跳至主要內容
セキュリティ · 9 分で読めます

DDoS攻撃の解説:デジタル洪水を理解する

公開日: 2026年4月11日 · 著者: WhoIP.tw Team
コピーしました

分散型サービス拒否(DDoS)攻撃とは、標的となるサーバー、サービス、またはネットワークに大量のインターネットトラフィックを送りつけることで、その正常な機能を妨害しようとする悪意ある試みです。

DDoS攻撃とは?

DDoS攻撃の核心は、オンラインサービスを利用不能にすることです。人気のある店がセール日に何千もの偽の客で突然溢れかえり、本物の買い物客が入店できなくなるような状況を想像してみてください。DDoS攻撃はデジタル世界でこれに似たことを行います。攻撃者は、複数の侵害されたコンピューターやデバイス(総称して「ボットネット」)を利用して、単一の標的に大量のトラフィックを送りつけます。この圧倒的なトラフィックにより、標的のサービスは速度が低下したり、クラッシュしたり、完全にアクセス不能になったりします。

これらの攻撃は、サーバー、データベース、帯域幅などのネットワークリソースの有限な容量を悪用します。これらのリソースが過剰な数のリクエストで溢れると、正当なリクエストを処理できなくなり、サービス拒否が達成されます。

DDoS攻撃の仕組み

DDoS攻撃は通常、いくつかの段階を経て展開されます。

  1. 感染とボットネットの作成: 攻撃者は、複数のコンピューターやIoT(モノのインターネット)デバイスにマルウェアを感染させます。これらの感染したデバイスは「ゾンビ」または「ボット」となり、攻撃者によって遠隔操作され、「ボットネット」を形成します。ユーザーは、自分のデバイスがボットネットの一部になっていることに気づかないことがよくあります。
  2. コマンド&コントロール: 攻撃者は、コマンド&コントロール(C2)サーバーを介してボットネットと通信し、いつ、どのように標的を攻撃するかについての指示をすべてのボットに送ります。
  3. 攻撃の実行: 決定された時間に、すべてのボットネットメンバーが同時に標的のサーバーまたはネットワークにリクエストを送り始めます。これらのリクエストは、悪意のあるもの、不正な形式のもの、または単に圧倒的な数の正当なリクエストである場合があり、すべて標的のリソースを消費することを目的としています。
  4. サービスの中断: 標的サーバーは、これほど大量の要求を処理できなくなります。帯域幅が枯渇し、CPUやメモリリソースが消費され、ルーターやファイアウォールなどのネットワーク機器が過負荷になり、正当なユーザーからの要求がサーバーに到達できなくなり、サービス停止が発生します。

DDoS攻撃の仕組み図

攻撃者

乗っ取られたデバイス

ターゲットサーバーを氾濫させる

サービス停止

この分散された性質により、DDoS攻撃は、単一ソースのサービス拒否攻撃よりも防御や追跡がはるかに困難です。トラフィックが多くの異なるIPアドレスから発生するため、正当なトラフィックと悪意のあるトラフィックを区別することが難しくなります。IPアドレスがどのように機能するかについて詳しく知りたい場合は、パブリックIPとプライベートIPに関する記事をご覧ください。

DDoS攻撃の種類

DDoS攻撃には様々な形態があり、それぞれOSI(開放型システム間相互接続)モデルの異なる層を標的とします。これらの層を理解することは、効果的な防御のために不可欠です。主に3つのカテゴリに分類できます。

1. ボリューム型攻撃 (Volumetric Attacks)

これらの攻撃は、標的の帯域幅を消費することを目的としています。大量のデータを送信して、標的とインターネット間のネットワーク接続を圧倒します。これらは最も一般的なDDoS攻撃のタイプであり、通常、最も識別しやすいものです。

