突然サイトが重い、決済が通らない——それ、DDoS攻撃かもしれません。
攻撃は今やTbps級の規模とL7の巧妙さで、ECやAPIを狙い売上と信用を直撃します。
本記事では、DDoS攻撃の仕組みと前兆、最新の被害傾向、今すぐできる多層防御と緊急対応を、初心者にもわかる言葉で要点だけ解説します。
この記事は以下のような人におすすめ!
- DDos攻撃とは何か具体的な仕組みが知りたい人
- DDos攻撃とはどのような種類があるのかわからない
- 自社費用に合う現実的な対策が知りたい
DDoS攻撃とは何か
DDoS攻撃は、オンラインサービスやWebサイトに対して大量のアクセスを同時に送り込み、正規ユーザーの利用を妨げる攻撃です。
つまり、道路に一斉に車が流れ込み渋滞が起きるように、サーバーやネットワークの“通り道”を塞いでしまいます。
なぜなら、サーバーや回線には処理できる上限があり、それを超えるリクエストが来ると応答が遅くなったり停止したりするからです。
したがって、DDoS攻撃は売上・顧客体験・業務継続に直結する深刻なリスクとして、早期理解と備えが欠かせません。
代表的に狙われる資源は次のとおりです。
- 回線帯域(大量トラフィックで飽和させる)
- ネットワーク機器やOSのセッション数(接続枠を使い切らせる)
- アプリケーションの計算資源(CPU・メモリ・DB接続を枯渇させる)
その結果、ページが開かない、決済が通らない、APIがタイムアウトするなどの障害が発生します。
1-1. DDoS攻撃の定義:DoSとの違い
まず前提として、DoS攻撃は「単一の攻撃元から行われるサービス妨害」、DDoS攻撃は「Distributed(分散型)=多くの攻撃元から同時に行われるDoS攻撃」を指します。
ここが最大の違いです。だからこそ、DDoS攻撃は規模が大きく、遮断や追跡が難しくなります。
基本の押さえどころ
- DoS攻撃:1台(または少数)の端末から大量リクエストや不正パケットを送る。
- DDoS攻撃:多数の端末(ボットネット)や踏み台サーバーを使い、同時多発で攻撃する。
- ボットネット:マルウェア感染端末やIoT機器が遠隔操作の“群れ”となったもの。
- リフレクション/アンプリフィケーション:DNSやNTPなどのプロトコルを悪用し、少ない送信で大きな応答を被害者に“反射”させる手法。
- 層別の攻撃:
- L3/4(ネットワーク・トランスポート層):SYN flood、UDP flood などで帯域やセッションを枯渇。
- L7(アプリ層):特定URLや検索機能など“重い処理”を狙ってサーバー資源を圧迫。
DoS と DDoS の違い(要点比較)
| 観点 | DoS攻撃 | DDoS攻撃 |
|---|---|---|
| 攻撃元 | 単一または少数 | 世界中に分散(ボットネット・踏み台) |
| 規模 | 中〜小規模になりやすい | 大規模・継続的になりやすい |
| 検出難易度 | 比較的低い(パターンが単純) | 高い(トラフィックが多様で正規混在) |
| 遮断 | 元IPをブロックで効く場合あり | IP分散・反射で単純遮断が効きにくい |
| 代表手法 | SYN/UDP flood など | リフレクション、アンプリファイ、L7高負荷攻撃 など |
| 目的 | 一時的な妨害 | 長時間の停止、金銭・政治的圧力、身代金要求 等 |
つまり、DDoS攻撃は“量”と“分散”で守りの穴を突くのが本質です。
したがって、単純なアクセス制限だけで防ぎ切るのは難しく、回線・ネットワーク・アプリケーションという多層での対策が必要になります。
1-2. 攻撃がもたらす影響:サービス停止・ブランドリスクなど
DDoS攻撃の影響は「つながらない」だけではありません。ビジネス・技術・法務の各面に波及します。
以下に整理します。
直接的な影響
- サービス停止・遅延:ECのカート、予約、ログイン、APIが利用不能。
- 売上損失:ピーク時間帯の停止は機会損失が大きい。
- 業務中断:サポート窓口・バックオフィスも問合せ急増で機能不全。
- インフラコスト増:スケールアウトや過剰トラフィックでコストが跳ね上がる。
間接・二次的な影響
- ブランド毀損・信用低下:復旧後も離脱が続く可能性。
- SLA/契約リスク:B2B提供の場合、可用性低下は違約やペナルティに波及し得る。
- セキュリティ・ブラインド:DDoS攻撃が“目くらまし”となり、別経路の不正侵入やデータ窃取が隠れることがある。
- SEO・ユーザー体験悪化:長時間の応答低下はユーザー満足度や検索評価に悪影響となり得る。
影響マップ(何がどう困るのか)
