リフレクション攻撃とは？仕組みと対処法を徹底解説

企業や組織に対するDDoS攻撃の中でも、リフレクション攻撃は増幅効果が高く、短時間でシステムやネットワークへ大きな負荷を与える脅威です。

攻撃者は正規サービスの応答機能を悪用し、第三者の機器から大量のパケットを送りつけるため、防御や検知が難しい特徴があります。

本記事では、リフレクション攻撃の基本から代表的な種類、攻撃の原因、対処法、そして再発防止に向けた予防策まで、わかりやすく解説します。

＼DDoS・リフレクション攻撃調査の相談受付中／

リフレクション攻撃の仕組み

リフレクション攻撃とは、送信元IPアドレスを標的のものに偽装して第三者のサーバにリクエストを送り、その応答を標的に反射させて負荷をかける攻撃です。

DNSやNTP、LDAPなどの、小さなリクエストに対して大きな応答を返すサービスが悪用されることが多く、攻撃者は自らの正体を隠しながら大きなトラフィックを生み出すことができます。

この攻撃では、反射（リフレクション）によって標的に応答を向けるだけでなく、アンプリフィケーション（増幅）効果を組み合わせることで、少ないリクエストで膨大なトラフィックを生み出すのが主流の手法となっています。

たとえば、数十バイトの要求に対して数千バイトの応答が返されることもあり、わずかな通信で大規模なDDoS攻撃を成立させられる点が大きな脅威です。

リフレクション攻撃の種類

リフレクション攻撃では、さまざまなサービスが悪用されます。いずれも、リクエストに対して過剰な応答を返す特性を持つ通信プロトコルが狙われ、増幅効果によって大規模なDDoS攻撃が実現されます。

ここでは、実際の攻撃に使われる代表的なリフレクション攻撃の種類をご紹介します。

DNSリフレクション攻撃

DNSリフレクション攻撃は、リフレクション攻撃の中でも特に多く確認されている代表的な手法です。攻撃者は、送信元IPアドレスを標的のものに偽装してDNSサーバに問い合わせを行い、その応答を標的に向けて送信させます。

DNSの仕組み上、小さなリクエストに対して大きなレスポンスが返るため、通信量が増幅され、大量のトラフィックが標的に集中することになります。オープンリゾルバと呼ばれる外部から誰でも利用可能なDNSサーバが悪用されるケースが多く、注意が必要です。

NTPリフレクション攻撃

NTPリフレクション攻撃は、ネットワーク時刻同期プロトコルであるNTP（Network Time Protocol）を悪用した攻撃手法です。

特に「monlist」というコマンドを利用することで、非常に少量のリクエストに対して、数百倍にも増幅された応答を標的に送りつけることが可能です。

この攻撃は、オープンなNTPサーバを踏み台にすることで、攻撃元を隠しながら大規模なDDoS攻撃を行える点が特徴です。古いバージョンのNTPを使用しているシステムが特に狙われやすいため、適切なバージョン管理とアクセス制限が求められます。

SSDPリフレクション攻撃

SSDPリフレクション攻撃は、UPnP（Universal Plug and Play）機能を備えた機器が使用するSSDP（Simple Service Discovery Protocol）を悪用した攻撃手法です。

攻撃者は、送信元IPアドレスを標的のものに偽装し、SSDPリクエストを複数のUPnP対応機器に送信します。これにより、多数の機器が標的に向けて一斉に応答データを返し、大量のトラフィックを発生させてDDoS攻撃を実現します。

SSDPは家庭用ルーターやネットワークカメラ、NASなどでも広く使用されており、十分な設定を行っていない機器が攻撃に悪用されやすい点が特徴です。

SNMPリフレクション攻撃

SNMPリフレクション攻撃は、ネットワーク機器の監視や管理に使用されるSNMP（Simple Network Management Protocol）を悪用した攻撃手法です。

攻撃者は、送信元IPアドレスを標的のものに偽装し、複数のSNMP対応機器に対して情報要求（GetRequestなど）を送信します。その結果、機器側が応答として返す管理情報がすべて標的に集中し、大量のトラフィックが押し寄せるDDoS攻撃が成立します。

特に、バージョン1のSNMPは認証が簡易的であるため、適切な制限がかかっていないと攻撃に悪用されやすい点に注意が必要です。

Porftmapリフレクション攻撃

Portmapリフレクション攻撃は、RPC（Remote Procedure Call）サービスのポート情報を管理するPortmapperサービスを悪用した攻撃手法です。攻撃者は、送信元IPアドレスを標的に偽装し、Portmapperに対してリクエストを送信します。

これにより、対象サーバはRPCサービス一覧などの応答データを標的に向けて返し、大量のトラフィックを発生させることになります。

特に、インターネット上に無防備に公開されているPortmapperサービスが悪用されやすく、古いUNIX系システムやネットワーク機器に注意が必要です。

リフレクション攻撃が発生する原因

リフレクション攻撃が成立する背景には、ネットワーク構造や公開サービスの設定ミス、管理の甘さなど、いくつかの共通した要因があります。以下に代表的な原因を整理します。

