NTPの脆弱性を悪用したDDoS攻撃における対策のお願いについて

平素は弊社のネットワーク接続サービスをご利用くださり誠にありがとうございます。
NTPサーバ(ntpd)に実装されているmonlist(NTPサーバの状態を確認する機能)を悪用した「NTPリフレクション攻撃」と思われます通信(パケット)を弊社のネットワークでも確認しております。
このNTPリフレクション攻撃(サービス運用妨害(DDoS)攻撃)と思われます通信(パケット)が、弊社のネットワークへ大量に流入してしまう事象も確認しており、一部のご利用者様の通信が極端に遅くなるなど通信が不安定になってしまう事象も発生しております。
このためお客様が運用されているサーバや通信機器などにNTPサーバの機能を稼働されています場合は、大変ご面倒ではございますが「monlist機能」を無効にする処置(対処)を実施くださいますようお願い申し上げます。

1. NTPの脆弱性を悪用したリフレクション攻撃の概要について

NTP(ntpd)にはNTPサーバの状態を確認するための機能(monlist)が一部のバージョンで実装されています。
攻撃者は送信元IPアドレスを攻撃対象とする端末のIPアドレスに偽装していることから、状態確認のための問い合わせパケット(monlist機能)をNTPサーバへ送信することで、その回答(問い合わせ先としたNTPサーバの状態)を攻撃対象とする端末へ送信させることができます。
なおNTPサーバから送信されるデータサイズ(monlistの回答)は、問い合わせ時におけるデータサイズの数十倍から数百倍となるために、大変に大きなデータサイズとなって攻撃対象とした端末へ送信されます。
またJPCERT/CCが運用しているインターネット定点観測システム(TSUBAME)においても、攻撃対象となる「NTPサーバを探索する通信(パケット)」が増加傾向にあることを確認されているそうです。

この情報はJPCERTコーディネーションセンタからも注意喚起として公開されています。
●https://www.jpcert.or.jp/at/2014/at140001.html

2. 通信機器に実装されているNTPサーバの機能における処置(対処)について

一部の通信機器(ルータなど)にはNTPサーバの機能を実装している機種があります。
NTPサーバの機能を実装している通信機器(ルータなど)をご利用されている場合には、その機器を提供されているメーカさまへNTPリフレクション攻撃における対応状況などをご確認ください。
なおNTPリフレクション攻撃について未対応である場合には、外部ネットワークからNTPサーバに対する通信を遮断されるなどの処置(対処)を実施してください。
通信機器(ルータなど)における対象状況については、その機器を提供されているメーカさまへお尋ねください。

3. NTPサーバの処置方法(対策方法)について

このたび問題となっておりますNTPリフレクション攻撃に対する修正済みのバージョンは「ntpd 4.2.7p26(開発版)」となります。
また安定版であるntpd 4.2.6系は全て影響を受ける可能性があります。
このバージョン(ntpd 4.2.7p26)へ移行されることが困難な場合には、暫定対処(回避策)として「monlist機能」を無効にする処置(対処)の実施をご検討ください。

monlistを無効化するには「ntp.conf」(デフォルトでは/etc/ntp.confとなる)
に次の行(1行)を追加してください。
●disable monitor

なお稼働させているntpdのバージョンは次のコマンドで確認することができます。
●ntpq -c rv

以上の内容はNTP Project(Network Time Protocol project)が提供するntpdにおける対処方法を記述しています。

4. NTPサーバ機能の停止について(NTPサーバを利用されない場合)

NTPサーバ機能を利用されていない(NTPサーバ機能が不要な場合)は、この機能(NTPサーバ)を停止されますことをご検討くださればと存じます。

ntpdを停止するコマンドは、以下の通りです。
●sudo /etc/init.d/ntpd stop

(補足事項)
以上の内容はNTP Project(Network Time Protocol project)が提供するntpdにおける操作方法を記述しています。

5. 参照するNTPサーバ(タイムサーバ)の変更について

NTP(Network Time Protocol)の脆弱性を悪用したリフレクション攻撃による、日本国外から日本国内に対するデータ量の増大が著しい状態にあるため、場合によっては日本国外から送信されるNTPのパケット(UDP123)を、設備保全(その他の非常事態)を理由に緊急対処として遮断することもあります。

このため大変お手数ではございますが、日本国内にあります「独立行政法人情報通信研究機構」が提供されている、インターネット時刻サーバ(NTPサーバ)に設定を変更されますことをご検討くださいますようお願いします。

●インターネット時刻サーバ(NTPサーバ)： ntp.nict.jp

参照先のNTPサーバは「ntp.conf」(デフォルトでは/etc/ntp.confとなる)で変更(指定)します。
なお以下は「ntp.conf」における設定例となります。
●server ntp.nict.jp iburst

(補足事項)
IPアドレスによる設定が必要な場合は、次のサーバを任意に選択設定してください。
▼IPv4の場合におけるIPアドレス
・133.243.238.243
・133.243.238.163
・133.243.238.244
・133.243.238.164
▼IPv6の場合におけるIPアドレス
・2001:df0:232:eea0::fff3
・2001:df0:232:eea0::fff4

【本件に関するお客さまからのお問い合わせ先】

InfoSphereテクニカルサポートセンタ
　　・電話　　　0570-07-7778
　　・受付時間　9:30～18:00（土日祝日・年末年始を除く）
　　・メール　　https://customer.nttpc.co.jp/cgi-bin/form/inquiry_index.cgi

2014.2.28