| 影響カテゴリ | 具体例 | 経営・KPIへの波及 |
|---|---|---|
| 可用性低下 | サイト・APIのタイムアウト | 売上、CVR、解約率、NPS |
| 信用・評判 | SNS炎上、レビュー低下 | ブランド価値、再訪率 |
| コスト | 緊急対応・増強費用 | 予算超過、原価率悪化 |
| 法務・契約 | SLA未達、顧客補償 | 罰則、契約解消リスク |
| セキュリティ | 侵入検知の遅延 | インシデント拡大、復旧長期化 |
だからこそ、DDoS攻撃に対しては影響を“減らす設計”が重要です。
すなわち、事前に「どの資源が詰まりやすいか」を洗い出し、分散配置・キャッシュ・レート制御・フェイルオーバー・緊急連絡網を整えることで、同じ攻撃を受けても“落ちない・長引かせない”体質にできます。
すぐに着手できる初動チェック(影響最小化の観点)
- 監視としきい値:帯域・接続数・レスポンスタイムの異常検知を即時通知。
- 重要導線の軽量化:ログイン・検索・在庫APIなどをキャッシュ/キューで保護。
- レート制御の明確化:IP・ASN単位、国・地域単位の段階的な制限方針を準備。
- 代替ルートの用意:CDN、Anycast、別リージョン切替の手順と責任者を明文化。
- コミュニケーション計画:社内外アナウンスの定型文・判断基準を事前に用意。
DDoS攻撃の仕組みと種類
DDoS攻撃は「同時多発で過剰な要求をぶつけ、正規ユーザーの通信を押しのける」ことが本質です。
つまり、攻撃者は多数の端末やサーバーを束ねて一斉にリクエストやパケットを送り、ネットワークやアプリケーションの処理能力を奪います。
したがって、DDoS攻撃を理解するには「どこから攻撃が来るのか」「どの層に効いているのか」「どんな手法が使われるのか」を分けて見ると、対策の優先順位が明確になります。
2-1. ボットネットと攻撃元の分散
DDoS攻撃の“量”を生み出す鍵は、攻撃元の分散です。
なぜなら、発信源が世界中に散らばるほど単純なブロックが効きにくく、同時に巨大なトラフィックを作り出せるからです。
2-1-1. ボットネットの基本構造
- C2(コマンド&コントロール):攻撃者が指令を出す司令塔。
- ボット(感染端末):PC、サーバー、さらにはIoT機器までがマルウェア感染し、指令で一斉に送信。
- プロキシ/踏み台:実IPを隠すために経由される中継点。
ポイントは、ボットの“種類”が広がるほどトラフィックの性質も多様になり、防御が難しくなることです。
2-1-2. 反射・踏み台を利用する増幅の考え方
攻撃者は、DNSやNTPなど“応答が大きくなりやすい”サービスを悪用し、少量の要求で多量の応答を被害者へ反射させます。つまり、自分の帯域をほとんど使わずに大火力を実現します。
2-1-3. 分散がもたらす防御上の課題
- IP分散:IPブロックだけでは追いつかない。
- 地域・ASNの多様化:国や事業者で丸ごと遮断しづらい。
- 正規トラフィックへの混入:偽装されたユーザーエージェントや回線で見分けが難しい。
2-1-4. 現場で見える前兆シグナル
- 同時接続数や新規セッションが急峻に上昇。
- 特定パス(例:検索、ログイン、API)のRPSが異常化。
- 国やASNの分布が普段と大きく乖離。
- 失敗応答(5xx)やタイムアウトが段階的に増加。
2-2. レイヤー(ネットワーク層/アプリケーション層等)による分類
DDoS攻撃は大きくL3/L4(ネットワーク・トランスポート層)とL7(アプリケーション層)に分けて考えると対策が立てやすくなります。
なぜなら、効いている層が違えば、観測すべき指標も、効く防御策も異なるからです。
2-2-1. L3/L4攻撃(ボリューム型)の特徴
- 狙い:回線帯域や機器のセッション処理を飽和させる。
- 指標:bps(帯域)、pps(パケット数/秒)、新規SYN数など。
- 例:UDP flood、SYN flood、ICMP flood。
- 要点:まずは**上流での吸収(CDN/スクラビング)**が効果的。
2-2-2. L7攻撃(アプリ層)の特徴
- 狙い:CPU・メモリ・DB接続・外部APIなど重い処理を消耗させる。
- 指標:RPS(リクエスト/秒)、レスポンスタイム、スレッド使用率。
- 例:HTTP GET/POST flood、検索・絞り込み連打、ログイン多発。
- 要点:キャッシュ、レート制御、WAF、Bot対策を組み合わせる。
2-2-3. ハイブリッド型(多層同時)での難しさ
- L3/L4で回線を逼迫させつつ、同時にL7で重い処理を連打。
