DNSリフレクター攻撃とは？仕組みと対策を解説

DNSリフレクター攻撃とは？ざっくりと3行で

オープンなDNSサーバーを中継役にして、攻撃者が小さなリクエストを送るだけで被害者に何十倍もの大量データを叩きつけるDDoS攻撃の一種だよ。
送信元IPを被害者のアドレスに偽装（IPスプーフィング）することで、DNSサーバーが無意識に攻撃の踏み台になってしまう点が、防御を難しくしている。
「うちのサーバーは攻撃していない」と思っていたら、自分のDNSサーバーが世界中の攻撃トラフィックの中継点になっていたと知ったときのインシデント対応の重さは想像を絶する。

【深掘り】これだけ知ってればOK！
よくある誤解
1. DNSリフレクター攻撃は大企業だけが標的になるという誤解
2. DNSSECを導入すればDNSリフレクター攻撃を防げると思っていないか？
会話での使われ方
【まとめ】3つのポイント
よくある質問
この用語と一緒に知っておきたい用語
【出典】参考URL

【深掘り】これだけ知ってればOK！

2013年3月にSpamhausを標的にして発生したDNSリフレクター攻撃は、ピーク時に300Gbpsという当時世界最大規模のDDoS攻撃を記録した。インターネット全体に影響が及び、欧州各地のIXP（インターネット交換拠点）が輻輳した。この事件をきっかけにオープンリゾルバーの問題が世界的に広く認識されるようになった。

DNSリフレクター攻撃（DNS Amplification Attack とも呼ばれる）の仕組みは2段階で構成される。まず攻撃者は、被害者のIPアドレスに送信元を偽装したDNSクエリをオープンリゾルバー（誰でも利用できる公開DNSサーバー）に送る。次にオープンリゾルバーは正規のDNSレスポンスを「被害者のIPアドレス」に返す。DNSクエリは数十バイトだが、ANY型クエリや大きなDNSSECレスポンスを使うと応答は数千バイトになり、増幅率（Amplification Factor）は最大で70倍以上に達することがある。この非対称性を利用して、小さな帯域で巨大なDDoSを成立させる点がリフレクター攻撃の本質だ。

対策は送信側・受信側・インフラ側の3層で考える必要がある。送信側（自社DNSサーバーの保護）としては、オープンリゾルバー化を防ぐためにDNSサーバーの再帰クエリ応答を自社ネットワーク内のIPアドレスのみに制限する設定が最重要だ。受信側（被害者の保護）としては、上流プロバイダーやCDN（Cloudflare等）のDDoS緩和サービスによるブラックホールルーティングやレートリミットが有効だ。インフラ側ではBCP38（ネットワークイングレスフィルタリング）を実装してIPスプーフィングパケットをネットワーク境界で廃棄することが根本的な解決につながる。

自社のDNSサーバーがオープンリゾルバーになっていないか定期的に確認すること。openresolver.comなどのツールで外部から診断できる。知らぬ間に踏み台にされると、被害組織から自社へのクレームや国際的なブラックリスト掲載のリスクがある。

実際にオープンリゾルバーとして悪用されたIPアドレスはShadowserverやCisco Umbrellaのブラックリストに掲載され、メール配信の遅延・ビジネスパートナーからの通信遮断といった二次被害を引き起こすことがある。定期的な外部診断とdeny recursion outside の設定確認をインフラ運用の標準作業に含めることを強く推奨する。

よくある誤解

DNSリフレクター攻撃は大企業だけが標的になるという誤解

攻撃の標的規模より「オープンリゾルバーが踏み台として使われるか否か」のほうが深刻な問題で、中小企業が管理するDNSサーバーがオープンリゾルバーのままだと、知らぬ間に世界規模の攻撃インフラの一部になる。被害者ではなく加害者側になるリスクがある。

DNSSECを導入すればDNSリフレクター攻撃を防げると思っていないか？

DNSSECはDNS応答の正真性を検証する技術であり、リフレクター攻撃への直接的な対抗手段ではない。むしろDNSSECの大きなレスポンスサイズが増幅率を高める要因になることもある。オープンリゾルバーの閉鎖とBCP38の実装が根本的な対策だ。

