DDoS攻撃 でぃーどすこうげき
簡単に言うとこんな感じ!
世界中にいる何万台ものコンピューターが一斉に「アクセス!」ってお店に押しかけて、正しいお客さんが入れなくするイタズラだよ。入口をわざと詰まらせてWebサイトをダウンさせちゃう攻撃なんだ!
DDoS攻撃とは
DDoS攻撃(Distributed Denial of Service attack/分散型サービス妨害攻撃)とは、大量のコンピューターから標的のサーバーやネットワークに向けて一斉に膨大なリクエストを送りつけ、正規のユーザーがサービスを利用できない状態にするサイバー攻撃の一種です。「Distributed(分散した)」という名が示すとおり、世界中に散らばった多数の端末を踏み台として使うのが最大の特徴です。
DoS攻撃(Denial of Service)が1台のコンピューターから行われるのに対し、DDoS攻撃はボットネット(攻撃者に乗っ取られた無数のPCやIoT機器の集合体)を使って分散させます。そのため攻撃元のIPアドレスを1つ遮断しても意味がなく、防御が格段に難しいのです。
企業のECサイトや行政サービス、金融機関のオンラインバンキングなど「止まると困る」システムが狙われやすく、ビジネス機会の損失・信頼失墜・復旧コストといった深刻な被害をもたらします。情報漏えいを伴わない場合でも、組織に多大なダメージを与える重大なセキュリティ脅威です。
DDoS攻撃の種類と仕組み
DDoS攻撃は「どのレイヤーに何を送りつけるか」で大きく3種類に分けられます。
| 種類 | 標的レイヤー | 代表的手法 | イメージ |
|---|---|---|---|
| 帯域幅消費型(ボリューム型) | ネットワーク回線 | UDPフラッド、ICMPフラッド、DNSアンプ | 道路を大型トラックで埋め尽くして渋滞させる |
| プロトコル攻撃型 | OSI第3〜4層(TCP/IPスタック) | SYNフラッド、Ping of Death | 店の呼び鈴を鳴らしっぱなしにして店員を占拠する |
| アプリケーション層攻撃型 | OSI第7層(HTTP等) | HTTPフラッド、Slowloris | 注文だけして料理を受け取らない客が列をなす |
攻撃の流れ:ボットネットとは
攻撃者は事前に大量のPC・スマートフォン・ルーター・監視カメラなどのIoT機器をマルウェアに感染させ、C2サーバー(Command & Control Server)から一斉に命令を下せる状態にしておきます。これがボットネットです。利用者は自分の機器が踏み台にされていることにほとんど気づきません。
攻撃者
│
└─→ C2サーバー(命令塔)
│
├─→ ボット端末A(感染済みPC) ─┐
├─→ ボット端末B(感染済みIoT) ─┼─→ 標的サーバー ← ダウン!
├─→ ボット端末C(感染済みスマホ)─┘
└─→ …(数万〜数十万台)DDoSとDoSの違い
| 比較項目 | DoS攻撃 | DDoS攻撃 |
|---|---|---|
| 攻撃元 | 1台 | 多数(分散) |
| 遮断の難易度 | 比較的容易 | 非常に困難 |
| 攻撃規模 | 小〜中 | 中〜超大規模 |
| 主な防御策 | IPブロック | CDN・専用対策サービス |
歴史と背景
- 1990年代後半:DoS攻撃が登場。単一IPからの大量リクエストで初期Webサーバーをダウンさせる手法が現れる
- 2000年2月:初の大規模DDoS攻撃が発生。Yahoo!・Amazon・CNN・eBayなど大手サイトが相次いでダウン。当時16歳のカナダ人少年が逮捕され世界に衝撃を与える
- 2007年:エストニアへの国家規模DDoS攻撃。政府・銀行・メディアサイトが数週間にわたり機能不全に(初の「サイバー戦争」とも呼ばれる)
- 2010年代前半:IoTデバイスの普及でボットネットが超大規模化。「Mirai」マルウェアが登場
- 2016年10月:Miraiボットネットによる史上最大級のDDoS攻撃。DNSプロバイダーのDyn社が標的となりTwitter・Netflix・Spotifyなど大量のサービスが同時ダウン。攻撃規模は1.2Tbps超
- 2020年代:クラウドや5G普及で攻撃の大規模化・低コスト化が加速。「DDoS-as-a-Service(攻撃代行サービス)」が闇市場で流通するようになる
DDoS攻撃への対策と関連技術
DDoS攻撃は「完全に防ぐ」ことが難しく、いかに影響を最小化するか(緩和策)が実務上の焦点です。
主な対策手法の比較
| 対策 | 概要 | 向いている攻撃タイプ | 導入コスト |
|---|---|---|---|
| CDN利用 | 世界中のエッジサーバーで分散吸収 | ボリューム型全般 | 中〜高 |
| WAF | 不正なHTTPリクエストをフィルタリング | アプリケーション層型 | 中 |
| レートリミット | 同一IPからのリクエスト数を制限 | HTTPフラッド | 低 |
| BGPブラックホール | 攻撃トラフィックごと特定IPを破棄 | 大規模ボリューム型 | ISP依存 |
| スクラビングセンター | 専用施設で正常/攻撃トラフィックを選別 | 全タイプ | 高 |
| Anycasting | 複数拠点でIPを共有し攻撃を分散 | ボリューム型 | 高 |
実務上の注意点
発注者・システム担当者が押さえておきたいポイントは次の3つです。
- SLA(サービスレベル合意)の確認:クラウド事業者やホスティング会社との契約で「DDoS対策の有無・保証内容」を必ず確認する
- 対策は外側から多層に:1つの手段で完璧には防げない。CDN+WAF+ファイアウォールを組み合わせる多層防御が基本
- インシデント対応計画の整備:攻撃を受けたとき「誰が・何を・どの順に」対応するかを事前に文書化しておく(BCP/DRPの一部として)
関連する規格・参考情報
| 規格・文書 | 内容 |
|---|---|
| NIST SP 800-61 | コンピューターセキュリティインシデント対応ガイド |
| RFC 4732 | インターネットのサービス妨害攻撃に関する考察 |
| RFC 3882 | BGPを用いたDDoSトラフィック遮断(ブラックホールルーティング) |
| IPA「DDoS攻撃対策」 | 独立行政法人情報処理推進機構による国内向け解説資料 |