IT用語集 2024/11/29

フラグル攻撃とは？ 10分でわかりやすく解説

コラム

Unsplashのmossが撮影した写真

フラグル攻撃は、UDPとブロードキャスト応答を悪用して通信を増幅させる、古い型のDDoS攻撃です。攻撃者は送信元を偽装し、被害者に大量の応答が集中するように仕向けます。現在の一般的なネットワークでは成立しにくくなっていますが、古い設定や不要なUDPサービスが残っている環境では、自組織が被害者になるだけでなく、第三者攻撃の踏み台にされる余地が残ります。

フラグル攻撃とは？

フラグル攻撃は、UDPベースの増幅型攻撃として知られています。構図は Smurf 攻撃に近く、ICMPではなくUDPの応答を使う点が違いです。典型例では、攻撃者が送信元を被害者のIPアドレスに偽装し、ネットワーク内の多数ホストが一斉に応答するような通信を発生させます。その結果、被害者の回線や機器に大量の応答トラフィックが集中します。

特に問題になるのは、外部からの directed broadcast や、UDP Echo、CHARGEN などの古い小規模サービスが残っている環境です。こうした条件がそろうと、攻撃者自身が大きな通信量を持たなくても、応答側のネットワークを使ってトラフィックを膨らませやすくなります。

フラグル攻撃で起こり得ること

回線帯域が飽和し、外部公開サービスや社内通信が不安定になる
ルータ、ファイアウォール、サーバーに負荷が集中し、遅延や停止が起きる
古い設定が残ると、自組織が踏み台攻撃の発生源として悪用される

被害の見え方は二つあります。ひとつは自組織のサービスが攻撃対象になるケース、もうひとつは自組織のネットワークから大量の応答が出て、第三者への攻撃に加担するケースです。後者は気付きにくいため、外向きトラフィックの監視が重要になります。

フラグル攻撃の成立条件

フラグル攻撃は、いまの標準的な設計では成立しにくい部類に入ります。逆に言うと、次のような条件が残っていると危険度が上がります。

送信元偽装が通る	IPスプーフィングを前提にしているため、入口または出口で偽装パケットを十分に絞れていないと成立しやすくなります。
ブロードキャスト応答が残る	外部からの directed broadcast や、それに準じる古い挙動を許す設定が残っていると、応答が増幅しやすくなります。
不要なUDPサービスが露出している	UDP Echo や CHARGEN など、古い小規模サービスが有効なままだと、増幅の材料にされる余地が残ります。

フラグル攻撃の特徴

UDPを悪用した増幅

UDPはコネクションレスであるため、送信元偽装を伴う攻撃で悪用されやすい面があります。フラグル攻撃では、この性質を使って被害者に応答を集中させます。攻撃者から見れば、少ない送信で大きい応答を引き出せる点が問題です。

古い環境ほど踏み台化しやすい

現在の機器や設計では、外部からのブロードキャストや小規模UDPサービスは無効化されていることが多くなっています。一方で、移行時の積み残しや、長期間見直していない機器では、古い前提がそのまま残ることがあります。フラグル攻撃は、こうした残存設定を突きます。

被害者対策と踏み台対策を分けて考える必要がある

フラグル攻撃では、自組織が被害者になる対策と、自組織が増幅元にならない対策を分けて考えた方が整理しやすくなります。回線防御、上流対策、トラフィック制限は被害者側の論点です。不要サービス停止、ブロードキャスト抑止、出口フィルタリングは踏み台化防止の論点です。

フラグル攻撃への対策

ブロードキャストへの不要な応答を抑止する

ルータやL3機器で、外部からの directed broadcast を許していないかを確認します。古い設定を引き継いでいる機器では、明示的な無効化設定が必要になる場合があります。現在のネットワークでも、運用変更の途中で例外設定が残っていないかを見る価値があります。

不要なUDPサービスを停止する

UDP Echo、CHARGEN などの小規模サービスは、用途がないなら停止した方が安全です。サービスそのものを使っていなくても、有効なまま残っていると増幅に使われる余地が残ります。機器だけでなく、古いOSや組み込み機器も対象に含めて点検した方が見落としを減らせます。

送信元IPスプーフィングを前提に防御する

入口と出口のフィルタリングで、偽装パケットの通過や送出を抑える
不要なUDPポートを閉じる
外部公開範囲を見直し、増幅に使われる面を減らす

特に出口対策は見落とされやすい部分です。自組織から送信元偽装パケットを外へ出さない設計は、他者への加害防止に直結します。

可視化と監視

監視では、UDPトラフィックの急増、特定ポートへの偏り、外向き応答の不自然な増加を重点的に見ます。単に受信量だけを見るのではなく、「なぜ外向き応答が増えているのか」まで追えるようにしておくと、踏み台化の兆候に気付きやすくなります。

大規模攻撃では上流対策も検討する

攻撃規模が大きい場合、社内機器だけで吸収するのは難しくなります。回線事業者やDDoS対策サービスと連携し、上流での緩和や遮断を検討する方が現実的な場面があります。フラグル攻撃は古い手法ですが、回線が細い拠点や残存設定がある環境では、いまでも影響が出る余地があります。

初動で見るべきこと

被害側の確認	回線使用率、機器負荷、特定UDPポートへの集中、サービス停止の有無を確認します。
踏み台化の確認	外向き応答トラフィックが急増していないか、特定ポートからの大量応答が出ていないかを確認します。
封じ込め	不要サービス停止、ACLやフィルタ適用、対象トラフィックの制限を優先します。
記録保全	ログ、フロー情報、設定変更前後の状態を残し、後続調査に備えます。

まとめ

フラグル攻撃は、UDPとブロードキャスト応答を悪用して通信を増幅させる古い型のDDoS手法です。いまの一般的な設計では成立しにくくなっていますが、古い設定や不要なUDPサービスが残る環境では、被害者になるだけでなく踏み台として悪用される余地が残ります。対策の軸は四つです。ブロードキャスト応答を抑えること、不要なUDPサービスを止めること、送信元偽装を前提に入口と出口を絞ること、そして外向き異常通信を監視することです。