DDoS攻撃とは?DoS攻撃との違いや対策方法

DDoS攻撃とは?DoS攻撃との違いや対策方法
2025.01.15 更新 (2022.03.31公開)

サイバー攻撃の巧妙化は年々進んでおり、日々新たな脅威が生まれています。しかし従来あるサイバー攻撃のなかにも、依然防ぐことが難しいものも少なくありません。この記事では、防御が困難とされるDDoS攻撃の概要や被害、必要な対策についてご紹介します。

セキュリティ無料相談

目次

DDoS攻撃とは

DDoS攻撃(Distributed Denial of Service attack/分散型サービス拒否攻撃)とは、数あるサイバー攻撃のうちの1つで、読み方は「ディードス攻撃」です。悪意のある第三者が他社のコンピュータなどを踏み台にし(利用して)、ウェブサイトやサーバーなどに大量のデータを送り付け、負荷をかけることでウェブサイトやサーバーなどを停止または遅延させる攻撃です。この攻撃によって、一時的にウェブサイトへのアクセスができなくなったりネットワークの遅延が起こるなどの被害を受けます。
その際に、攻撃者と関連性のない機器が踏み台とされて(利用されて)攻撃するため、真犯人の特定が難しいという特徴があります。

DDoS攻撃とDoS攻撃の違いは?

DDoS攻撃とよく似た呼び名のサイバー攻撃に、DoS攻撃(ドス攻撃、Denial of Service attack/サービス負荷攻撃)があります。このDoS攻撃とDDoS攻撃は、どのような点が異なるのでしょうか。

DDoS攻撃とDoS攻撃の違いは?

2つの違いは、攻撃を仕掛ける機器の台数です。
DoS攻撃は、サイバー犯が1台の機器で対象となるウェブサイトやサーバーに過剰な負荷をかける攻撃です。それに対しDDoS攻撃は、複数台の機器を踏み台にして(利用して)さらに大規模な攻撃を行うものです。つまりDDoS攻撃は、DoS攻撃がより巧妙化し悪質化したものと考えてよいでしょう。

DDoS攻撃を行う理由

犯人がDDoS攻撃を実行する理由は、その状況や経緯によってさまざまです。しかし一般的には、以下のような動機のもとに行われているとみられています。

  • 個人的な恨みや嫌悪による嫌がらせ
  • 悪質ないたずらや愉快犯(他人を困らせたり混乱させたりして楽しむ犯行)
  • 金銭の要求
  • 何らかの目的に基づく脅迫
  • 見解や思想が相容れないことに対する抗議の表明 など

DDoSはなぜ防ぐことが困難なのか

誰もが知るような大手企業でもDDoS攻撃によるサービス停止のニュースを見かけることがあります。DDoS攻撃を防ぐことが困難な理由は何でしょうか。

正当なトラフィックと悪意のあるトラフィックの区別が困難

通常のユーザーがウェブサイトにアクセスする際の通信と、DDoS攻撃による通信は、技術的には非常によく似ています。たとえば、通常のユーザーが商品を閲覧するために商品ページにアクセスする場合と、攻撃者が同じページに大量のリクエストを送信する場合、そのトラフィックパターンは非常に類似しています。IPアドレスによるブロックを試みても、攻撃者は多数の異なるIPアドレスを使用するため、正常なユーザーまで巻き込んでしまう可能性が高くなります。また、高度な攻撃では人間の行動を模倣するAIを使用することもあり、この識別をさらに困難にしています。

攻撃の規模と分散性

現代のDDoS攻撃は、世界中に分散された数千から数十万台のコンピューターを同時に使用します。これらのコンピューターの多くは、マルウェアに感染した一般ユーザーのPCやIoTデバイスです。例えば、防犯カメラやルーター、スマート家電などが知らぬ間に攻撃に利用されることがあります。各デバイスは異なる場所から、異なるタイミングで、様々な種類の攻撃を仕掛けてきます。このように地理的にも時間的にも分散された攻撃に対して、すべての攻撃元を特定してブロックすることは事実上不可能です。

攻撃手法の進化

攻撃者は常に新しい手法を開発し、既存の防御システムを回避しようとしています。例えば、HTTPやHTTPSの正当な通信を装った攻撃(Layer 7攻撃)は、通常の暗号化通信と見分けがつきにくく、従来のファイアウォールでは検出が困難です。また、DNSアンプ攻撃のような手法では、小さなリクエストで大量の応答を生成させることで、効率的に標的のリソースを枯渇させることができます。さらに、複数の攻撃手法を組み合わせたハイブリッド攻撃も増加しており、単一の対策では防ぎきれない状況になっています。

これらの問題に対して、現代では多層的な防御アプローチが推奨されています。完全な防御は難しくても、複数の対策を適切に組み合わせることで、サービスの可用性を維持することが可能になっています。

DDoS攻撃をされた場合の被害

万一DDoS攻撃を受けてしまった場合、どのような被害が想定されるのでしょうか。ここでは、DDoS攻撃の主な被害についてご説明します。

企業サイトのサーバーダウン

攻撃のターゲットとされたウェブサイトやサーバーが負荷によりダウンすることで、企業はオンラインで行っているサービスの停止を余儀なくされてしまいます。必要な情報を必要とする相手へ届けられなくなるほか、企業自体やその製品・サービスへの信頼を失墜させることにもなりえます。

莫大な費用の発生

ECサイトを開設している企業の場合、サーバーダウンによって商取引ができなくなるため、サービス停止による大規模な損害が生じる可能性があります。
また企業側が従量課金制のサーバーを利用している場合、攻撃を受けた分だけサーバーが大量の処理を行うこととなるため、利用料金が莫大になるかもしれません。このケースではベンダー側が攻撃を判別し対処してくれる場合もありますが、その対処が攻撃者によって巧妙に回避される恐れもあるでしょう。