会話での使われ方

うちのDNSサーバーが踏み台になってるって、どうやって調べればいいですか？

中小企業のネットワーク管理者がセキュリティエンジニアにオープンリゾルバーの確認方法を質問している場面。

Cloudflareのレートリミットを入れてから大規模なDNSフラッドがほぼ全部吸収されるようになりました。

大規模サービスのインフラ担当者がDDoS緩和の効果を運用チームミーティングで報告している場面。

BCP38って実装してるISPが少なすぎて、根本解決には程遠いんですよね。

ネットワークセキュリティ研究者がカンファレンスのパネルディスカッションでIPスプーフィング対策の現状を議論している場面。

【まとめ】3つのポイント

小さなクエリを大量レスポンスに変換する増幅率が脅威の核心：ANY型クエリやDNSSECレスポンスを利用した70倍以上の増幅により、限られた帯域で巨大なDDoSを成立させる。
自社DNSサーバーのオープンリゾルバー化を防ぐことが最優先：再帰クエリ応答を自社ネットワーク内のIPに制限し、外部からの診断ツールで定期的に確認することが踏み台防止の基本。
BCP38によるIPスプーフィング遮断が根本的な解決策：ネットワーク境界でIPスプーフィングパケットを廃棄するインターネット全体での実装普及が、リフレクター攻撃撲滅の本質的なアプローチだ。

よくある質問

Q DNSリフレクター攻撃とDDoS攻撃の違いは何ですか？: A

DDoSは分散した多数の踏み台から標的に大量トラフィックを送る攻撃の総称であり、DNSリフレクター攻撃はDNSサーバーをリフレクター（反射板）として使うDDoSの特定手法です。IPスプーフィングによる増幅が特徴です。

Q オープンリゾルバーかどうかを確認する方法を教えてください。: A

openresolver.comやdnsinspect.comなどのWebツールで自社DNSサーバーのIPアドレスを入力するだけで診断できます。またdigコマンドでanyタイプのクエリを外部から送って応答が返るかで手動確認もできます。

Q DNSリフレクター攻撃を受けた場合の初動対応はどうすればいいですか？: A

まず上流ISPに帯域フィルタリングを依頼し、CDN・DDoS緩和サービスへのトラフィック迂回を検討します。並行してインシデントログを保全し、JPCERT/CCなどの公的機関への報告も行います。

Q DNSリフレクター攻撃とNTPリフレクター攻撃との違いは何ですか？: A

どちらも踏み台サーバーを使いIPスプーフィングで増幅させるリフレクター攻撃ですが、NTPリフレクターはNTPサーバーのmonlist機能を悪用し増幅率が最大556倍に達するとされており、DNSリフレクターの70倍を大幅に上回る点で脅威の規模が異なります。

この用語と一緒に知っておきたい用語

用語	この記事との関連
DNS	DNSは関連分野でよく登場する重要キーワードです。インターネット上でIPアドレス（例：192.168.1.1）をドメイン名（例：itkagyo.com）に変換する住所変換システムだよ
サーバー	サーバーを押さえると本記事の理解がさらに深まります。ネットワークを通じて情報やサービスを提供する側のコンピューターのこと。レストランで料理を運んでくれる給仕係（server）をイメージするとわかりやすいよ
オープンリゾルバ	本記事のテーマと実務上セットで使われることが多い用語です。インターネット上の誰からでも問い合わせに応答してしまう無防備なDNSサーバーのことだよ
クエリ	本記事のテーマと実務上セットで使われることが多い用語です。クエリの主要な特徴と用途を理解することで、関連する技術・制度・概念を正確に把握できるようになる
スプーフィング	次のステップとしてスプーフィングを学ぶと知識が広がります。悪意ある第三者が、正規のユーザーやコンピューターに「なりすます」詐欺行為のことだよ！

【出典】参考URL

https://www.cloudflare.com/learning/ddos/dns-amplification-ddos-attack/：Cloudflare — DNSアンプリフィケーション攻撃の解説
https://www.jpcert.or.jp/wr/2013/wr131101.html：JPCERT/CC — 2013年Spamhaus攻撃関連レポート