情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅱ 問10: NTPを使った増幅型のDDoS攻撃に対して，NTPサーバが踏み台にされることを防止する対策として，適切なものはどれか。

問題本文

NTPを使った増幅型のDDoS攻撃に対して，NTPサーバが踏み台にされることを防止する対策として，適切なものはどれか。

選択肢

• ア.NTPサーバの設定変更によって，NTPサーバの状態確認機能（monlist）を無効にする。
• イ.NTPサーバの設定変更によって，自ネットワーク外のNTPサーバへの時刻問合せができないようにする。
• ウ.ファイアウォールの設定変更によって，NTPサーバが存在する自ネットワークのブロードキャストアドレス宛てのパケットを拒否する。
• エ.ファイアウォールの設定変更によって，自ネットワーク外からの，NTP以外のUDPサービスへのアクセスを拒否する。

正解

ア. NTPサーバの設定変更によって，NTPサーバの状態確認機能（monlist）を無効にする。

解説

NTP増幅型DDoSは、応答が大きいmonlist(過去にアクセスした多数のホスト一覧を返す)機能を悪用し、送信元を標的に偽装した小さな要求で巨大な応答を標的へ集中させる。踏み台化を防ぐには、サーバ側でこのmonlistを無効化するのが直接的で有効。実務では古いntpdの設定見直しや最新版適用で、増幅に使える機能を塞ぐことが基本となる。

選択肢ごとの解説

• ア.増幅の原因となるmonlist機能を無効化することが踏み台化防止に直結し正しい。
• イ.外部NTPへの時刻問合せ制限は自サーバの増幅悪用を防がないため対策として不十分で誤り。
• ウ.ブロードキャスト宛て拒否はNTP増幅の反射機構と無関係であり踏み台化を防げないため誤り。
• エ.NTP以外のUDP拒否ではNTP自体を踏み台にされる問題を解消できないため誤り。