Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 924

Responder 攻撃

Responder 攻撃 とは何ですか?

Responder 攻撃Laurent Gaffie 氏の Responder を用いて LLMNR・NBT-NS・mDNS をポイズニングし、不正な認証サーバーを立ち上げて、ローカルネットワーク上の NTLM 認証情報を収集・リレーする攻撃。

Responder は Python 製ツールで、LLMNR・NBT-NS・mDNS・DHCPv6 のポイズニングと、SMB・HTTP・FTP・MSSQL・LDAP・WPAD・プロキシなどの不正認証サーバーを統合しています。被害者がホスト名を打ち間違えたり、共有設定が誤っていたりすると、Responder が応答して認証を引き起こし、NTLMv1/NTLMv2 のチャレンジ・レスポンスハッシュを収集し、hashcat や john でオフラインクラックします。analyse モードでは受動的に動作し、-wf オプションで悪意ある WPAD サーバーを起動します。Impacket の ntlmrelayx と組み合わせれば、捕獲した認証をそのまま NTLM リレーに流せます。防御側は GPO で LLMNR と NBT-NS を無効化し、SMB および LDAP の署名を強制し、Extended Protection for Authentication を導入し、不正な L2 接続を排除するためネットワークをセグメント化します。

  1. 01

    社内ペンテストで Responder を実行し、LAN に参加して数分で数十件の NTLMv2 ハッシュを収集する。

  2. 02

    Responder の WPAD モジュールと ntlmrelayx を連携させ、ブラウザ起点の NTLM 認証を社内 Web アプリへリレーする。

よくある質問

Responder 攻撃 とは何ですか?

Laurent Gaffie 氏の Responder を用いて LLMNR・NBT-NS・mDNS をポイズニングし、不正な認証サーバーを立ち上げて、ローカルネットワーク上の NTLM 認証情報を収集・リレーする攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

Responder 攻撃 とはどういう意味ですか?

Laurent Gaffie 氏の Responder を用いて LLMNR・NBT-NS・mDNS をポイズニングし、不正な認証サーバーを立ち上げて、ローカルネットワーク上の NTLM 認証情報を収集・リレーする攻撃。

Responder 攻撃 はどのように機能しますか?

Responder は Python 製ツールで、LLMNR・NBT-NS・mDNS・DHCPv6 のポイズニングと、SMB・HTTP・FTP・MSSQL・LDAP・WPAD・プロキシなどの不正認証サーバーを統合しています。被害者がホスト名を打ち間違えたり、共有設定が誤っていたりすると、Responder が応答して認証を引き起こし、NTLMv1/NTLMv2 のチャレンジ・レスポンスハッシュを収集し、hashcat や john でオフラインクラックします。analyse モードでは受動的に動作し、-wf オプションで悪意ある WPAD サーバーを起動します。Impacket の ntlmrelayx と組み合わせれば、捕獲した認証をそのまま NTLM リレーに流せます。防御側は GPO で LLMNR と NBT-NS を無効化し、SMB および LDAP の署名を強制し、Extended Protection for Authentication を導入し、不正な L2 接続を排除するためネットワークをセグメント化します。

Responder 攻撃 からどのように防御しますか?

Responder 攻撃 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

Responder 攻撃 の別名は何ですか?

一般的な別名: Responder ツール攻撃, LLMNR/NBT-NS ポイズナー。

関連用語