リフレクタ攻撃|情報処理安全確保支援士試験 令和3年 春期午前Ⅱ試験 問1

出典:令和3年春期 午前Ⅱ 問1 分野:セキュリティ / 情報セキュリティ
リフレクタ攻撃に悪用されることの多いサービスの例はどれか。
  • ア:DKIM,DNSSEC,SPF
  • イ:DNS,Memcached,NTP
  • ウ:FTP,L2TP,Telnet
  • エ:IPsec,SSL,TLS
この問題を解く
解説

リフレクタ攻撃は、攻撃対象のIPアドレスを偽装して問い合わせを送り、その応答を攻撃対象に集中させるDDoS攻撃です。

攻撃者は、直接攻撃対象に大量の通信を送るのではなく、DNSサーバやNTPサーバなどの第三者のサーバを「反射板」のように使います。そのため、リフレクタ攻撃と呼ばれます。

  1. 攻撃者が、送信元IPアドレスを攻撃対象のIPアドレスに偽装する
  2. DNSやNTPなどのサーバに問い合わせパケットを送る
  3. 問い合わせを受けたサーバは、攻撃対象に応答パケットを返す
  4. 大量の応答が攻撃対象に集中し、サーバやネットワークが過負荷になる

また、問い合わせパケットより応答パケットの方が大きくなるサービスを悪用すると、小さな通信を大きな攻撃通信に増幅できます。このため、アンプ攻撃とも呼ばれます。

悪用されやすいサービス 特徴
DNS DNS amp攻撃に使われる。問い合わせより大きな応答を返すことがある
NTP NTPリフレクション攻撃に使われる。大きな応答を返す機能が悪用されることがある
Memcached 非常に大きな増幅が起こることがあり、大規模攻撃に悪用される

リフレクタ攻撃では、送信元IPアドレスを偽装しやすいUDPのサービスがよく狙われます。

つまりリフレクタ攻撃は、「攻撃対象になりすまして第三者のサーバへ問い合わせを送り、その応答を攻撃対象に集中させる攻撃」と考えると分かりやすいです。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:DKIM,DNSSEC,SPF
⇒DKIM・DNSSEC・SPFはいずれも認証や改ざん検証などに関する仕組みです。DKIMとSPFは電子メールの送信元確認、DNSSECはDNS応答の真正性・完全性の検証に使われます。リフレクタ攻撃で悪用される代表的な増幅サービスの組合せではありません。
ウ:FTP,L2TP,Telnet
⇒FTP・L2TP・Telnetは、それぞれファイル転送・トンネリング・遠隔ログインなどに使われるプロトコルです。いずれもセキュリティ上の注意は必要ですが、DNS、Memcached、NTPのようにリフレクタ攻撃で代表的に悪用されるサービスの組合せではありません。
エ:IPsec,SSL,TLS
⇒IPsec・SSL・TLSは通信を暗号化・認証するための仕組みです。通信保護のためのプロトコルであり、リフレクタ攻撃において応答パケットを攻撃対象へ集中させる増幅サービスの代表例ではありません。
TSUNAGARU-ADVICE

まず押さえたいこと

リフレクタ攻撃では、攻撃者が送信元IPアドレスを攻撃対象に偽装し、第三者のサーバから攻撃対象へ応答を返させます。悪用されやすい代表例は、DNS・Memcached・NTPのように、応答を返すサービスです。

迷ったときの判断軸

DKIM・DNSSEC・SPFはメールやDNSの正当性確認に関する仕組み、FTP・L2TP・Telnetは通信や遠隔操作などのプロトコル、IPsec・SSL・TLSは暗号化通信の文脈です。リフレクタ攻撃では、第三者の応答を反射・増幅して標的へ送るサービスが狙われると考えると判断しやすくなります。

科目Bにつなげるために

科目Bでは、大量の応答パケットが特定サーバへ集中しているログから、反射型DDoSを読み取る問題が出ることがあります。送信元IPアドレスの偽装、第三者サーバの応答、大量トラフィックという流れを押さえ、DNS・NTP・Memcachedは反射・増幅に悪用されやすいと整理しておきましょう。

の問題 試験TOPへ の問題