フラグル攻撃とは？ 10分でわかりやすく解説

Unsplashのmossが撮影した写真      

フラグル（Fraggle）攻撃は、UDP通信を悪用した増幅型のDDoS攻撃の一種です。古い仕組みや設定が残っているネットワークでは、意図せず「踏み台」になり、第三者への大規模攻撃に加担してしまう恐れがあります。この記事では、フラグル攻撃の特徴、成立条件、対策を整理します。

フラグル攻撃とは？

フラグル攻撃は、UDPの特性と「ブロードキャスト（同一ネットワーク内に一斉送信）」を悪用して、応答トラフィックを増幅させるDDoS手法として知られます。攻撃者は送信元を偽装（スプーフィング）し、被害者へ大量の応答が集中するように仕向けます。

フラグル攻撃で起こり得ること

• ネットワーク帯域や回線が飽和し、サービスが利用できなくなる
• ルータ・FW・サーバー等に負荷が集中し、遅延や停止が起こる
• 脆弱な設定が残ると、自組織が踏み台として悪用される

フラグル攻撃の特徴

UDPを悪用した増幅

UDPはコネクションレスであるため、攻撃者は送信元IPを偽装しやすい場面があります。これにより、被害者へ応答が集中する構図が成立します。

古い環境ほど「踏み台」化しやすい

ブロードキャスト応答を許している、あるいは不要なUDPサービスが露出している環境では、攻撃トラフィックの増幅に使われる恐れがあります。現在の一般的な設計では避けられる設定でも、移行の積み残しで残っていることがあります。

フラグル攻撃への対策

ブロードキャストへの不要な応答を抑止する

ネットワーク機器の設定やフィルタリングで、外部からのブロードキャストを起点にした不適切な応答が起きないようにします。古い設定が残っていないかを点検することが重要です。

送信元IPスプーフィングを前提に防御する

• 入口・出口のフィルタリング（なりすましの送出を抑止）
• 不要なUDPサービスの停止・閉塞
• DDoS対策サービスや上流対策の利用

可視化と監視

UDPトラフィックの急増、特定ポートの異常、外向きの不自然な応答増加などを監視し、踏み台化の兆候を早期に検知できる状態にします。

まとめ

フラグル攻撃は、UDPとブロードキャストを悪用して応答を増幅させるDDoS手法です。被害者側としての対策だけでなく、自組織が踏み台として悪用されないよう、古い設定の点検、不要なサービスの閉塞、送信元スプーフィング対策、監視を組み合わせることが重要です。

よくある質問（FAQ）

Q. フラグル攻撃はDDoS攻撃ですか？

はい。増幅を利用して大量のトラフィックを集中させるDDoSの一種です。

Q. TCPではなくUDPが狙われるのはなぜ？

UDPはコネクションレスで、送信元偽装が成立しやすい場面があるためです。

Q. 自社が被害者になるケースと踏み台になるケースは違いますか？

違います。被害者は攻撃トラフィックの集中先、踏み台は増幅の発生源として悪用されます。

Q. まず何を点検すべきですか？

不要なUDPサービスの露出、古いブロードキャスト関連設定が残っていないかを点検します。

Q. フィルタリングはどこに入れるべきですか？

入口・出口の両方が重要です。特に送信元偽装の送出を抑える出口対策は効果が出ます。

Q. 上流（ISP側）の対策は必要ですか？

規模が大きい攻撃では必要になる場合があります。DDoS対策サービス等の検討が有効です。

Q. 監視では何を見ればよいですか？

UDPトラフィックの急増、特定ポートの異常、外向き応答の不自然な増加を重点的に見ます。

Q. 古い機器が残っていると危険ですか？

危険度が上がります。設定が現代の前提と合わず、踏み台化の原因になり得ます。

Q. WAFで防げますか？

フラグル攻撃はネットワーク層のトラフィック増幅が中心のため、WAF単体では防げません。

Q. 被害が疑われる場合の初動は？

回線・機器負荷の状況確認、対象トラフィックの遮断・制限、ログ保全と関係者連携を優先します。