- したがって、ネットワークとアプリの両面で監視・自動防御が必要。
2-2-4. 層別分類の早見表
| 層 | 主な狙い | 代表手法 | 主要指標 | 効きやすい対策の例 |
|---|---|---|---|---|
| L3/L4 | 帯域・セッション枯渇 | UDP/SYN/ICMP flood | bps, pps | 上流スクラビング、ACL、接続制御 |
| L7 | アプリ資源枯渇 | HTTP GET/POST flood | rps, レイテンシ | キャッシュ、WAF、レート制限、Bot検知 |
つまり、どの層が詰まっているかを即座に見極めることが、DDoS攻撃の初動で最も重要です。
2-3. フラッド型/脆弱性型/放大(アンプリフィケーション)攻撃など具体手法
DDoS攻撃は多様ですが、実務では「どう止めるか」に直結する手法別の理解が役立ちます。
以下に代表例を整理します。
2-3-1. フラッド型(とにかく量で押し切る)
- SYN flood:TCPの三者ハンドシェイクを悪用し、未完了セッションを大量発生。
- UDP flood / ICMP flood:コネクションレスな通信を大量送信し帯域を圧迫。
- HTTP GET/POST flood:アプリ層へ高頻度に要求を送り、CPUやバックエンドを枯渇。
対処の勘所
- L3/L4:上流でのトラフィック洗浄、SYNクッキー、レート/コネクション制御。
- L7:キャッシュ最適化、動的ページの負荷分散、Bot検知+レート制限。
2-3-2. 放大(アンプリフィケーション)型
- DNS/NTP/SSDP/Memcachedなど、小さな要求→大きな応答になるサービスを悪用。
- 送信元IPを被害者に偽装(スプーフィング)し、反射させる。
対処の勘所
- ネットワーク側で送信元アドレスなりすまし対策(BCP38に相当)。
- オープンリゾルバ等の踏み台排除、異常ポートのトラフィック抑制。
- 上流スクラビングで反射トラフィックを遮断。
2-3-3. 脆弱性悪用・プロトコル悪用型
- 特定実装の弱点やプロトコルの仕様の隙を突いて、少量でも高い効果を狙う。
- 例:接続維持を引き延ばす低速攻撃(slow headers/body)、特定エンドポイントの高コスト処理を集中攻撃。
対処の勘所
- パッチ適用と安全な設定(タイムアウト・同時接続上限・キュー制御)。
- コストの高い処理にはキャッシュ・結果の再利用やキューイングを導入。
- WAFやRASPで異常パターンをシグネチャ+ふるまいで検知。
2-3-4. 手法別の“見え方”と初動アクション早見表
| 攻撃タイプ | 典型症状 | まず見る指標 | 初動の打ち手 |
|---|---|---|---|
| L3/L4フラッド | 回線飽和、全体で疎通不良 | bps/pps、ドロップ率 | 上流洗浄依頼、ACL調整、SYNクッキー |
| L7フラッド | ページ遅延、特定機能のみ障害 | rps、応答時間、5xx | キャッシュ強化、WAFルール、レート制限 |
| アンプリファイ | スプーフィング由来パケット急増 | 異常ポート、プロトコル別内訳 | 反射元抑止、上流で遮断、踏み台報告 |
| 脆弱性悪用 | 少量でも高負荷・枯渇 | 長時間接続、スレッド占有 | タイムアウト短縮、実装修正、ふるまい検知 |
最近の動向と被害事例
DDoS攻撃は、ここ1~2年で「超大規模化(Tbps級)」と「巧妙化(アプリ層や複合攻撃)」の両輪で進化しています。
つまり、単に帯域を埋めるだけでなく、重要な業務機能やAPIを狙い撃ちにするケースが増えました。
したがって、本章では国内外の具体的な被害事例と、直近データから読み解ける攻撃トレンドを整理し、明日からの備えに直結する“現実的な示唆”をまとめます。
3-1. 国内の被害例
年末年始や三が日など、アクセス需要が高まるタイミングを突くDDoS攻撃が散見されました。
だからこそ、ピーク時の“同時多発インシデント”を想定した計画が不可欠です。
3-1-1. tenki.jp(日本気象協会)
- 発生:2025年1月5日・9日にDDoS攻撃を受け、Web/アプリで利用しづらい状態が発生。ネットワーク輻輳が原因と公式が説明。寒波・大雪の警戒期と重なり、情報提供に支障が出たと公表。
- 示唆:社会インフラ性の高い情報系サービスは、需要ピーク=攻撃好機になりやすい。したがって、上流スクラビングやCDN冗長化、広報連携(代替入手先の案内)を事前に定型化する。
3-1-2. NTTドコモ/goo
- 発生:2025年1月2日未明から、gooや一部サービスでアクセス障害。当日発生のDDoS攻撃の影響を同社が案内(夕方までに回復)。