  • UDPフラッド: 攻撃者は、標的のランダムなポートに大量のUDP(ユーザーデータグラムプロトコル)パケットを送信します。標的ホストは、そのポートでリッスンしているアプリケーションをチェックし、その応答としてICMPの「到達不能」パケットを送信する必要があるため、すぐにリソースが枯渇します。
  • ICMPフラッド: UDPフラッドと同様に、攻撃者は大量のICMP(インターネット制御メッセージプロトコル)「エコーリクエスト」(ping)パケットを送信し、標的ホストは「エコーリプライ」パケットで応答する必要があります。これにより、送信帯域幅と処理能力の両方が消費されます。
  • DNSアンプリフィケーション: 攻撃者はオープンなDNSリゾルバーを利用します。彼らは、標的のIPアドレスを送信元として偽装したリクエストをリゾルバーに送信し、非常に大きな応答を引き起こすように設計します。その後、リゾルバーはこの大きな応答を標的に送信し、より少ない初期リクエストから大量の攻撃トラフィックを効果的に生成します。これにより、かなりの帯域幅が消費されます。DNSの仕組みについては、こちらの記事をご覧ください。
  • NTPアンプリフィケーション: DNSアンプリフィケーションと同様に、攻撃者はネットワークタイムプロトコル(NTP)サーバーを利用して、増幅されたトラフィックを標的に送信します。

2. プロトコル型攻撃 (Protocol Attacks)

これらの攻撃は、OSIモデルのレイヤー3(ネットワーク層)とレイヤー4(トランスポート層)のプロトコルを標的とします。サーバーやファイアウォール、ロードバランサーなどのネットワーク機器のリソースを消費することで、サービスの中断を引き起こします。

  • SYNフラッド: 攻撃者はTCPハンドシェイクプロセスにおける脆弱性を悪用します。攻撃者は標的サーバーに大量のSYN(同期)リクエストを送信しますが、サーバーから返されるSYN-ACK(同期-確認応答)パケットには応答しません。これにより、サーバーは多数の半開接続を維持することになり、最終的に接続テーブルが枯渇し、新しい正当な接続を受け入れられなくなります。TCP/IPの仕組みを理解することで、この種の攻撃をより深く理解できます。
  • 断片化パケット攻撃: 攻撃者は、標的システムが再構築する必要がある大量のIP断片化パケットを送信します。標的システムは、これらの不完全または悪意を持って断片化されたパケットを組み立てようと大量のリソースを消費するため、速度低下やクラッシュにつながります。
  • Smurf攻撃: 攻撃者は、ブロードキャスト要求に応答するように設定されたネットワークに大量のICMPエコー要求を送信します。この際、送信元IPアドレスは標的のIPアドレスに偽装されています。ネットワーク上のすべてのホストが標的に応答するため、大量のトラフィックが発生します。

3. アプリケーション層攻撃 (Application Layer Attacks)

これらの攻撃はOSIモデルのレイヤー7、つまりアプリケーション層を標的とします。特定のアプリケーション(Webサーバーなど)の脆弱性を悪用し、比較的少ないリクエストでサービスを停止させることができ、検出がより困難です。

  • HTTPフラッド: 攻撃者は標的のWebサーバーに大量のHTTP GETまたはPOSTリクエストを送信します。これらのリクエストは正当に見えるかもしれませんが、サーバーの処理能力、メモリ、データベースリソースを消費するように設計されています。例えば、大量のサーバー側処理が必要な複雑なページを継続的にリクエストするなどです。
  • Slowloris攻撃: この攻撃は、Webサーバーへの接続を可能な限り多く、可能な限り長く開いたままにしようとします。部分的なHTTPリクエストを送信し、定期的に追加のHTTPヘッダーを送信しますが、決してリクエストを完了させません。これにより、サーバーはこれらの接続を開いたままにすることを余儀なくされ、最終的に接続プールが枯渇し、新しい正当な接続を受け入れられなくなります。
  • ゼロデイDDoS攻撃: これらの攻撃は、新たに発見された、まだ既知の解決策やパッチが存在しないソフトウェアの脆弱性を悪用します。これらの脆弱性が未知であるため、これらの攻撃から防御することは特に困難です。

なぜ攻撃者はDDoS攻撃を仕掛けるのか?

