Webサイトやオンラインサービスが突然つながらなくなる──その原因の1つが「DDoS攻撃」です。 近年、企業や行政機関への攻撃が増えており、事業継続を脅かす深刻なリスクになっています。この記事では、DDoS攻撃のしくみと実践的な対策を、初心者にもわかりやすく解説します。
この記事を監修した人
増井敏克
増井技術士事務所 代表
技術士(情報工学部門)、テクニカルエンジニア(ネットワーク、情報セキュリティ)、その他情報処理技術者試験にも多数合格。また、ビジネス数学検定1級に合格し、公益財団法人日本数学検定協会認定トレーナーとしても活動。「ビジネス」×「数学」×「IT」を組み合わせ、コンピュータを「正しく」「効率よく」使うためのスキルアップ支援や、各種ソフトウェアの開発を行っている。著書に『IT用語図鑑』『図解まるわかり セキュリティのしくみ』『どうしてこうなった?セキュリティの笑えないミスとその対策51』『「技術書」の読書術』『実務で役立つ ログの教科書』など。
DDoS攻撃とは?
DDoS攻撃とは、複数の端末から一斉にアクセスを集中させて、サーバーやシステムを動かなくさせる攻撃です。
正式名称は「Distributed Denial of Service(分散型サービス拒否攻撃)」です。Webサイトが表示されなくなったり、システムが停止したりして、事業が止まってしまいます。
代表的な攻撃のタイプ
| 攻撃タイプ | 狙い |
|---|---|
| ボリューム型攻撃 | UDP(通信確認なしで送れるプロトコル)やICMP(通信状態を確認するプロトコル)などを使って大量のデータを送りつけ、通信回線をパンクさせる |
| プロトコル型攻撃 | TCPの3ウェイハンドシェイク(通信開始時の手続き)などのしくみを悪用して、サーバーの処理能力を使い切らせる |
| アプリケーション層攻撃 | HTTPリクエスト(Webページを表示するための通信)を大量に送り、ログインや検索など負荷の高い機能を狙って攻撃する |
DoS攻撃との違い
似た言葉に「DoS攻撃」がありますが、決定的な違いがあります。
- DoS攻撃:1台の端末から大量アクセスを送る
- DDoS攻撃:多数の端末を使って同時に攻撃する
DDoSは攻撃元が分散しているため、単純に特定のアクセス元を遮断するだけでは防げません。より高度な対策が必要になります。
また、DDoS攻撃を囮にして、その裏で別の侵入を狙うケースもあるため、「ただのアクセス集中」と軽く見ないことが重要です。
DoS攻撃の詳細はこちらでも解説しております。
監修:増井さん
DDoS攻撃で注意すべきは「陽動」の可能性です。システムが停止している間に、別の侵入口から重要データの窃取やマルウェア感染を狙うケースが実際に確認されています。DDoS発生時はトラフィックの遮断に奔走するだけでなく、並行して、不審なログイン試行や管理画面への不審なアクセス、APIやファイルへのアクセス、新規ユーザー登録や権限変更の急増などの監視を怠らないことが重要です。
DDoS攻撃の現状
日本でも、DDoS攻撃は年々増加しています。
- 国立研究開発法人情報通信研究機構(NICT)の調査では、日本向けの攻撃通信が年間17万件を超えています
- 警察庁の報告では、金融機関や行政機関を狙った攻撃が複数確認されています
- 国家サイバー統括室(NCO)も、企業に対して継続的な注意喚起を行っています
これらのデータからも、DDoS攻撃は一時的な問題ではなく、継続的に備えるべきリスクであることがわかります。
※参考
- 国立研究開発法人情報通信研究機構(NICT)「NICTER観測レポート2024」
- 警察庁「令和6年版 サイバー空間をめぐる脅威の情勢」
- 国家サイバー統括室(NCO)「サイバーセキュリティ2024(令和6年)」
DDoS攻撃がもたらす被害
DDoS攻撃は「サイトが一時的に見られなくなる」だけでは済みません。
主な被害
1. 売上の損失
ECサイトや予約システムが止まれば、その間の売上はゼロになります。復旧後もすべての顧客が戻るとは限りません。
2. 信頼の低下
