2013年12月ごろから、新たなDDoS攻撃(Distributed Denial of Service attack)がセキュリティおよびネットワーク技術者の間で話題となっている。このDDoS攻撃の特徴は、サーバーやネットワーク機器で一般的に利用されている「時刻同期(NTP)」の仕組みを悪用する点だ。

▼DDoS攻撃とは、複数のコンピュータから攻撃対象に向かって一斉にパケットを送信し、攻撃対象のコンピュータの処理能力をオーバーさせ、本来提供しているサービスを利用できなくしてしまう攻撃のこと。

 NTPとはNetwork Time Protocolの略で、パソコンやサーバー、ネットワーク機器などが正確な時刻を取得するためのプロトコルである。時刻を合わせたいNTPクライアントが、時刻情報を配信するNTPサーバーに問い合わせて正確な時刻を取得する。NTPサーバーソフトとしては、NTP Projectが提供する「ntpd」などが有名だ。

国内でも注意喚起、今後も攻撃は続く模様

 この新しいDDoS攻撃は、昨年12月に米シマンテックが公式ブログで取り上げたことで広く知られるようになった。同社によれば、昨年12月の上旬ごろからNTPを悪用した攻撃が急増したという。

 2014年1月には、オンラインゲーム「League of Legends」のサーバーがこの手法によるDDoS攻撃の被害に遭い、100Gビット/秒ものトラフィックが押し寄せてサーバーがダウンしたと報じられた。

写真1●JPCERTコーディネーションセンターによる注意喚起(一部)
写真1●JPCERTコーディネーションセンターによる注意喚起(一部)
2014年1月15日に公開した。
[画像のクリックで拡大表示]

 国内でも注意が呼び掛けられている。JPCERTコーディネーションセンター(JPCERT/CC)は2014年1月15日、NTPサーバーのモニタリング機能(monlist機能など)を悪用した、新たなDDoS攻撃に関する注意喚起(ntpd のmonlist機能を使ったDDoS攻撃に関する注意喚起)を公開(写真1)。同文書によれば、この攻撃によるインデントの報告がすでに寄せられているという。

 また、JPCERT/CCの運用するインターネット定点観測システム(TSUBAME)においても、NTPサーバーを探索するパケットの増加を確認しており、今後もこの攻撃が継続することが想定されるとのことだ。