DDoS攻撃の種類

DDoS攻撃は、2つの種類に大きく分けられます。ここでは、DDoS攻撃の主な種類である「フラッド型」と「脆弱性」の2つについて、くわしくご紹介します。

フラッド(flood:洪水)型

Webサーバーと端末の間の、通信プロトコルの手順を正当に行っているように見せかけ、不正な通信を大量に実行する攻撃です。Webサーバーは大量の不正通信に対し処理を行わなければならなくなり、負荷増大による遅延やダウンを招いてしまいます。
攻撃対象となる通信経路の部分によって、SYNフラッド攻撃・FINフラッド攻撃・ACKフラッド攻撃・UDPフラッド攻撃・DNSフラッド攻撃などの種類に細分化されます。

脆弱性型

攻撃者がターゲットとなるWebサーバーやソフトウェアに脆弱性を見つけ、そこを狙って大量のデータを送るなどの過重負荷などを与える攻撃を行い、ダウンや遅延を誘発するものです。脆弱性型も狙う対象によってさらに細分化されており、Ping of Death攻撃・Tear Drop攻撃が代表的な種類です。

DDoS攻撃の対策方法とは

攻撃者の特定が困難とされるDDoS攻撃ですが、被害を最小限にとどめるためには必要な対策を講じなければなりません。ここでは、DDoS攻撃の被害を抑えるために有効とされる対策を予防的対策と攻撃発生時の対応の2つの観点から詳しく説明します。

予防的対策

インフラの強化

世界中に分散配置されたCDN(Content Delivery Network)を導入することで、エンドユーザーに最も近いサーバーからコンテンツを配信し、オリジンサーバーへの負荷を大幅に軽減することができます。また、クラウドインフラを採用することで、トラフィックの急増時に自動的にリソースを拡張できる柔軟な構成を実現できます。さらに、複数のデータセンターやサーバーを用意し、一部が攻撃を受けても全体のサービスが停止しないよう、冗長性を確保することが重要です。

セキュリティ対策の実装

WAF(Web Application Firewall)を導入することで、HTTPやHTTPSレベルでの異常なリクエストを検知し、ブロックすることができます。同時に、特定のIPアドレスやセッションからの過度なリクエストを制限するレートリミッティングを実装し、サーバーリソースの枯渇を防ぎます。また、リアルタイムのトラフィック分析ツールを導入することで、通常とは異なるトラフィックパターンを早期に発見し、対策を講じることが可能になります。

DDoS対策サービスの利用

専門のDDoS対策サービスを導入することで、大規模な攻撃に対しても効果的な防御が可能になります。これらのサービスは、世界規模のネットワークインフラを活用して攻撃トラフィックを吸収し、正常なトラフィックのみを通過させます。また、常時監視体制により、攻撃の検知から対応までを迅速に行うことができます。

攻撃発生時の対応

初期対応

攻撃を検知した場合、まず攻撃の種類(SYN Flood、HTTP Flood、DNS増幅攻撃など)と規模を特定します。その情報を基に、システム管理者やセキュリティチームに直ちに通知を行い、対応体制を確立します。必要に応じて、インターネットサービスプロバイダーやセキュリティベンダーにも連絡を取り、より大規模な防御体制を構築します。

トラフィックコントロール

特定された攻撃元IPアドレスからのトラフィックを即座にブロックします。攻撃が特定の地域から集中している場合は、その地域からのアクセスを一時的に制限するGeoIPフィルタリングを実施します。また、重要度に応じてトラフィックに優先順位を付け、クリティカルなサービスへのアクセスを確保します。

システムの最適化

攻撃中は、メンテナンスモードの有効化や非重要サービスの一時停止により、システムリソースを重要なサービスに集中させます。特に重要度の高いサービスを優先的に維持し、システム全体の安定性を確保します。また、コンテンツのキャッシュを積極的に活用することで、サーバーへの負荷を軽減します。

記録と分析

攻撃中のトラフィックパターン、攻撃元IPアドレス、使用された攻撃手法などを詳細に記録します。これらのログは安全な場所に保存し、後の分析に活用します。分析結果は、将来の攻撃に対する防御策の改善に役立てます。

復旧と改善

攻撃が収束した後、すべてのシステムの正常性を確認します。セキュリティ設定を見直し、必要に応じて強化します。また、攻撃の詳細や対応状況をまとめたインシデントレポートを作成し、組織内で共有することで、今後の対策に活かします。

これらの対策を適切に組み合わせ、定期的な見直しと改善を行うことで、DDoS攻撃に対する耐性を高めることができます。特に、事前の準備と訓練が重要で、実際の攻撃発生時に迅速かつ効果的な対応を取れるよう、体制を整えておくことが推奨されます。

まとめ

サイバー攻撃による被害については、情報漏えいやウイルス被害などを思い浮かべる方が多いでしょう。しかしサーバーの大規模負荷を誘発するDDoS攻撃も、長期にわたる企業ネットワークの完全停止を招く恐れがあるなど、大きなリスクが想定されます。
一時的に件数が落ち着いていたDDoS攻撃ですが、社会情勢の変化にともなって再び増える兆しがあることも指摘されています。さらなるセキュリティ強化をご検討であれば、ALSOKまでぜひお問い合わせください。各企業様のニーズやお悩みをしっかりお伺いし、最適なソリューションを提案いたします。

セキュリティ無料相談