増幅攻撃はDNSだけではない――NTPサーバーの脆弱性に注意喚起：悪用した攻撃も2013年12月に観測

　2014年1月15日、システムの内部時計を正しい時間に同期させるNTPサーバープログラム「ntpd」の一部のバージョンにDDoS攻撃につながる脆弱性が存在するとし、情報処理推進機構（IPA）やJPCERTコーディネーションセンター（JPCERT/CC）が注意を呼び掛けた。

　ntpdは、Network Time Protocol projectが公開しているNTPサーバーソフトウェアだ。LinuxやBSD系OS、Mac OS Xなど多くのOSに搭載されている他、ルーターなどネットワーク機器に組み込まれていることがある。

　DDoSにつながる脆弱性が存在するのはntpd 4.2.7p26よりも前のバージョンだ。つまり、安定版の4.2.6.xは全て、脆弱性の影響を受けるという。

　脆弱性は、NTPサーバーの状態を確認するmonlist機能に起因する。monlist機能では、NTPサーバーに送られるリクエストに対して、大きなサイズのデータが返される。これを悪用し、送信元IPアドレスを偽装してNTPサーバーにリクエストを送信すると、無関係な第三者のWebサーバーなどに大量のデータが送り付けられ、DoS状態に陥ってしまう。

　送信元IPアドレスを詐称してリクエストを送信し、第三者のサーバーに大量の返答を送り付ける攻撃手法は、DNSでも用いられていた。外部からの再帰検索を許可しているDNSサーバー（オープンリゾルバー）を悪用して問い合わせを行い、何倍ものサイズのパケットに増幅させ、標的に大量のトラフィックを送り付ける「DNSリフレクション攻撃」（あるいはDNS amp攻撃とも）だ。この手法がNTPにも悪用されていることになる。

　既に2013年12月に、この脆弱性を悪用した攻撃が観測されたという。また、JPCERT/CCが運用しているインターネット定点観測システム「TSUBAME」でも、NTPサーバを探索するパケットの増加が確認されており、「今後も同攻撃が継続すると想定される」（JPCERT/CC）という。

　対策は、脆弱性を修正したntpd 4.2.7p26（開発版）にバージョンアップすることだ。もし開発版の適用が難しい場合は、ntpdの設定ファイル「ntp.conf」に「disable monitor」という一行を追加し、monlist機能を無効化することで回避可能という。

　なお、サーバーやネットワーク機器に組み込まれているといった理由で、管理者が把握していないNTPサーバーが存在し、DDoS攻撃に悪用される可能性もある。OpenNTPProject.orgでは、対象ネットワークにmonlistのリクエストに応答を返すNTPサーバーが存在しないかどうかのチェックが可能だ。洗い出したNTPサーバーの中で、外部にNTPサービスを提供する必要がないものについては、外部からの通信を制限することも検討すべきという。