リフレクション攻撃（アンプ攻撃）とは、攻撃者が被害者に対して大量のデータを送りつけることでサービスを妨害するDDoS（分散型サービス拒否攻撃）の一種です。この攻撃は、送信元のIPアドレスを偽装し、リフレクタ（反射サーバー）を利用して被害者に対して大規模なトラフィックを生成します。結果として、被害者のサーバーやネットワークに大きな負荷がかかり、サイトの停止やサービスの遅延を引き起こす可能性があります。

本記事では、リフレクション攻撃の仕組みや原因、そして被害を受けた場合の具体的な対処法について詳しく解説します。

リフレクション攻撃（アンプ攻撃）の仕組み

リフレクション攻撃では、攻撃者が偽装した送信元IPアドレスを使用し、リフレクタ（通常はDNSサーバーやNTPサーバーなど）にリクエストを送信します。このリクエストは本来、攻撃者に返答されるべきものですが、偽装されたIPアドレスに基づいて、リフレクタから被害者のIPアドレスに大量の応答が返されます。

特にDNSアンプ攻撃やNTPアンプ攻撃と呼ばれるリフレクション攻撃は、反射されるデータが元のリクエストデータの数十倍になるため、攻撃の規模が瞬く間に大きくなります。

リフレクション攻撃（アンプ攻撃）の種類

リフレクション攻撃には以下の種類があります。

• DNSリフレクション攻撃…IPアドレスを偽装し、大量のDNSリクエストをリフレクタに送信。応答したリフレクタが膨大な量のトラフィックを送りつける。
• NTPリフレクション攻撃…NTP（ネットワーク時間プロトコル）サーバーを利用して、大量の同期リクエストを送信。
• SNMPリフレクション攻撃…SNMP（Simple Network Management Protocol）を用いて、ネットワークデバイスの管理情報を問い合わせるリクエストを送信する

いずれのリフレクション攻撃も、リフレクタを介して被害者に対して大規模なトラフィックを送り、最終的にサービスが停止するか、著しくパフォーマンスが低下する結果をもたらします。

DDoS攻撃を受けるリスクとその対策法について解説 DDoS攻撃とは、複数のコンピューターから大量のリクエストを送りつけ、処理不能にする行為です。被害が深刻な場合、経済的損失が膨大になる恐れがあるため、フォレンジック調査で、サイバー攻撃の被害を適切に把握したうえで、適切なセキュリティ対策を行いましょう。デジタルデータフォレンジック（DDF）は、官公庁・上場企業・捜査機関・法律事務所等で実績多数！ 累積3.2万件以上のご相談実績をもとに、インシデント原因や被害状況などスピーディーに調査します。...

リフレクション攻撃が発生する原因

リフレクション攻撃は、攻撃者が送信元アドレスを偽装できることと、リフレクタ（攻撃に利用される端末）が不適切に構成されていることが主な原因です。

1. リフレクタがアクセス制御を行っていない

多くのリフレクタは、外部からの無制限なアクセスを許可しているため、攻撃者が簡単に利用できる状態になっています。特にDNSやNTPサーバーは、このような状態になりやすく、適切なアクセス制御がされていないことが問題となります。これにより、攻撃者が大量のリクエストを送信し、トラフィックを生成しやすくなっています。

2. IPアドレスの偽装

攻撃者は簡単にIPアドレスを偽装することで、リフレクタを通じて被害者にトラフィックを送りつけることができます。IPスプーフィング技術は、サーバーやネットワーク機器が送信元の正当性を確認せずにリクエストを処理する際に悪用されます。このため、リフレクタ側のセキュリティ対策が不十分な場合、攻撃に利用されやすくなります。

リフレクション攻撃を受けた場合の対処法

リフレクション攻撃を受けた場合、迅速な対処が求められます。以下に、攻撃を受けた際に取るべき具体的なステップを解説します。

1. トラフィックのモニタリングとフィルタリング

まず、異常なトラフィックが発生しているかどうかを確認するために、ネットワークトラフィックをモニタリングします。多くの場合、通常のトラフィックに比べて数倍から数十倍のデータが流れ込んでいるため、明らかに異常とわかります。

