さくらインターネットから、次のメールが届きました。内容は、ntpd の monlist 機能を使ったDDoS 攻撃に関する注意喚起とするもの。

（以下原文）

平素より弊社のサービスをご利用いただき誠にありがとうございます。

以下のサービスにおきまして、NTP（Network Time Protocol）の脆弱性を 悪用したNTPリフレクション攻撃の事象が多く確認されており、コンピュータ セキュリティ関連の情報発信などを行うJPCERTコーディネーションセンター からも注意喚起が発表されています。

　▼対象サービス 　　・さくらのVPS 　　・さくらのクラウド 　　・さくらの専用サーバ 　　・専用サーバ 　　・専用サーバPlatform

　▼JPCERTコーディネーションセンター 　　「ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起」 　　http://www.jpcert.or.jp/at/2014/at140001.html

お客様におかれましては、ntpdへの適切なアクセス制限が設定されているかを 今一度ご確認いただき、不正に利用されないよう対策をお願いいたします。 なお、対策の一例として詳細情報をご案内いたしますのでご参照ください。

■対策方法の一例

　・ntpdの設定変更     ntp.conf 内に「restrict」を追加してアクセス制限を行う    「disable monitor」を追加して monlist 機能を無効にする

   ［restrict の設定例］     restrict default ignore     restrict -6 default ignore     restrict 127.0.0.1     restrict ntp1.sakura.ad.jp kod nomodify notrap nopeer noquery     server ntp1.sakura.ad.jp

　・NTPを使用されていない場合は、NTPの停止または削除

さくらインターネットでは、今後もよりよいサービスの提供が行えますよう、 精一杯努めて参ります。 引き続き変わらぬご愛顧を賜りますようお願い申し上げます。 （ここまで）

ntpサーバーを介したネットワークへの攻撃のようです。自身のサーバーがntpのサービスが行われているか確認したところ、

ntpd            0:off   1:off   2:on    3:on    4:on    5:on    6:off

絶賛稼働中でした。リンク先のjpcertのサイトによれば、今回の攻撃は、4.2.7 より前のバージョン（安定版の 4.2.6.x ）は全て影響を受けるとのことです。

とりあえずの対策として、jpcertのサイトにある「ntpdの設定変更」を行いました。

vi /etc/ntpd.conf

最終行に 「disable monitor」を追加しファイルを上書き保存。これにより、monlist 機能を無効化。

ntp.conf 内に「restrict」を追加してアクセス制限を行う、ともありましたので、confファイルの内容を確認すると、

Permit time synchronization with our time source, but do not

permit the source to query or modify the service on this system.

restrict default ignore restrict -6 default ignore restrict ntp1.sakura.ad.jp kod nomodify notrap nopeer noquery

Permit all access over the loopback interface.  This could

be tightened as well, but to do so would effect some of

the administrative functions.

restrict 127.0.0.1 restrict -6 ::1

メールに書かれている対策例になっていました。ぶっちゃけ、時間の正確性を問うようなサイトを運営しているわけではないので、サービス停止してもいいんですけど。

先日、会社のサーバーがリクエストが集中してアクセスできなくなったのも、今回の攻撃が影響しているのかもしれないとふと思いました。