2014年1月13日、US-CERTが、NTPサーバーを用いた分散協調型サービス拒否(DDoS)攻撃について、注意喚起しました。この注意喚起に関連するインシデントとして、2013年12月25日、シマンテックがNTP増幅攻撃(NTPリフレクター攻撃)に関する侵害活動の発生を明らかにしました。
攻撃には、DNS増幅攻撃(DNSリフレクター攻撃)と類似の手法が用いられています。NTPサーバーがサポートする要求/応答の中には、パケットサイズの増幅率の高い(=応答サイズ÷要求サイズの値が大きい)機能があります。発信元を詐称した要求をNTPサーバーに送信し、この機能を悪用することで、増幅率の高いDDoS攻撃を実現できてしまうことになります。さらに、NTPサーバーは踏み台として、DDoS攻撃活動に加担してしまう可能性があります(図1)。
図1●NTP増幅攻撃(NTPリフレクター攻撃)
Internet Storm Center(ISC)が観測しているポート番号123を対象としたスキャン件数を調べてみると、2013年11月頃から急増しています(図2)。
図2●Internet Storm Center(ISC)が観測しているポート番号123を対象としたスキャン件数
- US-CERT:NTP Amplification Attacks Using CVE-2013-5211
- シマンテック:Hackers Spend Christmas Break Launching Large Scale NTP-Reflection Attacks
ここからは、1月26日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
