← 攻撃手法一覧
可用性攻撃ネットワーク攻撃1990年代〜現在

DDoS攻撃とは

DDoS(Distributed Denial of Service)攻撃は、 複数のコンピュータから標的のサーバーやネットワークに大量のリクエストを送り、 サービスを利用不能にする攻撃です。 単一のコンピュータからの攻撃(DoS)と異なり、 世界中に分散したボットネットから攻撃するため、ブロックが非常に困難です。

目次
1. DDoS攻撃の概要2. 攻撃の種類3. 攻撃規模の推移4. 主な被害事例5. DDoS攻撃の検知方法6. 対策・防御方法

1. DDoS攻撃の概要

DDoS攻撃の目的はサービスの「可用性」を破壊することです。 機密情報の窃取や改ざんではなく、「サービスを使えなくする」こと自体が目的です。 動機は競合他社への妨害・政治的主張・身代金要求・ハクティビズムなど様々です。

経済的損失
ECサイト・金融サービスがダウンすると、1時間あたり数百万〜数億円の損失が発生する
評判の失墜
サービス停止は顧客の信頼を失い、長期的なユーザー離れにつながる
煙幕としての利用
DDoSでセキュリティチームを引き付けている間に、別の攻撃(データ窃取など)を行う手口もある
身代金要求
「DDoSを止めてほしければ仮想通貨を払え」というランサムDDoSが増加している

2. 攻撃の種類

ボリューム攻撃UDPフラッド・ICMPフラッド
大量のUDP・ICMPパケットを送りつけて帯域幅を枯渇させる。最も一般的なDDoS手法。攻撃規模はTbps(テラビット毎秒)に達することもある。
プロトコル攻撃SYNフラッド
TCPの3ウェイハンドシェイクを悪用。SYNパケットを大量送信してサーバーの接続テーブルを枯渇させる。ACKを返さないため接続が半開き状態のまま残る。
プロトコル攻撃DNSアンプ攻撃
送信元IPを偽装してDNSサーバーに小さなクエリを送り、大きなレスポンスを標的に届ける増幅攻撃。少ない攻撃リソースで大きな攻撃効果を得られる。
アプリケーション攻撃HTTPフラッド(Layer 7攻撃)
正規に見えるHTTPリクエストを大量送信してWebサーバーを過負荷にする。帯域幅は少なくてもサーバーのCPU・メモリを枯渇させられる。
アプリケーション攻撃Slowloris攻撃
大量の接続を開いたまま非常にゆっくりとリクエストを送り続け、サーバーの接続数上限を占有する。少ないリソースで大きなサーバーをダウンさせられる。
反射・増幅攻撃NTPアンプ・Memcachedアンプ
送信元IPを偽装してNTPサーバーやMemcachedサーバーに小さなリクエストを送り、大きなレスポンスを標的に向ける。増幅率が数千倍に達することもある。

3. 攻撃規模の推移

DDoS攻撃の規模は年々拡大しており、IoTボットネットやクラウドの普及により かつては考えられなかった規模の攻撃が現実のものとなっています。

2016年1.2 TbpsMirai botnetによるDyn DNS攻撃(当時の世界記録)
2018年1.35 TbpsGitHub へのMemcachedアンプ攻撃
2020年2.3 TbpsAWSへの攻撃(当時の最大規模)
2022年3.47 TbpsMicrosoftへの攻撃
2023年〜71 Tbps超HTTP/2 Rapid Reset攻撃(Google・AWS・Cloudflare)

4. 主な被害事例

2016年10月Dyn DNS(米国)
MiraiボットネットによるDDoS攻撃でDNSサービスが停止。Twitter・Netflix・Reddit・AmazonなどのWebサービスが数時間アクセス不能になった。
2018年2月GitHub
Memcachedアンプ攻撃により1.35TbpsのDDoS攻撃を受けた。Cloudflare・Akamaiの防護により数分で緩和された。
2022年〜ロシア・ウクライナ関連機関
ロシアのウクライナ侵攻に伴い、Anonymous・IT Army of Ukraineなどのハクティビストグループが両国の政府・メディア・インフラに大規模DDoS攻撃を実施した。
2023年日本の政府・金融機関
親ロシアのハッカー集団「Killnet」が日本政府・金融機関・空港のWebサイトに対してDDoS攻撃を行い、一時的なアクセス障害が発生した。

5. DDoS攻撃の検知方法

帯域幅の急激な増加
通常時の数倍〜数十倍のトラフィックが発生する。ネットワーク監視ツールで検知できる。
特定のIPアドレスからの大量リクエスト
同一IPまたは同一範囲のIPから異常な数のリクエストが来る。ただし分散攻撃では多数のIPが使われる。
レスポンスタイムの急激な悪化
サーバーの応答が遅くなりタイムアウトが増加する。監視ツールのアラートで検知する。
異常なパターンのトラフィック
同じリクエストの大量繰り返し・特定のポートへの集中・不正なパケットフラグなど。

6. 対策・防御方法

最重要DDoS対策サービスを導入する(Cloudflare・AWS Shield・Akamai)。大規模攻撃はこれなしには防げない
最重要CDNを利用してオリジンサーバーのIPアドレスを隠蔽する
推奨レート制限(Rate Limiting)を実装して1IPあたりのリクエスト数を制限する
推奨WAF(Webアプリケーションファイアウォール)でアプリケーション層の攻撃をブロックする
推奨Anycastルーティングで攻撃トラフィックを複数のデータセンターに分散させる
組織向けISPと協力してアップストリームでのフィルタリングを行う(ブラックホールルーティング)
組織向けDDoS対応のインシデントレスポンス計画を策定し、定期的に訓練する

まとめ

DDoS攻撃は年々規模が拡大しており、個人や中小企業のサーバーでは 大規模な攻撃に対抗することはほぼ不可能です。 Cloudflareなどの専門的なDDoS対策サービスの利用が最も効果的な防御策です。 また、重要なサービスは単一サーバーに依存せず、 冗長化・分散化された構成にしておくことが重要です。

参考・関連リンク

Cloudflare - DDoS攻撃とはNICT - DDoS攻撃への対策AWS Shield - DDoS対策