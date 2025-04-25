NTP 増幅攻撃を防ぐためには、NTP サーバーを慎重に設定して、信頼できるホストからのアクセスのみを許可する必要があります。また、システムのユーザーアクティビティを監視して、信頼できないソースから送信された不審な要求を把握することも必要です。NTP 増幅攻撃を防ぐためのベストプラクティスとしては、NTP サーバーで匿名バインドを無効にすること、アクセスコントロールリスト（ACL）またはファイアウォールを通じてアクセスを既知のホストやネットワークに制限すること、ユーザートラフィックを緊密に監視して外部ソースからの異常な要求を把握すること、システムにレート制限を設定して悪性のトラフィックがネットワークに到達する前にブロックされるようにすることなどが挙げられます。また、セキュリティパッチを最新の状態に保ち、システムの潜在的な脆弱性をすばやく排除できるようにすることも重要です。

進行中の攻撃を検知するためには、すべての着信トラフィックのパターンを厳密に監視し、外部ソースからの要求の急増を把握する必要があります。こうした急増は攻撃が進行していることを示している可能性があります。さらに、侵入検知システムによって生成された監視ログも、増幅攻撃の可能性がある試みを明らかにするために役立ちます。攻撃者がソース IP アドレスをスプーフして偽りの値（正規のネットワークホストとも、また ACL やファイアウォールテーブルにリストされているアドレスとも一致しない値）を使用すると、たいてい侵入検知システムで多数のフォールス・ポジティブ（誤検知）アラートが生成されます。

アクティブな NTP 増幅攻撃に対しては、影響を軽減するためにも、また可能な限り発生元を特定するためにも、迅速なアクションが必要となります。不正使用インシデントの報告など、必要に応じて攻撃者に適切な措置をとれるようにすることが重要です。具体的には、IDS／IPS ログを通じて収集された情報を使用してファイアウォールで疑わしいソースをブロックすること、アップストリームリンクでレート制限を設定すること、パケットレートを調整すること、リバースパス転送チェックなどのスプーフィング防止対策を実装すること、IPsec VPN トンネルなどアプリケーションレイヤーの緩和ソリューションを導入すること、ネットワークを小規模なセクションにセグメント化すること、定義済みのルールに基づいてトラフィックをフィルタリングすること、適切なパッチ管理を確保すること、適用可能な ISP や CDN と連携すること、クライアントが使用する TTL しきい値を小さくすること、攻撃発生期間に行われた変更を追跡すること、ログを絶えず監視すること、などの対策が考えられます。

アクティブな攻撃状況からの回復については、まず、前述の緩和策を導入してサービスを復元しますが、それと同時に根本原因を特定することも重要です。たとえば、セキュリティ設定が不適切なままオンラインで公開されているために攻撃者によるアクセスを許している脆弱なサービスが根本原因となっている可能性があります。また、こうした取り組みに優先順位を付けることは、侵害されたリソースのコントロールを迅速に取り戻すとともに、必要な措置を講じてセキュリティ設定全体をさらに強化するために役立ちます。これにより、将来的に同様の攻撃が発生する可能性を軽減することができます。