Webサイトやオンラインサービスが突然つながらなくなる──その原因の1つが「DDoS攻撃」です。 近年、企業や行政機関への攻撃が増えており、事業継続を脅かす深刻なリスクになっています。この記事では、DDoS攻撃のしくみと実践的な対策を、初心者にもわかりやすく解説します。
DDoS攻撃とは、複数の端末から一斉にアクセスを集中させて、サーバーやシステムを動かなくさせる攻撃です。
正式名称は「Distributed Denial of Service(分散型サービス拒否攻撃)」です。Webサイトが表示されなくなったり、システムが停止したりして、事業が止まってしまいます。
| 攻撃タイプ | 狙い |
|---|---|
| ボリューム型攻撃 | UDP(通信確認なしで送れるプロトコル)やICMP(通信状態を確認するプロトコル)などを使って大量のデータを送りつけ、通信回線をパンクさせる |
| プロトコル型攻撃 | TCPの3ウェイハンドシェイク(通信開始時の手続き)などのしくみを悪用して、サーバーの処理能力を使い切らせる |
| アプリケーション層攻撃 | HTTPリクエスト(Webページを表示するための通信)を大量に送り、ログインや検索など負荷の高い機能を狙って攻撃する |
似た言葉に「DoS攻撃」がありますが、決定的な違いがあります。
DDoSは攻撃元が分散しているため、単純に特定のアクセス元を遮断するだけでは防げません。より高度な対策が必要になります。
また、DDoS攻撃を囮にして、その裏で別の侵入を狙うケースもあるため、「ただのアクセス集中」と軽く見ないことが重要です。
DoS攻撃の詳細はこちらでも解説しております。
監修:増井さん
DDoS攻撃で注意すべきは「陽動」の可能性です。システムが停止している間に、別の侵入口から重要データの窃取やマルウェア感染を狙うケースが実際に確認されています。DDoS発生時はトラフィックの遮断に奔走するだけでなく、並行して、不審なログイン試行や管理画面への不審なアクセス、APIやファイルへのアクセス、新規ユーザー登録や権限変更の急増などの監視を怠らないことが重要です。
日本でも、DDoS攻撃は年々増加しています。
これらのデータからも、DDoS攻撃は一時的な問題ではなく、継続的に備えるべきリスクであることがわかります。
※参考
DDoS攻撃は「サイトが一時的に見られなくなる」だけでは済みません。
ECサイトや予約システムが止まれば、その間の売上はゼロになります。復旧後もすべての顧客が戻るとは限りません。
「このサービスは不安定だ」と感じた顧客は、競合サービスに移ってしまう可能性があります。
企業向けサービス(B2B)の場合、SLA(サービス品質保証:稼働率などの約束事項)違反で賠償請求される恐れもあります。
次のような症状が出たら、単なるアクセス集中ではなくDDoS攻撃の可能性を疑いましょう。
普段の何倍ものアクセスが短時間で集中している状態です。
確認方法: 監視ツールでアクセス数の推移を確認。急激な増加があれば、通信事業者やクラウド事業者に連絡しましょう。
ログイン画面や検索機能など、特定の機能だけがタイムアウトする場合、アプリケーション層を狙った攻撃の可能性があります。
確認方法: アクセスログを見て、同じような通信が大量に来ていないかチェック。必要に応じてアクセス制限をかけましょう。
正常なアクセスは地域や国がばらけますが、攻撃では特定の国や地域からのアクセスが集中します。また、同じASN(通信事業者やデータセンターのグループ番号)から大量の端末がアクセスしてくることもあります。
確認方法: アクセス元の国や地域を確認。怪しいアクセス元を一時的に遮断することも検討しましょう。
CPU使用率やメモリ使用率が急に跳ね上がっている場合、大量の通信処理でサーバーが限界に達している可能性があります。
確認方法: 監視画面で負荷を確認。緊急性が高ければ、DDoS対策サービスの緊急機能を有効化しましょう。
DDoS対策は、1つの方法だけに頼らず、複数の防御を組み合わせることが基本です。
攻撃の種類や規模によって有効な対策が異なるため、「気付く→受け止める→耐え続ける」という3段階で備えることが重要です。
| ステップ | 目的 | 具体的な対策 |
|---|---|---|
| ①検知 | 攻撃に早く気付く | ・アクセス数の常時監視 ・異常通信の自動通知 |
| ②軽減 | 被害を最小限にする | ・通信量の制限 ・攻撃元の遮断 |
| ③維持 | サービスを止めない | ・CDN(アクセスの分散) ・WAF(不正通信の遮断) ・サーバーの冗長化 |
