近年，DNSアンプ攻撃による被害が深刻化しており，早急な対策が求められている．我々は，DNSアンプ攻撃を観測する手法としてDNSハニーポットを提案し，DNSアンプ攻撃の観測・分析を行っている．DNSアンプ攻撃では通信を増幅するためにインターネット上のオープンリゾルバが用いられるため，攻撃者は広範囲なスキャンによりオープンリゾルバを探索することが予想される．しかし，DNSハニーポットは，DNSサーバとして動作するための運用コストが高く，大規模な観測に不向きであるため，攻撃者によるスキャン活動の全体的な傾向を把握することが困難である．本論文では，DNSハニーポットが観測したDNSアンプ攻撃と，広範囲のアドレス空間を監視するダークネットセンサが観測したスキャン活動を突合し，その相関を分析する．分析の結果，分析対象期間内にDNSハニーポットで観測された33個の攻撃用ドメイン名のうち87%にあたる29個のドメイン名は，攻撃と同一のドメイン名を用いたスキャン活動がダークネットセンサでも観測され，そのうち22個のドメイン名は，DNSアンプ攻撃が観測される1日以上前に，同様のスキャン活動がダークネットセンサでも観測された．本分析結果は，スキャン情報を用いたDNSアンプ攻撃の早期対策技術への応用に期待できる．

In recent years, problems posed by DNS amplification attacks have become serious and there is a compelling need for effective countermeasures. We have proposed DNS honeypot, a method for observing DNS amplification attacks, and have been conducting the observation and analysis of DNS amplification attacks. In order to conduct DNS amplification attacks, attackers need to know where open resolvers are and therefore it is expected that they conduct network scans for finding open resolvers before conducting amplification attacks. However, since a DNS honeypot requires operational costs to work as a DNS server and it is unfit for large-scale monitoring, it is difficult to grasp the trends of scans for open resolvers by DNS honeypots. In this paper, we compare the DNS amplification attacks that DNS honeypot observed with the scans that darknet sensor observed, and analyze the correlation between them. As a result, out of 33 domain names used for DNS amplification attacks that DNS honeypots observed during the analysis period, 29 domain names (87%) were used for scans that darknet sensor observed, and 22 domain names out of them were observed by darknet sensor one or more days before the actual attacks occurred. From this result, it can be expected to develop proactive countermeasures against DNS amplification attacks using scan information.