- 示唆:大手でも新年の初売り・アクセス集中期は要注意。可観測性(しきい値・KPI)と緊急時の段階的レート制御の自動化が鍵。
3-1-3. 日本航空(JAL)
- 発生:2024年12月26日にDDoS攻撃を受け、国内外の便に遅延。ネットワークに大量データが流入し、一部システムが機能不全に。数時間で復旧、顧客情報流出はなしと報道。
- 示唆:航空のような“安全最優先&時刻厳格”な業態は、社内ネットワークと外部接続の分離、計算の代替経路(バックアップ系)を平時から訓練しておく。
国内事例サマリー(直近)
| 事例 | 日時 | 主な影響 | 公式/一次情報 |
|---|---|---|---|
| tenki.jp | 2025/1/5・1/9 | Web/アプリ利用困難(輻輳) | 日本気象協会の発表・tenki.jp告知 |
| NTTドコモ/goo | 2025/1/2 | アクセス障害(当日DDoS) | ドコモ公式のお知らせ |
| 日本航空(JAL) | 2024/12/26 | 便の遅延・販売一時停止 | AP/Reuters報道 |
3-2. 海外/グローバル規模の注目事件
世界ではTbps級の“超大規模”DDoS攻撃が常態化しつつあります。
つまり、一度の攻撃が国や大規模ISPの運用に影響し得る段階に来ているということです。
3-2-1. 7.3 Tbpsの巨大攻撃をCloudflareが阻止(2025年5月)
- 概要:5月中旬、7.3 Tbpsの攻撃がホスティング事業者を直撃。Cloudflareがブロックし、詳細分析を公表。
3-2-2. 過去最大の11.5 Tbps攻撃(2025年9月)
- 概要:9月初旬、史上最大級の11.5 Tbps / 5.1 Bppsを観測。IoTやクラウドを含む複合的な発信源が示唆され、“ハイパー・ボリューメトリック”攻撃の象徴事例に。
3-2-3. ハイパー・ボリューメトリック攻撃の急増
- 動向:2025年Q2は1 Tbps超や10億pps超の攻撃件数が前期比で桁違いに増加したと報告。月別では6月が突出して繁忙。
3-2-4. ボットネットの再編・高度化
- 背景:法執行によるテイクダウン後、残存機器を取り合う形で新興ボットネットが勢力化。IoT機器の高性能化が火力の底上げに。
3-3. 攻撃トレンドの変化:攻撃手法・規模・頻度の最新データ
直近のデータから、DDoS攻撃は「量」と「質」の両面でシフトしています。
なぜなら、L3/4の超大規模フラッドと、L7の業務直撃型が同時に伸長しているからです。
3-3-1. 件数の揺れと“密度”の上昇
- 観測:Cloudflareは2025年Q1に2,050万件、Q2に730万件のDDoSを緩和と報告(Q1は特定キャンペーンが押し上げ要因)。件数は減っても高密度・超大規模は増加。
3-3-2. L7(アプリ層)攻撃の比重増
- 傾向:Akamaiは2024年の総括として、特に北米・EMEAでL7 DDoSの比重増と巧妙化を指摘。APACでも年末にスパイク。
3-3-3. 国内のIoTボット活動と“踏み台”リスク
- 観測:NICTのNICTER 2024年まとめでは、観測パケット数が過去最高、国内のIoTボット感染ホストは約730~1.15万で推移。つまり、国内からの“踏み台化”抑止が依然課題。
3-3-4. いま必要な視点(まとめ)
- ピーク設計:繁忙期(年末年始・大型連休・天候急変)に上流スクラビング+CDN冗長を常時有効化。
- ハイブリッド前提:L3/4の帯域防御とL7の業務導線保護(キャッシュ、WAF、Bot対策、レート制限)を同時運用。
- 踏み台対策:自社・委託先のIoT/エッジ機器の管理徹底(初期パスワード・開放ポート・FW設定)。
- 観測と広報:bps/pps/rpsと事業KPI(CVR、発券/決済成功率)を突き合わせて異常検知。障害時の案内テンプレを事前準備。
自分のサイト/サービスが狙われる理由
DDoS攻撃は無差別に見えて、実は「狙いやすさ」と「効果の大きさ」を計算して選ばれることが多いです。
つまり、攻撃者は少ないコストで大きな影響を与えられる標的を好みます。
したがって、自社がどの観点で“狙われやすい”のかを理解しておくことが、DDoS攻撃対策の第一歩になります。
4-1. 攻撃対象にされやすい条件や特徴
「なぜ自分たちが」と感じる前に、攻撃者の選定ロジックを分解して見ましょう。狙われやすい条件は、需要のピーク、収益との直結、そして守りの薄さです。
4-1-1. 高い可視性や季節性ピークがある