応答機能を悪用できるサービスが無防備に公開されている

DNSやNTP、SSDPなどのサービスは、比較的小さなリクエストに対して大きな応答を返す特性があるため、リフレクション攻撃に悪用されやすい傾向があります。

これらのサービスがアクセス制限なくインターネット上に公開されている状態では、攻撃者にとって都合のよい踏み台となってしまいます。不要なサービスは停止し、必要な場合でも外部アクセスの制限や認証の設定を行うことが重要です。

パケット送信元が簡単に偽装されてしまうネットワーク構造

インターネットの仕組み上、IPパケットの送信元アドレスは容易に偽装（IPスプーフィング）することが可能です。送信元IPを標的のアドレスに偽装して第三者のサーバにリクエストを送ることで、応答が標的に集中するリフレクション攻撃が成立します。

こうした偽装を防止するためには、ネットワーク機器側での送信元アドレスフィルタリング（BCP38など）の実装が有効です。

トラフィック増幅の仕組みを持つプロトコルが攻撃に利用されている

リフレクション攻撃では、DNSやNTP、LDAPなどのように、小さなリクエストに対して数十倍から数百倍の応答を返すプロトコルが特に狙われます。

これらは「アンプリフィケーション効果（増幅効果）」を持つプロトコルであり、攻撃者は少ないリソースで大量のトラフィックを生成できるため、効率的かつ強力なDDoS攻撃を実現できる手段として悪用しています。

セキュリティ設定の不備でミドルウェアが第三者に利用されている

SNMPのようなネットワーク監視プロトコルや、Portmapperのようなサービス管理機構は、適切なセキュリティ設定が施されていない場合、外部から自由にアクセスされ、踏み台としてリフレクション攻撃に悪用されるリスクがあります。

とくに、初期設定のまま公開されているシステムや、認証なしで応答を返す構成になっている機器は危険です。必要なサービスのみを有効にし、アクセス制御や認証設定を行うことが重要です。

不要なポートやサービスが放置され、外部からアクセス可能になっている

使用していないにもかかわらず、無効化されずに開放されたままのポートやサービスは、攻撃者にとって絶好の侵入経路となります。

こうした管理されていないサービスは、脆弱性を含んでいる場合も多く、リフレクション攻撃の踏み台や情報収集の対象にされるリスクがあります。定期的なポートスキャンやサービスの棚卸しを行い、不要なものは確実に無効化・閉鎖することが重要です。

攻撃の兆候に気づけない環境が放置されている

ログの監視体制が整っていなかったり、IDS（侵入検知システム）やSIEMなどのセキュリティ監視ツールが導入されていない環境では、不審な通信や異常なトラフィックの兆候を見逃しやすくなります。

その結果、リフレクション攻撃の踏み台にされていても気づけず、被害や悪用が長期間にわたって続く可能性があります。早期発見と対応のためには、監視体制の構築と運用が不可欠です。

リフレクション攻撃を受けた場合の対処法

リフレクション攻撃の疑いがある場合、迅速かつ的確な対応が被害の拡大防止と原因究明につながります。以下では、攻撃を受けた際に取るべき行動を段階的に整理してご紹介します。

1. 被害の兆候を示すネットワーク異常を確認する

まずは、リフレクション攻撃によって発生する異常なトラフィックの兆候を確認することが重要です。

急激な通信量の増加や、通常とは異なる外部宛の大量通信、不審な宛先へのUDPパケット送信などが見られる場合は、攻撃を受けている、もしくは踏み台にされている可能性があります。

ネットワーク監視ツールやファイアウォールのログを活用し、発生時間帯や通信元・宛先の傾向を把握しましょう。

2. 自組織が加害者側になっていないかを確認する

リフレクション攻撃では、自社のサーバやネットワーク機器が踏み台として悪用される可能性があります。そのため、自組織が攻撃の加害者側になっていないかを確認することも重要です。

DNS、NTP、SNMP、SSDPなどのサービスが外部から不正に利用されていないか、ログやトラフィックの通信先を確認し、異常な応答が発生していないかをチェックしましょう。問題が見つかった場合は、即座にアクセス制限や無効化などの対処が必要です。

3. 該当サービスのポートを遮断・制限する応急処置を行う

リフレクション攻撃が進行中、またはその疑いがある場合は、速やかに悪用されているサービスのポートを遮断・制限することが必要です。

たとえば、UDP 123番（NTP）、UDP 53番（DNS）、UDP 1900番（SSDP）など、攻撃に利用されやすいポートを一時的に閉じることで、外部との不要な通信を防ぐことができます。

ファイアウォールやルーターの設定を確認し、攻撃経路となっているサービスの応答を制限する応急対応を行いましょう。

4. ログ・パケットキャプチャを確保し、攻撃の痕跡を残す

リフレクション攻撃が疑われる場合や発生が確認された場合は、原因調査や再発防止策の検討に備えて、通信ログやパケットキャプチャなどの証拠データを確実に保全することが重要です。

