DoS攻撃 どすこうげき
簡単に言うとこんな感じ!
お店の前に大勢の人が押し寄せて、本当のお客さんが入れなくなる状態を想像してみて!DoS攻撃はそれと同じで、サーバーに大量のリクエストを送りつけて、正規のユーザーが使えなくする嫌がらせ攻撃なんだ!
DoS攻撃とは
DoS攻撃(Denial of Service attack/サービス拒否攻撃)とは、標的のサーバーやネットワーク機器に対して意図的に大量のトラフィックやリクエストを送り込み、正規のユーザーがサービスを利用できない状態に追い込むサイバー攻撃の一種です。「DoS」は「Denial of Service(サービスの拒否)」の略で、その名の通りサービスを”拒否”させることが目的です。
情報セキュリティの世界では、守るべき3要素として**CIA(機密性・完全性・可用性)が知られていますが、DoS攻撃はこのうち可用性(Availability)**を破壊することを狙っています。データを盗む・改ざんするのではなく、「使えなくする」ことで被害を与える点が特徴的です。
ECサイトがダウンして売上がゼロになる、行政の窓口システムが止まって市民サービスが提供できなくなるなど、事業継続そのものを脅かす深刻な攻撃です。ランサムウェアと組み合わせた「攻撃を止めてほしければ金を払え」という脅迫にも使われます。
DoS攻撃の種類と仕組み
DoS攻撃にはいくつかのアプローチがあり、攻撃対象のリソース(帯域・CPU・メモリ)を枯渇させる方法で分類できます。
| 種類 | 攻撃対象リソース | 代表的な手法 | 概要 |
|---|---|---|---|
| フラッド攻撃 | ネットワーク帯域 | UDPフラッド・ICMPフラッド | 大量のパケットを送りつけて回線を埋め尽くす |
| SYN フラッド | サーバーのメモリ | TCP SYN フラッド | 接続要求(SYN)だけを大量に送り、接続テーブルを溢れさせる |
| アプリ層攻撃 | CPU・アプリ処理 | HTTP フラッド(GETフラッド) | 正規リクエストに見せかけて処理を無限に消費させる |
| 脆弱性悪用型 | CPU・OS | Ping of Death・Teardrop | バグを突いてシステムをクラッシュさせる |
| 増幅攻撃 | ネットワーク帯域 | DNS増幅・NTP増幅 | 応答サイズの大きいプロトコルを利用して攻撃を増幅する |
覚え方:「DoSは”どす”を突きつけて店を閉めさせる」
「どす(DoS)」という読み方そのままに、「どすを突きつけて営業妨害する」とイメージすると覚えやすいです。正面から技術を盗む攻撃ではなく、「とにかく業務を止める」という嫌がらせ型の攻撃です。
DoS vs DDoS の違い
DDoS攻撃(Distributed DoS/分散型DoS攻撃)は、DoS攻撃を複数の踏み台マシン(ボットネット)から同時に行うものです。
DoS攻撃(1台から) DDoS攻撃(多数から)
攻撃者PC ──────→ 標的 ボットPC1 ──┐
ボットPC2 ──┼──→ 標的
ボットPC3 ──┘
(数万台規模になることも)1台からの攻撃はIPブロックで対処できますが、DDoSは送信元が世界中に分散しているため対処が格段に難しくなります。現在のサイバー攻撃の多くはDDoS形式です。
歴史と背景
- 1988年 — Morris Worm がインターネット上で広まり、副産物として初の大規模DoS状態を引き起こす(意図的ではなかったが先駆け的事例)
- 1996年 — SYN フラッド攻撃が初めて大規模に観測される。TCP の設計上の弱点を突いた攻撃として注目される
- 2000年 — Yahoo!・Amazon・eBay・CNN などの大手サイトを狙った大規模DDoS攻撃が連続発生。世界中で報道され「DDoS」という言葉が一般に広まる
- 2007年 — エストニアへの大規模DDoS攻撃。政府・銀行・メディアのサイトが軒並みダウン。国家間サイバー戦争の文脈で語られる最初の事例の一つ
- 2012〜2013年 — 銀行・金融機関を狙ったDDoS攻撃が急増。攻撃規模が数十〜数百Gbpsに達する
- 2016年 — Mirai ボットネットがIoT機器を大量感染させ、DynのDNSサービスに大規模DDoS攻撃。Twitter・GitHub・Netflixなどが一時的に利用不能に
- 2020年代〜 — クラウド型DDoS対策サービスが普及。攻撃の大規模化(Tbpsクラス)と防御技術の高度化が続いている
DoS攻撃への対策と関連技術
DoS/DDoS攻撃への対策は「検知」「緩和」「吸収」の3段階で考えます。
実務での判断ポイント
自社のシステムを守るうえで、DoS/DDoS対策を選定する際のチェックポイントをまとめます。
| チェック項目 | 対策の方向性 |
|---|---|
| 自社サーバーへの直接アクセスを減らしたい | CDNやリバースプロキシの導入 |
| 大規模攻撃(100Gbps超)を想定している | クラウド型DDoS対策サービスの契約 |
| アプリ層(HTTP)の攻撃を防ぎたい | WAF(Web Application Firewall)の導入 |
| コストを抑えたい | Cloudflare無料プランなど最低限の対策から開始 |
| SLA(稼働率保証)が必要なビジネス | ISP上流でのブラックホールルーティングも契約検討 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 4732 | インターネットのサービス拒否攻撃に関する考察(DoS攻撃の定義・分類・対策の整理) |
| RFC 4987 | TCPのSYNフラッド攻撃とIPスプーフィングへの対処法 |
| RFC 5635 | BGPを用いたリモートトリガーブラックホール(RTBH)フィルタリング |
| RFC 3704 | マルチホーム環境における入口フィルタリング(IPスプーフィング対策) |
関連用語
- DDoS攻撃 — 複数の踏み台から同時に行う分散型のDoS攻撃
- ボットネット — マルウェアに感染した端末の集合体。DDoS攻撃の踏み台に使われる
- ファイアウォール — 不正なトラフィックを遮断するネットワークの関所
- WAF — Webアプリケーションへの攻撃を防ぐ特化型ファイアウォール
- CDN — コンテンツを世界中に分散配置してトラフィックを分散させる仕組み
- IPS/IDS — 不正侵入を検知・防止するセキュリティシステム
- 可用性 — 情報セキュリティの3要素CIAの一つ。サービスが使える状態を保つこと
- ランサムウェア — データを暗号化して身代金を要求するマルウェア。DDoS脅迫と組み合わせられることも