- 大型セール、チケット発売、休日期間、突発ニュースなど、瞬間的にアクセスが集中するサイトはDDoS攻撃の効果が出やすいです。
- つまり、ピークを狙われると機会損失が最大化しやすいため、攻撃者にとって“コスパの良い”標的になりがちです。
4-1-2. 収益や事業継続に直結している
- EC、金融、配車、航空、ゲーム、SaaSなど、止まる=損失につながるサービスは、短時間の停止でも影響が大きいです。
- だからこそ、攻撃側は短時間でも混乱を起こせる場所を好みます。
4-1-3. 防御の薄い要素が露出している
- CDN未導入、上流スクラビングなし、WAF・レート制限が弱い、オープンなAPIやDNSがある、など。
- なぜなら、そうした環境は少ないトラフィックでも壊れやすいため、手間をかけずに成果を出せます。
4-1-4. 単一障害点(SPOF)が残っている
- 単一リージョン、単一ISP、単一ロードバランサなど、切り替え先がない構成は狙われがちです。
- その結果、部分的な攻撃でも全体が巻き込まれるリスクが高まります。
4-1-5. 業界・立場由来の標的化
- 公共インフラ、報道、行政、教育、医療、特定の企業グループなどは象徴性が高く、DDoS攻撃のアピール材料にされやすいです。
狙われやすさ早見表
| 兆候・特徴 | なぜ狙われるか | 初期対策の方向性 |
|---|---|---|
| 季節/イベントで急増 | ピークで混乱を最大化 | 事前の上流スクラビング有効化、CDNキャッシュ強化 |
| 収益直結ビジネス | 短時間でも損失が大きい | レート制限、重要導線の軽量化、代替手段の整備 |
| 防御機能が薄い | 少トラフィックでも効く | WAF/Bot対策、ACL、Anycast/マルチリージョン |
| SPOFが残る | 一点突破で全体停止 | ISP/リージョン冗長、フェイルオーバー訓練 |
| 高い象徴性 | 注目・話題化を狙える | 公開方針・広報連携、監視の強化と即応体制 |
4-2. 攻撃者の目的(嫌がらせ・金銭目的・政治的意図など)
DDoS攻撃のモチベーションは一枚岩ではありません。目的に応じて手口や時間帯、攻撃継続時間が変わります。
したがって、目的の想定は対応方針を決める材料になります。
4-2-1. 嫌がらせ・報復
- 企業への不満、サポート対応への反発、コミュニティ間の対立など。
- 特徴:短期集中のフラッドが多く、SNSや掲示板での示威行為とセットになりがちです。
4-2-2. 金銭目的(恐喝・DDoS-for-Hire)
- 「止めてほしければ支払え」という脅迫メールや、ボットネットのレンタルサービスを使うケース。
- 特徴:継続時間が長く、強弱をつけて交渉を迫る傾向があります。
4-2-3. 政治・社会的アジェンダ(ハクティビズム)
- 政策や社会問題への抗議としてのDDoS攻撃。
- 特徴:イベント日程や選挙・国際会議などのタイミングに合わせて攻撃が起きやすいです。
4-2-4. 競争妨害・市場操作
- 競合のキャンペーンや新製品発表を妨げる目的。
- 特徴:特定機能(決済、検索、ログインなど)へ精密にL7攻撃を当ててくることがあります。
4-2-5. 偽旗・目くらまし(別攻撃のカバー)
- DDoS攻撃を囮にして、裏で侵入やデータ窃取、改ざんを試みるケース。
- だから、DDoS攻撃中こそ内部監視や権限操作の異常を併せて点検する必要があります。
目的別の“見え方”と初動
| 目的 | よくある兆候 | 初動の考え方 |
|---|---|---|
| 嫌がらせ | 短期の過負荷、SNSでの言及 | L3/4対策を速やかに適用、広報テンプレで沈静化 |
| 金銭目的 | 脅迫文+段階的な増強 | 証拠保全、法執行相談、上流スクラビング常時化 |
| 政治的意図 | イベント連動、象徴的ターゲット | 冗長化の事前有効化、ブラックアウトプラン |
| 競争妨害 | 機能限定のL7攻撃 | キャッシュ・キュー・機能退避で導線維持 |
| 目くらまし | 同時期に認証や管理の異常 | SOC連携、ログ相関、権限操作の監査強化 |
4-3. 攻撃されるときのサイン:前兆・警告指標
DDoS攻撃は突然の“大波”に見えて、実は**前兆の“さざ波”**を観測できることが多いです。つまり、早期に気づけば影響を小さくできます。
4-3-1. ネットワーク層の異常シグナル
- bps/ppsの不自然な上昇(平常時の数倍)
- 新規SYNの急増、片方向トラフィックの偏り
- 同一ASN・同一地域からの急拡大
- したがって、フロー監視や上流ISPのメトリクスを1分粒度で見る体制が重要です。