「このサービスは不安定だ」と感じた顧客は、競合サービスに移ってしまう可能性があります。
3. 契約トラブル
企業向けサービス(B2B)の場合、SLA(サービス品質保証:稼働率などの約束事項)違反で賠償請求される恐れもあります。
DDoS攻撃かもしれない4つのサイン
次のような症状が出たら、単なるアクセス集中ではなくDDoS攻撃の可能性を疑いましょう。
1. アクセス数が異常に急増している
普段の何倍ものアクセスが短時間で集中している状態です。
確認方法: 監視ツールでアクセス数の推移を確認。急激な増加があれば、通信事業者やクラウド事業者に連絡しましょう。
2. 特定のページだけが極端に遅い
ログイン画面や検索機能など、特定の機能だけがタイムアウトする場合、アプリケーション層を狙った攻撃の可能性があります。
確認方法: アクセスログを見て、同じような通信が大量に来ていないかチェック。必要に応じてアクセス制限をかけましょう。
3. 海外や不自然なアクセス元が急増している
正常なアクセスは地域や国がばらけますが、攻撃では特定の国や地域からのアクセスが集中します。また、同じASN(通信事業者やデータセンターのグループ番号)から大量の端末がアクセスしてくることもあります。
確認方法: アクセス元の国や地域を確認。怪しいアクセス元を一時的に遮断することも検討しましょう。
4. サーバーの負荷が急上昇している
CPU使用率やメモリ使用率が急に跳ね上がっている場合、大量の通信処理でサーバーが限界に達している可能性があります。
確認方法: 監視画面で負荷を確認。緊急性が高ければ、DDoS対策サービスの緊急機能を有効化しましょう。
DDoS攻撃への対策:多層防御の考え方
DDoS対策は、1つの方法だけに頼らず、複数の防御を組み合わせることが基本です。
攻撃の種類や規模によって有効な対策が異なるため、「気付く→受け止める→耐え続ける」という3段階で備えることが重要です。
防御の3つのステップ
| ステップ | 目的 | 具体的な対策 |
|---|---|---|
| ①検知 | 攻撃に早く気付く | ・アクセス数の常時監視 ・異常通信の自動通知 |
| ②軽減 | 被害を最小限にする | ・通信量の制限 ・攻撃元の遮断 |
| ③維持 | サービスを止めない | ・CDN(アクセスの分散) ・WAF(不正通信の遮断) ・サーバーの冗長化 |
この3つは「順番に対応する」のではなく、あらかじめしくみとして準備しておくことが大切です。
監修:増井さん
多層防御の本質は「完璧な防御壁をつくること」ではなく「1つの防御が破られても次がある状態」をつくることです。実際の攻撃では、想定外の手法や規模で行われることも少なくありません。そのため、検知→軽減→維持の各段階で複数の選択肢を持っておくことが、事業継続の鍵となります。
これを判断するには、演習(訓練)も有効です。攻撃を受けたときにどのレベルまで防げる必要があるのか、どの防御策が機能するのか、さまざまなパターンを想定しておきましょう。
具体的な防御策
ネットワーク層の対策(大量データ攻撃への備え)
大量のデータを送りつけてくる攻撃には、サーバーに届く前に止めることが重要です。
これは「L3/L4攻撃」と呼ばれ、通信の土台部分(ネットワーク層・トランスポート層)を狙った攻撃を指します。
| 対策 | 内容 |
|---|---|
| 上流での遮断 | 通信事業者やクラウド事業者が、サーバーに届く前に異常な通信を遮断。ブラックホールルーティング(攻撃通信を無効化するしくみ)やACL(アクセス制御リスト:通信の許可・拒否ルール)を使って防御する |
| DDoS防御サービス | AWS Shield、Azure DDoS Protectionなどのサービスで自動防御する |
| 冗長化 | 複数の回線・サーバーを用意し、1つが攻撃されても全体が止まらないようにする |
アプリケーション層の対策(巧妙な攻撃への備え)
一見普通のアクセスに見せかけて、負荷の高い処理を狙ってくる攻撃には、通信の中身を見て判断することが必要です。
これは「L7攻撃」と呼ばれ、アプリケーション層(ユーザーが実際に操作する画面やAPI)を狙った攻撃を指します。