この3つは「順番に対応する」のではなく、あらかじめしくみとして準備しておくことが大切です。
監修:増井さん
多層防御の本質は「完璧な防御壁をつくること」ではなく「1つの防御が破られても次がある状態」をつくることです。実際の攻撃では、想定外の手法や規模で行われることも少なくありません。そのため、検知→軽減→維持の各段階で複数の選択肢を持っておくことが、事業継続の鍵となります。
これを判断するには、演習(訓練)も有効です。攻撃を受けたときにどのレベルまで防げる必要があるのか、どの防御策が機能するのか、さまざまなパターンを想定しておきましょう。
大量のデータを送りつけてくる攻撃には、サーバーに届く前に止めることが重要です。
これは「L3/L4攻撃」と呼ばれ、通信の土台部分(ネットワーク層・トランスポート層)を狙った攻撃を指します。
| 対策 | 内容 |
|---|---|
| 上流での遮断 | 通信事業者やクラウド事業者が、サーバーに届く前に異常な通信を遮断。ブラックホールルーティング(攻撃通信を無効化するしくみ)やACL(アクセス制御リスト:通信の許可・拒否ルール)を使って防御する |
| DDoS防御サービス | AWS Shield、Azure DDoS Protectionなどのサービスで自動防御する |
| 冗長化 | 複数の回線・サーバーを用意し、1つが攻撃されても全体が止まらないようにする |
一見普通のアクセスに見せかけて、負荷の高い処理を狙ってくる攻撃には、通信の中身を見て判断することが必要です。
これは「L7攻撃」と呼ばれ、アプリケーション層(ユーザーが実際に操作する画面やAPI)を狙った攻撃を指します。
| 対策 | 内容 |
|---|---|
| WAF(Webアプリケーションファイアウォール) | Webアプリを守る防御壁。不正なリクエストを自動で遮断する |
| CDN(コンテンツ配信ネットワーク) | 世界中のサーバーにコンテンツを分散配置し、アクセスを分散させて負荷を軽減する |
| レート制限 | 同じ人から短時間に大量のアクセスがあった場合、自動的に制限する |
AWS、Azure、Google Cloudには、DDoS対策機能が標準で用意されています。しかし、「クラウドに任せておけば安全」というわけではありません。
クラウドには「共有責任モデル」という考え方があります
過去には、アクセス権限を管理するIAM(Identity and Access Management:誰が何にアクセスできるかを制御するしくみ)の設定ミスで、データが外部から見える状態になっていた事例もあります。設定・監視・診断は企業側の責任として必要です。
DDoS対策は「導入して終わり」ではありません。継続的に運用し、守り続けることが最も重要です。
訓練によって、「備えているつもり」から「実際に動ける状態」に変えることができます。
DDoS対策サービスは数多くありますが、機能や価格だけで選ぶと失敗します。
次の3つの視点で評価しましょう。
| 視点 | チェックポイント |
|---|---|
| ①防御範囲 | 自社が狙われやすい攻撃タイプに対応しているか |
| ②使いやすさ | 攻撃状況が見える化されているか、社内報告しやすいか |
| ③サポート体制 | 導入後も設定調整やアドバイスをしてくれるか |
「導入後も改善提案をしてくれるベンダーか」を軸に判断するのが賢明です。
監修:増井さん
DDoS対策サービスの選定で最も見落とされがちなのが「運用支援の質」です。導入時点では各社のスペックに大きな差はありませんが、実際に攻撃を受けたときの初動支援や、定期的なルールチューニングや演習の提案があるかどうかで、防御効果に大きな差が出ます。過去の実績などを提示してもらい、「何かあったときに継続して相談できる相手がいるか」を重視して選びましょう。
クラウド環境は常に変化します。新機能の追加や設定変更のたびにリスクも変わるため、対策を一度導入して終わりにせず、更新し続ける体制が必要です。
重要なのは「攻撃を防ぐこと」ではなく、防ぎ続けられる状態をしくみ化することです。
ユービーセキュアでは、Webアプリ診断・クラウド診断・ペネトレーションテストなどを通じて、企業の現状に合わせた防御体制づくりを支援しています。
継続的な対策を整えたい、まず何から対策したらいいかわからないなど、セキュリティ対策に疑問や課題を抱えている方は、お気軽に弊社セキュリティの専門家へご相談ください。