4-3-2. アプリケーション層の異常シグナル
- RPSのスパイク(特定URL・APIに集中)
- レスポンスタイムの段階的悪化、スレッド/DB接続の高止まり
- エラーレート(5xx)やタイムアウトの上昇
- つまり、A/Bテストやキャンペーンと相関しないスパイクは要注意です。
4-3-3. 外部シグナル(人的・OSINT)
- 脅迫メール、サポート窓口への挑発的な問い合わせ
- SNS/コミュニティ上の攻撃予告や標的言及
- 踏み台リストやボットネット動向の外部フィードでの増勢
4-3-4. 事前テストや“下見”の痕跡
- 短時間・小規模のプロービング(数分のスパイクが繰り返し)
- 検索・絞り込み・ログインなど重い処理への集中的アクセス
- 不正なUser-Agentやヘッダパターンの試行錯誤
4-3-5. 早期アクションのチェックリスト
- 閾値超過で自動トリガー(上流スクラビング、レート制限、WAFルールセット切替)
- 重要導線の保護:キャッシュ強化、検索/在庫/決済APIのキュー化・タイムアウト最適化
- 経路の冗長化:ISP/リージョン/Anycastの切替シナリオを運用に落とし込む
- 証拠保全と広報:攻撃ログの保存、関係者・顧客への事前テンプレでの通知
- 内側の安全確認:DDoS攻撃中の認証・管理系ログに異常がないか相関分析
前兆・警告指標の早見表
| 指標カテゴリ | 観測点 | どんな変化がサインか | 初手の対応 |
|---|---|---|---|
| ネットワーク | bps/pps、SYN rate、ASN/地域分布 | 平常の数倍、偏りの急拡大 | ACL/RTBH、上流洗浄、SYNクッキー |
| アプリ | RPS、レスポンス、5xx、DB接続 | 特定エンドポイント集中、段階的悪化 | レート制限、キャッシュ、WAFルール強化 |
| 外部情報 | SNS/掲示板、脅迫文、脅威フィード | 予告・示威・踏み台増勢 | 法務・広報連携、監視強化 |
| 挙動テスト | 短時間スパイク、UA/ヘッダ異常 | 小刻みな負荷試験の痕跡 | しきい値引き下げ、ブロック/チャレンジ導入 |
DDoS攻撃の対策方法
DDoS攻撃は「防げない攻撃」ではなく「影響を最小化できる攻撃」です。つまり、攻撃そのものをゼロにするのは難しくても、設計・検知・運用の三本柱を整えておけば、サービス停止のリスクを大幅に減らせます。ここでは、基本的な防御策から高度な検知手法、サービス選定、そして緊急時の対応プロセスまでを体系的に解説します。
5-1. 基本的な防御策:ネットワーク構成・ファイアウォール・帯域確保
まずは「基本の土台」を整えることが重要です。なぜなら、この段階の不備があると、どんな高機能なDDoS対策サービスを導入しても十分に効果を発揮できないからです。
5-1-1. ネットワーク構成の見直し
- 冗長化:複数リージョン・複数ISPを組み合わせ、単一点の故障で全体が落ちないようにする。
- Anycastの活用:地理的に分散した複数サーバーにトラフィックを分散。DDoS攻撃の集中を和らげる。
5-1-2. ファイアウォール・ACLの基本設定
- 不要ポートの閉鎖:攻撃対象となりやすいオープンポートを排除。
- ACL(アクセス制御リスト)の最適化:トラフィックのフィルタリングを事前に設計。
- SYNクッキーの有効化:SYN flood攻撃に有効。
5-1-3. 帯域の確保と上流連携
- 帯域余裕の確保:トラフィックが2〜3倍に膨れても耐えられるキャパシティを設計。
- 上流ISPとの調整:緊急時にRTBH(ブラックホールルーティング)やトラフィックシンクホールが使えるように合意しておく。
5-2. 高度な対策・検知手法:WAF/レート制限/ボット検出
基本策に加え、アプリケーション層や複雑な攻撃に備えるには高度な検知・防御機能が欠かせません。
5-2-1. WAF(Web Application Firewall)
- 特徴:L7(アプリ層)の不正リクエストを検知・遮断。
- 効果:HTTP GET/POST floodや低速攻撃を軽減できる。
- ポイント:ルールベースと機械学習型を組み合わせると検知精度が高まる。
5-2-2. レート制限
- IP単位の制御:短時間に大量アクセスするクライアントを制限。
- 機能単位の制御:検索・ログイン・決済など高負荷処理に対して特に効果的。
- 動的制御:負荷状況に応じて閾値を可変にする。
5-2-3. ボット検出・Bot管理
- 特徴的なUser-Agentや挙動を検出して遮断。
- CAPTCHAやJavaScriptチャレンジで人間とボットを区別。