| 対策 | 内容 |
|---|---|
| WAF(Webアプリケーションファイアウォール) | Webアプリを守る防御壁。不正なリクエストを自動で遮断する |
| CDN(コンテンツ配信ネットワーク) | 世界中のサーバーにコンテンツを分散配置し、アクセスを分散させて負荷を軽減する |
| レート制限 | 同じ人から短時間に大量のアクセスがあった場合、自動的に制限する |
クラウド防御の注意点
AWS、Azure、Google Cloudには、DDoS対策機能が標準で用意されています。しかし、「クラウドに任せておけば安全」というわけではありません。
クラウドには「共有責任モデル」という考え方があります
- クラウド事業者:インフラの安全を守る
- 企業側:設定ミスや権限管理、定期診断を行う
過去には、アクセス権限を管理するIAM(Identity and Access Management:誰が何にアクセスできるかを制御するしくみ)の設定ミスで、データが外部から見える状態になっていた事例もあります。設定・監視・診断は企業側の責任として必要です。
運用・監視体制の整備
DDoS対策は「導入して終わり」ではありません。継続的に運用し、守り続けることが最も重要です。
①事前準備:攻撃が起きたときの流れを決めておく
- CSIRT(セキュリティ事故対応チーム)やSOC(セキュリティ監視センター)など専門チームとの連携ルールを定める
- 社内の連絡体制をドキュメント化する
- 代替サイトやバックアップ手段を用意する
②日頃の監視:継続的な監視と記録
- アクセス数や通信量をリアルタイムで監視
- ログを保存し、後から分析できるようにする
- 定期的に振り返り、対策ルールを改善する
③改善・訓練:防御ルールの定期見直し
- アクセス制限の設定を定期的にレビュー
- IPA(情報処理推進機構)・JPCERT/CC(JPCERTコーディネーションセンター:セキュリティ情報の収集・発信を行う組織)などの最新情報を反映
- 模擬攻撃(演習)で対応力を確認する
訓練によって、「備えているつもり」から「実際に動ける状態」に変えることができます。
自社に合ったDDoS対策サービスの選び方
DDoS対策サービスは数多くありますが、機能や価格だけで選ぶと失敗します。
次の3つの視点で評価しましょう。
| 視点 | チェックポイント |
|---|---|
| ①防御範囲 | 自社が狙われやすい攻撃タイプに対応しているか |
| ②使いやすさ | 攻撃状況が見える化されているか、社内報告しやすいか |
| ③サポート体制 | 導入後も設定調整やアドバイスをしてくれるか |
「導入後も改善提案をしてくれるベンダーか」を軸に判断するのが賢明です。
監修:増井さん
DDoS対策サービスの選定で最も見落とされがちなのが「運用支援の質」です。導入時点では各社のスペックに大きな差はありませんが、実際に攻撃を受けたときの初動支援や、定期的なルールチューニングや演習の提案があるかどうかで、防御効果に大きな差が出ます。過去の実績などを提示してもらい、「何かあったときに継続して相談できる相手がいるか」を重視して選びましょう。
まとめ:継続的に守るしくみをつくる
クラウド環境は常に変化します。新機能の追加や設定変更のたびにリスクも変わるため、対策を一度導入して終わりにせず、更新し続ける体制が必要です。
重要な3つのポイント
- 固定化しない:診断や対策は定期的に点検・改善する
- 運用ルールを育てる:ログ分析や設定見直しを継続する
- 最新情報に追随する:公的機関の情報を参考にルールを更新する
重要なのは「攻撃を防ぐこと」ではなく、防ぎ続けられる状態をしくみ化することです。
ユービーセキュアでは、Webアプリ診断・クラウド診断・ペネトレーションテストなどを通じて、企業の現状に合わせた防御体制づくりを支援しています。
継続的な対策を整えたい、まず何から対策したらいいかわからないなど、セキュリティ対策に疑問や課題を抱えている方は、お気軽に弊社セキュリティの専門家へご相談ください。
