// シス担のミカタ
ネットワーク攻撃

増幅攻撃 ぞうふくこうげき

DDoS攻撃リフレクション攻撃DNS増幅NTP増幅帯域幅枯渇UDP
増幅攻撃について教えて

簡単に言うとこんな感じ!

「ちょっとつついたら巨大な岩が転がってきた!」みたいな攻撃だよ。攻撃者が小さなリクエストを送るだけで、その何十〜何千倍もの大きなデータが標的に殺到するように仕掛けるんだ。まるでレバーひとつで巨大なものを動かす「てこの原理」みたいな攻撃ってこと!

増幅攻撃とは

増幅攻撃(Amplification Attack)とは、攻撃者が少量のリクエストを送るだけで、標的に対して何倍・何百倍もの大量データを届かせるネットワーク攻撃の手法です。攻撃者自身はほんの少ししか通信していないのに、第三者のサーバーを「踏み台」として使うことで、標的の回線やサーバーをトラフィックで溢れさせてサービスを停止させます。

この攻撃は多くの場合、リフレクション攻撃(Reflection Attack) と組み合わせて使われます。リフレクションとは「反射」のことで、攻撃者は自分のIPアドレスを標的のIPアドレスに偽装してリクエストを送ります。すると、踏み台サーバーは「標的から問い合わせが来た」と思い、大量のレスポンスを標的に送りつける仕組みです。

実務的には、DDoS攻撃(分散型サービス妨害攻撃)の一種として企業のWebサービスやネットワーク機器を狙って行われます。自社のサービスが突然つながらなくなった、という障害の裏にこの攻撃が潜んでいるケースも少なくありません。

増幅攻撃の仕組み

増幅攻撃が成立するには「増幅率(Amplification Factor)」が鍵になります。小さいリクエストに対して大きなレスポンスを返すプロトコルを悪用することで、てこの原理のように攻撃規模を膨らませます。

ステップ内容
① 送信元偽装攻撃者は送信元IP標的のIPに偽装して踏み台サーバーにリクエストを送る
② 踏み台サーバーが応答踏み台サーバーはリクエストに対して大きなレスポンスを返す
③ 標的に殺到レスポンスが標的のサーバーや回線に大量に届き、帯域を埋め尽くす
④ サービス停止正規ユーザーの通信が処理できなくなりサービスが停止する

覚え方:「てこの原理」でイメージする

「小さな力(攻撃リクエスト)→ 支点(踏み台サーバー)→ 大きな力(大量レスポンス)が標的に刺さる」

増幅率が高いほど、攻撃者の少ない手間で大きなダメージを与えられます。「増幅率1,000倍」なら、1Mbpsの攻撃通信で1Gbpsの攻撃トラフィックを発生させることができます。

主な悪用プロトコルと増幅率

プロトコル用途代表的な増幅率
DNSドメイン名解決約28〜54倍
NTP時刻同期約556倍(monlistコマンド)
SSDPUPnP機器の検索約30倍
Memcachedキャッシュサービス約5万〜10万倍(!)
CHARGENテスト用プロトコル約358倍

歴史と背景

  • 1990年代後半〜2000年代初頭:DDoS攻撃が注目され始め、単純なフラッド攻撃が主流だった
  • 2002年頃:DNS増幅攻撃の手法が研究者によって報告される
  • 2013年:Spamhausへの攻撃でDNS増幅攻撃が使われ、約300Gbpsの記録的規模を達成。世界的なニュースになる
  • 2014年:NTP増幅攻撃が急増し、400Gbpsを超える攻撃が観測される
  • 2018年:Memcachedを悪用した増幅攻撃が登場し、1.7Tbps(テラビット毎秒)という当時最大規模の攻撃が発生(GitHub社が被害)
  • 現在:クラウド事業者やISPが対策を強化しているが、新たな増幅可能プロトコルの発見と悪用が繰り返されている

リフレクション攻撃との関係と対策

増幅攻撃は「リフレクション攻撃」と合わせて「リフレクション増幅攻撃(Reflected Amplification Attack)」と呼ばれることが多く、実際の攻撃ではほぼセットで使われます。

攻撃者 IP偽装して送信 踏み台サーバー DNS / NTP など 標的サーバー 帯域・リソース枯渇 小さなリクエスト (送信元IP=標的のIP) 巨大なレスポンス (×数十〜数万倍) 主な対策 ① BCP38:送信元IPの偽装(スプーフィング)をISPが防ぐ ② レートリミット:踏み台になりうる応答を制限する ③ DDoS緩和サービス:ISP・CDNが攻撃トラフィックを吸収

攻撃の被害規模の比較

攻撃種別攻撃者のコスト標的へのトラフィック
通常のフラッド攻撃高(多数のボットが必要)攻撃者の帯域に依存
増幅攻撃(DNS)攻撃者の約50倍
増幅攻撃(Memcached)非常に低攻撃者の約10万倍

ビジネスパーソン向け実務ポイント

  • 自社サーバーが「踏み台」にされることもある。公開しているDNSサーバーやNTPサーバーが外部からの増幅攻撃に悪用される可能性がある
  • クラウド上のサービスでも対象になりうるため、DDoS保護オプション(AWSのShield、CloudflareのMagic Transit等) の導入を検討する
  • 攻撃を受けた際はISPや上流プロバイダーへの早期連絡が重要

関連する規格・RFC

規格・RFC番号内容
RFC 2827BCP38:ネットワーク侵入防止策(IPスプーフィング防止)
RFC 7039SAVI(Source Address Validation Improvements)の概要
RFC 5358DNSサーバーをリフレクターとして悪用することへの対策
RFC 4732インターネットDenial-of-Service考察

関連用語

  • DDoS攻撃 — 複数の踏み台から標的に大量トラフィックを送りつけるサービス妨害攻撃
  • リフレクション攻撃 — 送信元IPを偽装して第三者サーバーから攻撃を「反射」させる手法
  • IPスプーフィング — 送信元IPアドレスを偽造するネットワーク攻撃の基礎技術
  • DNS — ドメイン名をIPアドレスに変換するシステム。増幅攻撃に悪用されることがある
  • ボットネットマルウェアに感染した大量のPCを遠隔操作するネットワーク。DDoSの踏み台に使われる
  • CDN — コンテンツ配信ネットワーク。DDoS緩和機能を備えるサービスも多い