- ふるまいベース検知:アクセス頻度や経路を監視して不審行動を可視化。
5-3. 対策サービスの選び方:コスト・守備範囲・対応レイヤーの確認
自社でできる対策には限界があります。したがって、DDoS攻撃対策サービスを選定する際には、コストや対応範囲を見極めることが重要です。
5-3-1. コストの考え方
- 月額固定型:予算が立てやすいが、小規模なサイトには割高になる場合もある。
- 従量課金型:利用頻度が低い場合に向いているが、大規模攻撃が来ると高額になりやすい。
5-3-2. 守備範囲のチェック
- L3/L4対応:大規模フラッド攻撃の軽減が可能か。
- L7対応:アプリケーション層まで保護されるか。
- Bot管理:自動化された不正アクセスの遮断機能があるか。
5-3-3. サービス選定の比較軸
| 項目 | チェックポイント |
|---|---|
| 守備範囲 | L3/4だけか、L7まで含むか |
| 冗長化 | Anycastや複数データセンター対応の有無 |
| SLA | 稼働率・応答時間・緩和開始時間の保証 |
| コスト | 固定 or 従量、攻撃規模による変動 |
| 運用支援 | 24/7監視、専門チームのサポート有無 |
5-4. 緊急時の対応プロセス:攻撃発生後の対応手順
DDoS攻撃を完全に避けることは不可能です。だからこそ、「攻撃されたらどうするか」を事前に決めておくことが最も重要です。
5-4-1. 初動確認
- 監視システムでのアラート確認:トラフィック急増、レスポンス悪化、5xx増加。
- 事業KPIへの影響確認:ログイン成功率、決済処理数など。
5-4-2. 防御の即時発動
- 上流スクラビングの有効化。
- レート制限・WAFルールの強化。
- RTBHで攻撃トラフィックをシンクホールへ誘導。
5-4-3. 内外への連絡と広報
- 社内関係者:経営層、CSチーム、技術チームへの迅速な共有。
- 顧客・ユーザー:公式サイトやSNSで障害情報を正しく伝える。
- 取引先やパートナー:影響が波及し得る相手には個別連絡。
5-4-4. 証拠保全と事後分析
- 攻撃ログを保存:トラフィック分布、IPリスト、時間推移。
- 事後レビュー:対応時間、効果、再発防止策を検討。
- 法執行機関・ISPへの報告:持続的な攻撃や金銭要求がある場合は必須。
将来を見据えた備えと運用
DDoS攻撃は年々「大規模化」と「巧妙化」が進みます。つまり、一度の被害で学ぶだけでは足りません。
したがって、将来を見据えた備えとは、定期的なリスク評価とシミュレーション、最新技術を使った自動防御、そして法律・規制・保険など外的要因を含めた運用設計を回し続けることです。
6-1. 定期的なリスク評価とシミュレーション
DDoS攻撃の被害を最小化する近道は、平時に「どこが詰まりやすいか」を把握し、実戦形式で試すことです。つまり、見える化→優先度付け→訓練という反復ループを作ります。
6-1-1. リスク評価のフレーム
- 重要導線の棚卸し
例:ログイン、検索、決済、在庫API、管理画面、公開API、DNS。 - 影響評価(ビジネス視点)
指標:売上、CV数、発券数、問い合わせ量、SLA違約リスク。 - 技術的脆弱点の洗い出し
観点:帯域上限、SPOF(単一点障害)、WAF/レート制限の適用漏れ、キャッシュ未活用。 - 優先順位の決定
なぜなら、すべては守れないため、被害が大きい順に資源を配分すべきだからです。
小さなチームでも回せる評価票の例:
| 観点 | 具体項目 | 現状 | 影響度 | 改善優先度 |
|---|---|---|---|---|
| ネットワーク | 帯域・上流スクラビング | あり/なし | 高/中/低 | 高/中/低 |
| アプリ | キャッシュ・レート制限 | 重要導線で有効/未設定 | 高/中/低 | 高/中/低 |
| DNS | Anycast・冗長 | 単系/冗長化済み | 高/中/低 | 高/中/低 |
| 運用 | 連絡網・広報テンプレ | 整備/未整備 | 高/中/低 | 高/中/低 |
6-1-2. 負荷試験・DDoSシミュレーション
- 合法かつ安全な範囲で、攻撃を模したトラフィックを生成し、しきい値・自動化が作動するかを検証。
- L3/L4とL7を分け、bps/pps/rpsなど層別のメトリクスで観測。
- したがって、事前合意(ISP・CDN・社内関係者)と本番影響を避ける条件を明文化してから実施します。
チェックポイント:
- しきい値超過で自動的に上流スクラビングが起動するか
- WAF/レート制限ルールが段階的に強化されるか