対処手順

1. ネットワークのモニタリングツールを使って、異常なトラフィックを検出します。
2. 異常なIPアドレスやトラフィックの送信元を特定し、ファイアウォールでフィルタリングを行います。
3. 攻撃が続いている場合は、インターネットサービスプロバイダー（ISP）に連絡し、トラフィックの遮断を依頼します。

2. リフレクタの特定とブロック

リフレクション攻撃は、特定のリフレクタが使用されて行われるため、どのサーバーやサービスが攻撃に利用されているかを特定することが重要です。リフレクタを特定したら、これらのサーバーからのトラフィックをブロックする必要があります。

対処手順

1. ネットワークログを分析し、リフレクション攻撃に利用されているサーバーやデバイスを特定します。
2. これらのサーバーやデバイスからの通信をACL（アクセス制御リスト）やファイアウォールルールを用いてブロックします。
3. 攻撃元のIPアドレス範囲も同様にフィルタリングし、ネットワークへのアクセスを制限します。

3. フォレンジック調査を依頼する

サイバー攻撃の一種であるリフレクション攻撃の詳細を把握し、今後の再発防止策を講じるためには、フォレンジック調査の専門家に依頼することが推奨されます。フォレンジック調査では、どのようにして攻撃が行われたのか、どの範囲まで被害が及んだのかを詳しく調べます。

フォレンジック調査のステップ

1. ネットワークログの解析 – トラフィックログやサーバーログを解析し、攻撃の経路やタイミングを特定します。
2. 攻撃元の特定 – 攻撃に利用されたリフレクタやIPアドレスを特定し、攻撃の発生源を把握します。
3. 被害範囲の特定 – どのシステムやデータが攻撃に影響を受けたか、被害の範囲を詳細に調査します。
4. 報告書の作成 – 調査結果を報告書としてまとめ、今後の対策を提案します。

フォレンジック調査は、被害を最小限に抑えるために重要なプロセスであり、攻撃の原因や再発防止策を正確に把握するためには、専門の調査会社に依頼することが望ましいです。

詳しく調べる際はハッキング・乗っ取り調査の専門家に相談する

ハッキング、不正アクセス、乗っ取り、情報漏えいのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。

このような事態を防ぎ、適切な調査によって原因究明を行うためにも、ハッキング調査の専門家に相談することが重要です。

ハッキング調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出によって問題の解決を徹底サポートします。

デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。

法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しております。官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当者が対応させていただきます。

まずは、お気軽にご相談ください。

調査の料金・目安について

専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。

リフレクション攻撃を防ぐための予防策

リフレクション攻撃を未然に防ぐためには、ネットワークのセキュリティ強化が欠かせません。以下に、リフレクション攻撃を防ぐための具体的な予防策を紹介します。

1. リフレクタの適切な設定

リフレクション攻撃を防ぐためには、リフレクタとして利用されるサーバーやデバイスの設定を適切に行うことが必要です。特に、DNSサーバーやNTPサーバーは外部からのリクエストを制限する設定が推奨されます。

設定手順

1. DNSサーバーの設定で「レートリミット」を有効にし、特定のIPアドレスからの過剰なリクエストを防ぎます。
2. NTPサーバーの設定で、「モード7リクエスト」を無効にし、攻撃に利用されるリスクを軽減します。
3. 不要なオープンポートは閉じ、外部からのアクセスを制限します。

2. IPスプーフィング対策

IPアドレスの偽装（スプーフィング）を防ぐために、ネットワーク機器で「アンチスプーフィング」機能を有効にします。また、BCP38に準拠したフィルタリングを行うことで、送信元アドレスを確認し、不正なパケットの送信を防ぎます。

3. 定期的なセキュリティ監査

ネットワークやシステムのセキュリティ設定を定期的に監査し、リフレクション攻撃に利用されるリスクがないか確認します。監査では、オープンなサービスやポートを確認し、必要のないサービスは停止します。また、セキュリティパッチが適用されているかを常に確認し、脆弱性を未然に防ぎます。