DDoS攻撃の背後には様々な動機があります。

  • 恐喝: 攻撃者は、進行中の攻撃を停止するために身代金の支払いを要求します。
  • ハクティビズム: グループがウェブサイトを攻撃して抗議したり、イデオロギーを宣伝したりします。
  • 競争妨害: ビジネス上のライバルが互いのオンライン事業に損害を与えようとすることがあります。
  • 報復: 個人やグループが不満や報復のために攻撃を仕掛けることがあります。
  • 陽動: DDoS攻撃は、データ窃取などのより悪質な活動が行われている間に、セキュリティチームの注意をそらすための煙幕として使用されることがあります。
  • いたずらやテスト: 場合によっては、攻撃者は単なるいたずらや自分の能力を試すために攻撃を仕掛けることがあります。

DDoS攻撃の影響

DDoS攻撃は、個人、企業、組織に壊滅的な影響を与える可能性があります。

  • サービス停止と収益損失: ウェブサイトやサービスの停止は、顧客が製品、サービス、または情報にアクセスできないことを意味し、売上と収益の直接的な損失につながります。
  • 評判の損害: アクセスできないサービスに顧客が不満を感じると、ブランドへの信頼が長期的に損なわれる可能性があります。
  • 運用コストの増加: DDoS攻撃への対応には、追加のITリソース、ネットワーク帯域幅、専門サービスが必要となり、運用コストが増加します。
  • 顧客離れ: 頻繁または長時間の停止は、顧客が競合他社に乗り換える原因となる可能性があります。
  • セキュリティ脆弱性: DDoS攻撃は、「煙幕」として利用され、攻撃者がデータ抜き取りなどの他の悪質な活動をバックグラウンドで行っている間に、セキュリティチームの注意をそらすことがあります。
  • データ損失(間接的): DDoS攻撃自体が直接データを盗むわけではありませんが、長時間のダウンタイムやその後のシステム復旧作業により、未保存またはバックアップされていないデータが失われる可能性があります。

DDoS攻撃の識別方法

DDoS攻撃を特定することは、その症状が正当なトラフィックの急増、ネットワークの問題、サーバーの障害と似ている可能性があるため、困難な場合があります。しかし、DDoS攻撃を受けていることを示すいくつかの兆候があります。

  • 単一のIPアドレスまたはIP範囲からの異常なトラフィックの急増: DDoSは分散型ですが、攻撃トラフィックの大部分が特定の地理的地域やネットワークから発生することもあります。
  • サービスの極端な遅延または完全な利用不能: ウェブページの読み込みが遅い、ファイルのダウンロードが遅い、アプリケーションの応答が遅延するなどです。
  • 特定のアプリケーションまたはサービスのクラッシュ: 例えば、ウェブサーバー、データベースサーバー、またはDNSサーバーが突然応答しなくなる。
  • 大量のジャンクトラフィックまたは不正な形式のパケット: ネットワーク監視ツールが、異常なパケットタイプやパターンを示す場合があります。
  • 異常な帯域幅の使用量: インターネット接続が異常な量のトラフィックで圧倒されている可能性があります。
  • 「サーバーエラー」または「接続タイムアウト」エラー: 正当なユーザーがサービスに接続できない場合に表示されるエラーです。

DDoS攻撃の緩和戦略

ウェブサイトやサービスをDDoS攻撃から保護するには、多層防御戦略が必要です。以下に、いくつかの主要な緩和策を示します。

1. 事前準備

  • インシデント対応計画の策定: DDoS攻撃発生時の対応手順、責任者、通信プロトコル、復旧手順を明確に定義します。これには、ISPおよびDDoS緩和サービスプロバイダーとの連携も含まれます。
  • ネットワークアーキテクチャの設計: 冗長性、スケーラビリティ、回復力を備えたネットワークアーキテクチャを採用します。これには、分散型サーバー、ロードバランサー、オフサイトバックアップが含まれます。
  • 帯域幅の過剰供給: 通常の運用ニーズよりも大幅に広いネットワーク帯域幅を確保し、トラフィック急増時にも余裕を持たせます。