- 解除条件で自動的に元の状態へ戻るか
6-1-3. インシデント演習と運用成熟度
技術だけでは防げません。だからこそ、人と手順の訓練が欠かせません。
| 成熟度 | 平時 | 攻撃検知 | 初動 | 復旧・振り返り |
|---|---|---|---|---|
| レベル0 | 個人依存 | 手動確認 | アドホック | なし |
| レベル1 | 監視あり | アラート発砲 | 連絡網で集合 | 口頭レビュー |
| レベル2 | KPI連動監視 | 自動判定 | 自動緩和+手動支援 | 記録・再発防止策 |
| レベル3 | 事業KPI統合 | 段階的自動化 | 自動切替・広報即応 | 定量レビュー・改善計画 |
目標はレベル2以上。つまり、検知→緩和→広報→復旧→学習を数字で回す状態です。
6-2. 最新技術/自動化された防御(AI・機械学習・クラウド型ソリューション等)
最新のDDoS攻撃は速度と変化で守りを突破します。したがって、防御も自動化・適応化が鍵です。
6-2-1. AI/機械学習による異常検知と適応レート制御
- 時系列異常検知:通常トラフィックの日内・週内パターンを学習し、偏差を早期検知。
- 経路・UA・行動特徴のクラスタリング:人のアクセスと自動化トラフィックを分離。
- 適応レート制御:国/ASN/エンドポイント別にしきい値を自動調整。
- ただし、誤検知はつきもの。だからホワイトリストと段階的チャレンジ(JS/トークン/ハニーパス)を併用します。
6-2-2. クラウド型スクラビングとAnycastの併用
- クラウド側でトラフィックを洗浄し、悪性のみを除去してからオリジンへ。
- Anycastで世界中のエッジへ拡散し、ピークを分散。
- L3/L4は上流で、L7はWAF・Bot管理で、という多層防御が有効です。
6-2-3. 自動化のガードレール(誤検知対策)
自動化は強力ですが、強すぎる制御は売上を落とします。したがって、安全装置を必ず入れておきます。
自動化パターンの設計例:
| トリガー(例) | 自動アクション | 解除条件 | 備考 |
|---|---|---|---|
| bps/ppsが基準の3倍 | 上流スクラビングへ切替 | 10分連続で基準±20%に復帰 | 切替・復帰を自動通知 |
| 特定URLのrps急増 | レート制限+キャッシュ強化 | rpsが基準内へ | 重要導線は緩めの閾値 |
| 新規SYN数急騰 | SYNクッキー有効化 | 平常化 | ログ保存を義務化 |
| 悪性スコア上昇 | JS/トークンチャレンジ | スコア低下 | VIP/社内IPは除外 |
6-3. 法律・規制・サイバー保険などの外的要因
DDoS攻撃は技術問題に見えて、実は法務・契約・保険とも強く結びつきます。
つまり、外的要因を無視すると、復旧後に別の損失が残ります。
6-3-1. 規制・契約を踏まえた運用
- 報告義務の確認:業界ガイドラインや取引契約で、障害報告の期限と範囲が定められている場合があります。
- SLAと違約:可用性の未達はペナルティに直結。したがって、DDoS攻撃時の免責条件や例外条項を事前に整理。
- 委託・再委託:CDNやスクラビング事業者も含め、責任分界点を契約に明記。
6-3-2. 公的ガイダンスとコミュニケーション
- 各国のCERT/CSIRT、業界団体のベストプラクティスを定期レビュー。
- 障害時の外部コミュニケーションは、利用者への影響・代替手段・復旧見込みを簡潔に伝えるテンプレートを用意。
- だからこそ、広報・法務・カスタマーサポートを含む**RACI(役割分担)**を平時から決めておきます。
6-3-3. サイバー保険の活用ポイント
DDoS攻撃は「情報漏えい」でなくても保険の対象となる場合があります。したがって、適用条件を必ず精査します。
| チェック項目 | 具体的ポイント |
|---|---|
| 補償範囲 | 事業中断、緊急対策費、代替回線、広報費、身代金関連の扱い |
| 免責・待機期間 | 何時間以上の停止から補償か |
| 例外規定 | 国家関与、戦争行為、クラウド障害の扱い |
| 付帯サービス | インシデントレスポンス支援、法務・広報支援 |
| 証跡要件 | 監視ログ、連絡記録、ベンダー報告の保存義務 |
IT資格を取りたいけど、何から始めたらいいか分からない方へ
「この講座を使えば、合格に一気に近づけます。」
- 出題傾向に絞ったカリキュラム
- 講師に質問できて、挫折しない
- 学びながら就職サポートも受けられる
独学よりも、確実で早い。
まずは無料で相談してみませんか?
