) 200〜500倍以上

4. 防御策(エビデンス:US-CERT Alert TA14-013A/NTP Project)

(1)NTPサーバ側の対策

  • monlist の無効化(ntp.conf:disable monitor)
    最新版のNTPでは monlist 自体が廃止されている。
  • 最新版NTPへの更新
  • NTPサーバを公開しない(アクセス制御)
    • firewall/ACL/iptables 等で UDP 123 を制限する
  • Rate limiting(応答制限)

(2)ネットワーク側の対策

  • 送信元IPアドレス偽装防止(BCP38/RFC 2827)
    → ISP がフィルタリングを行うことで、偽装パケットの発生源を減らす。

5. SC試験で問われやすいポイント整理

観点 ポイント
攻撃の特徴 反射型(Reflection)+増幅(Amplification)
使用プロトコル UDP 123(NTP)
原因 monlist 応答が巨大/IP偽装が可能
防御策 monitor無効化、NTP更新、ACL、レート制限、BCP38

6. 周辺知識(DDoS関連)

NTPリフレクションは「反射型DDoS」の代表例であり、他にも以下が存在します。

反射型DDoSの代表例

  • DNS Amplification
  • SSDP Amplification
  • Chargen Attack
  • CLDAP Amplification

共通点:「UDPで応答が大きくなるサービスを悪用」。

SYN Flood と何が違う?

攻撃名 特徴
SYN Flood TCP 3way を悪用、反射しない
Reflection Attack UDPで反射/増幅あり

7. NTPとセキュリティ運用における重要性

そのため、NTPは 高可用性/高精度/安全性 が求められる重要インフラです。

  • ログのタイムスタンプがずれるとインシデント分析が困難になる
  • PKI証明書の有効期限の検証にも正しい時刻が必須
  • Kerberos 認証など、許容時間差(Clock Skew) により認証失敗が起こる
0
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?