// シス担のミカタ
ネットワークセキュリティ

DDoS攻撃と対策 でぃーどすこうげきとたいさく

DDoSDoS攻撃サービス妨害ボットネットCDNWAF
DDoS攻撃と対策について教えて

簡単に言うとこんな感じ!

世界中の何万台ものパソコンが一斉に「アクセス!」を繰り返して、お店の入口を人で埋め尽くしちゃうイメージだよ。本物のお客さんが入れなくなる嫌がらせ攻撃なんだ。それを防ぐのが「DDoS対策」ってこと!

DDoS攻撃とは

DDoS(Distributed Denial of Service)攻撃とは、大量のアクセスをWebサイトやサーバーに集中させ、正規のユーザーがサービスを利用できなくする攻撃手法です。「分散型サービス拒否攻撃」とも呼ばれます。1台のコンピュータから行うものを DoS攻撃、複数台(多くは数万〜数百万台)から同時に行うものを DDoS攻撃 と区別します。

攻撃者はあらかじめマルウェアに感染させた多数のPCやIoT機器を乗っ取り、ボットネットと呼ばれる「踏み台の軍団」を作ります。この軍団に命令して標的のサーバーへ一斉に大量の通信を送りつけることで、サーバーのCPUや帯域が限界を超え、サービスがダウンします。

ショッピングサイトがダウンすれば売上ゼロ、金融機関がダウンすれば信用失墜と、ビジネスへの実害が直接的なため、企業が備えておくべき最重要脅威のひとつとされています。

DDoS攻撃の種類と仕組み

攻撃の種類標的しくみ具体例
帯域消費型(ボリューム型)ネットワーク回線膨大なデータを送りつけて回線を飽和させるUDPフラッド、ICMPフラッド
プロトコル型サーバー・ファイアウォールTCP接続の仕組みの隙を突くSYNフラッド、Ping of Death
アプリケーション型Webアプリ正規リクエストに見える攻撃で処理を使い尽くすHTTPフラッド、Slowloris

覚え方:「帯・プロ・アプリ」の3段構え

攻撃の種類は「域、プロトコル、アプリ」の3層で整理すると覚えやすいです。OSIモデルの下層から上層へと攻める種類が異なるイメージです。

攻撃規模の目安

  • 一般的な企業サーバーの帯域:1〜10 Gbps
  • 大規模DDoS攻撃の記録:3.47 Tbps(Microsoft Azure、2021年)
  • 準備なしでは大半の企業が 数十 Gbps で機能停止

歴史と背景

  • 1996年 — 最初期のDoS攻撃「SYNフラッド」が報告される
  • 1999年 — 「Trinoo」など初期ボットネットツールが登場し、DDoSが実用化される
  • 2000年 — Yahoo!、Amazon、eBayなど大手サイトが相次いでDDoS攻撃でダウン。世界的に注目を集める
  • 2007年 — エストニアへの大規模DDoS攻撃。政府・銀行・メディアが麻痺し、サイバー戦争として国際問題化
  • 2013年 — SpamhausへのDDoSが 300 Gbps を超え、当時の観測史上最大規模に
  • 2016年 — Mirai マルウェアがIoT機器を大量感染、1 Tbps超の攻撃を実現。DynのDNSサーバーが標的となりTwitter・Netflix等が影響を受ける
  • 2020年代 — クラウド普及により攻撃のコモディティ化が進む。「DDoS-as-a-Service(攻撃の請負サービス)」が闇市場で数千円から入手可能に

DDoS対策の全体像

DDoS攻撃への対策は「攻撃を受ける前」「攻撃を受けたとき」の2段階で考えます。

DDoS対策レイヤー全体図 ① ネットワーク層対策(上流でブロック) ISP / CDN / クラウドスクラビングセンターで大量トラフィックを吸収・遮断 ② エッジ層対策(入口でフィルタ) CDN・WAF・Anycastルーティングで攻撃IPを識別・フィルタリング ③ アプリ層対策(正規か判定) レートリミット・CAPTCHAチャレンジ・Bot管理ツールで正規ユーザーを通す ④ 運用対策(検知・切替・復旧) 監視アラート設定・攻撃時のIP遮断手順・BCP(事業継続計画)整備 実務での選択肢(発注・選定のポイント) • Cloudflare / AWS Shield / Azure DDoS Protection • 国内ISPのスクラビングサービス(NTT・IIJ等)

主要な対策手段の比較

対策手段特徴向いているケース
CDNCloudflare等)世界中にサーバーを分散、攻撃を分散吸収Webサイト・ECサイト全般
クラウド型DDoS対策サービス専門業者が24時間監視・自動遮断金融・医療など止められないシステム
ISPスクラビング上流で汚染トラフィックを洗浄して届けるオンプレミスサーバーが残っている場合
WAF(Web Application Firewall)アプリ層の不正リクエストをルールで遮断アプリケーション型DDoSに有効
レートリミットIPごとのアクセス数を上限設定低コストでできる初歩的対策

関連する規格・RFC

規格・RFC番号内容
RFC 4732インターネットサービスへのDDoS脅威の概要
RFC 5635リモートトリガードブラックホールフィルタリング(RTBH)の仕様
RFC 8811DDoS Open Threat Signaling(DOTS)アーキテクチャ
RFC 8903DOTS(攻撃情報共有)のユースケース

関連用語

  • DoS攻撃 — 1台のコンピュータからサービス妨害を行う攻撃。DDoSの前身
  • ボットネット — マルウェアに感染した機器の集合体。DDoS攻撃の実行基盤
  • WAF — Webアプリケーションへの不正アクセスをフィルタするファイアウォール
  • CDN — コンテンツを世界中に分散配信する仕組み。DDoS吸収にも有効
  • ゼロデイ攻撃 — 未修正の脆弱性を突く攻撃。DDoSと組み合わせて使われることも
  • BCP(事業継続計画) — 障害・攻撃発生時に業務を継続するための計画