情報処理安全確保支援士試験 令和6年秋期午前Ⅱ NTPリフレクション攻撃
出典:令和6年秋期 午前Ⅱ 問4
分野:セキュリティ / 情報セキュリティ
NTPリフレクション攻撃の特徴はどれか。
- ア:攻撃対象であるNTPサーバに高頻度で時刻を問い合わせる。
- イ:攻撃対象であるNTPサーバの時刻情報を書き換える。
- ウ:送信元を偽って,NTPサーバにecho requestを送信する。
- エ:送信元を偽って,NTPサーバにレスポンスデータが大きくなる要求を送信する。
TSUNAGARU-ADVICE
まず押さえたいこと
NTPリフレクション攻撃は、送信元IPアドレスを攻撃対象に偽装し、NTPサーバから大きな応答を攻撃対象へ返させる攻撃です。
迷ったときの判断軸
リフレクション攻撃では、攻撃者が標的へ直接大量通信を送るのではなく、第三者のサーバに応答を返させます。NTPでは、要求よりも大きなレスポンスを返す機能を悪用して通信量を増幅する点が特徴です。
科目Bにつなげるために
科目Bでは、DoS攻撃を名前で覚えるだけでなく、送信元偽装・反射・増幅のどれが使われているかを通信の流れから読み取る力が問われます。NTPリフレクション攻撃は、NTPサーバを反射・増幅に悪用する攻撃として整理しておきましょう。
NTPリフレクション攻撃とは、時刻合わせに使う NTPサーバ を悪用して、攻撃対象に大量の通信を送りつける攻撃です。NTPは本来、パソコンやサーバの時刻を正しく合わせるための仕組みです。
この攻撃では、攻撃者が送信元IPアドレスを攻撃対象のIPアドレスに偽装して、公開NTPサーバに大量のリクエストを送ります。するとNTPサーバは、攻撃者ではなく、偽装された送信元である攻撃対象に返事を送ってしまいます。その結果、攻撃対象には大量の応答パケットが集まり、通信量が増えすぎてサービスが使えなくなります。
特に、NTPの monlist という機能を悪用すると、小さなリクエストに対して非常に大きな応答が返ることがあります。これにより、攻撃の通信量が何倍にも増幅されます。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:攻撃対象であるNTPサーバに高頻度で時刻を問い合わせる。
⇒NTPサーバ自体を攻撃対象にする、という点で違います。NTPリフレクション攻撃では、NTPサーバは反射・増幅に悪用される踏み台です。
イ:攻撃対象であるNTPサーバの時刻情報を書き換える。
⇒時刻情報の改ざん、という点で違います。NTPリフレクション攻撃は時刻改ざんではなく、反射・増幅によるDDoS攻撃です。
ウ:送信元を偽って,NTPサーバにecho requestを送信する。
⇒echo request、という点で違います。echo requestはICMP Echoであり、NTPリフレクション攻撃ではNTPの要求を悪用します。