ファイアウォールやルーターのログ、サーバのアクセスログ、IDS・IPSの検知ログに加え、可能であればパケットキャプチャツール（tcpdumpやWiresharkなど）を使って当該時間帯の通信内容を記録しておきましょう。

これらのデータは、後のフォレンジック調査やISPとの連携時にも活用されます。

5. ISP・セキュリティ専門機関への連絡と情報共有を行う

リフレクション攻撃の被害が確認された場合、自社だけで対応を完結させようとせず、インターネットサービスプロバイダ（ISP）や関連するセキュリティ機関と連携することが非常に重要です。

自組織が踏み台となっている場合は、早急な対応が被害拡大の防止につながります。

必要に応じて、JPCERT・CC（Japan Computer Emergency Response Team Coordination Center）や総務省サイバーセキュリティ窓口などに状況を報告し、技術支援や注意喚起の協力を得ることも検討しましょう。

また、被害が他社や取引先に及ぶ可能性がある場合は、適切な情報共有も責任ある対応の一環となります。

6. フォレンジック調査を依頼する

リフレクション攻撃におけるフォレンジック調査では、踏み台として悪用された可能性のある機器や、設定不備のあったサービス構成を対象に分析を行い、攻撃経路や原因を特定します。

通信ログやパケットキャプチャをもとに痕跡を解析し、証拠保全・技術的検証・再発防止策の策定まで一貫して対応可能なため、社内だけでは難しい高度な対応にも対処できます。

また、外部への報告やインシデント対応における説明責任を果たすうえで、このような客観的かつ専門的な調査結果が重要な根拠となります。

デジタルデータフォレンジックでは、

＼DDoS・リフレクション攻撃調査の相談受付中／

詳しく調べる際はハッキング・乗っ取り調査の専門家に相談する

リフレクション攻撃を防ぐための予防策

リフレクション攻撃は、基本的なセキュリティ対策を怠っている機器やサービスが悪用されやすい傾向があります。ここでは、こうした攻撃を未然に防ぐために有効な対策をまとめています。

1. 不要なサービスを公開しない

DNS、NTP、SNMP、SSDPなどのネットワークサービスは、利用していない場合は速やかに無効化し、インターネット上に公開しないことが基本です。これらのサービスが外部に開放されたままだと、リフレクション攻撃の踏み台として悪用される恐れがあります。

使用中のサービスであっても、アクセス制限やフィルタリングを適切に設定し、不要な応答を外部に返さないように管理することが重要です。

2. IPスプーフィング対策の導入

リフレクション攻撃の多くは、送信元IPアドレスを偽装したパケット（IPスプーフィング）を利用して成立します。これを防ぐためには、ルーターやファイアウォールにおいて送信元IPの正当性を検証する仕組みを導入することが有効です。

たとえば、URPF（Unicast Reverse Path Forwarding）やBCP38に準拠したフィルタリング設定を行うことで、不正な送信元アドレスのパケットを遮断し、自組織が踏み台になるリスクを大幅に軽減できます。

3. 不要ポートの閉鎖とACL

攻撃に利用されやすいサービスの多くは、特定のUDPポート（例：53、123、161、1900など）を通じて外部と通信を行います。これらのうち、使用していないポートは必ず閉じることが基本です。

さらに、アクセス制御リスト（ACL）を活用して、信頼されたIPアドレスのみに通信を許可する設定を行うことで、不要なトラフィックを遮断し、踏み台としてのリスクを最小限に抑えることができます。

4. セキュリティ監査と脆弱性スキャンの定期実施

リフレクション攻撃の踏み台となる原因の多くは、設定ミスや古いソフトウェアによる脆弱性に起因しています。これを防ぐためには、ネットワーク機器やサーバに対する定期的なセキュリティ監査や脆弱性スキャンの実施が効果的です。

こうした診断によって、意図しないサービスの公開や不要なポートの開放、既知の脆弱性の残存を早期に発見し、悪用されにくい環境を維持することができます。

5. ログ監視とアラート設定

リフレクション攻撃の兆候は、トラフィック量の急増や不審な宛先への大量通信といったログ上の異常として現れます。

そのため、ファイアウォールやIDS・IPS、ルーター、サーバなどのログを常時監視し、異常を検知した際に即座に通知できるアラート設定を行うことが重要です。

異常の早期発見と迅速な対応によって、被害の拡大を防ぎ、攻撃を受けていることや加害者になっていることにいち早く気づける体制を整えることが可能になります。

6. 外部DNSサービスやCDNの活用

自社でDNSサーバやWebサーバを直接公開している場合、それらがリフレクション攻撃やDDoS攻撃の標的となるリスクがあります。こうしたリスクを軽減するには、クラウド型の外部DNSサービスやCDN（コンテンツ配信ネットワーク）を活用することが効果的です。

これらのサービスは、高い耐障害性とトラフィック分散機能を備えており、攻撃トラフィックを吸収・緩和しつつ、自組織のサーバへの直接的な影響を回避する構成を実現できます。