2. 検出と分析

  • トラフィック監視と分析: ネットワークトラフィックパターン、帯域幅使用量、接続状態を継続的に監視します。異常なトラフィックパターン(例:突然の急増、異常な送信元からのトラフィック)は、攻撃が進行中であることを示している可能性があります。
  • ベースラインの確立: 異常を識別するためには、通常のトラフィックパターンを理解することが不可欠です。
  • 侵入検知システム(IDS)/侵入防御システム(IPS): これらのシステムを導入し、悪意のあるトラフィックパターンを検出してブロックします。

3. リアルタイム応答と緩和

  • レート制限: ネットワーク機器(ルーター、ファイアウォール、ロードバランサーなど)を設定して、一定期間に単一のIPアドレスまたはIP範囲から受け入れるリクエストの数を制限し、単一のソースからのトラフィックがサーバーを圧倒するのを防ぎます。
  • ブラックリストとホワイトリスト: トラフィックの送信元IPアドレスに基づいて、既知の悪意のあるIPアドレスをブロック(ブラックリスト)するか、信頼できる送信元からのIPアドレスのみを許可(ホワイトリスト)します。
  • IPスプーフィングフィルタリング: ルーターを設定して、偽装された送信元IPアドレスを使用する送信トラフィックを防ぎます。これは、DDoSアンプリフィケーション攻撃にネットワークが利用されるリスクを低減するのに役立ちます。
  • トラフィックスクラブbingサービス: すべての受信トラフィックをDDoS緩和サービスプロバイダーの「スクラブbingセンター」に再ルーティングします。これらのセンターでは、悪意のあるトラフィックがフィルタリングされて削除され、クリーンで正当なトラフィックがサーバーに転送されます。
  • コンテンツデリバリーネットワーク(CDN): CDNは、ウェブサイトのコンテンツを世界中の複数のサーバーに分散させることでDDoS攻撃の緩和に役立ちます。これらのサーバーは攻撃トラフィックを吸収し、正当なリクエストを最も近い健全なサーバーに誘導することができます。
  • ウェブアプリケーションファイアウォール(WAF): WAFはウェブアプリケーションとインターネットの間に配置され、HTTPトラフィックをフィルタリングおよび監視します。アプリケーション層DDoS攻撃やその他のウェブアプリケーションの悪用から防御するのに役立ちます。

4. サービスプロバイダーとツール

  • DDoS保護サービス: 多くのクラウドプロバイダーや専門のセキュリティ企業は、Cloudflare、Akamai、AWS ShieldなどのDDoS保護サービスを提供しています。これらのサービスは、大規模な攻撃に対抗するための広範な帯域幅と高度な分析ツールを提供することがよくあります。
  • クラウドスケーリング: クラウドサービスの弾力性を活用し、攻撃中にリソースを拡張して増加したトラフィックを吸収します。
  • ハイブリッド防御: オンプレミスのアプライアンスとクラウドベースのサービスの利点を組み合わせて、より包括的な防御を実現します。

進化する脅威の状況

DDoS攻撃の性質は常に進化しています。攻撃者は、新しいプロトコル、より大規模なボットネット、より洗練された技術を利用して、常に新しい手法を開発しています。これは、防御側がオンライン資産を効果的に保護するために、知識と防御戦略を継続的に更新する必要があることを意味します。定期的なセキュリティ監査、ストレステスト、従業員トレーニングが、優位を保つための鍵となります。

DDoS攻撃の仕組み、種類、および利用可能な緩和戦略を理解することで、組織はこれらの破壊的なサイバー脅威から自身をより適切に準備し、保護することができます。