DDoS攻撃とは｜被害事例や対策方法・攻撃の目的や種類を徹底解説

DDoS攻撃はサイバー攻撃の手法の1つで、大きな脅威となっています。日本でも中央官庁や自治体、金融機関などの被害が後を絶ちません。こうした事例をみると、自社も大きな被害が起きるのではないか、と不安になるかもしれません。

DDoS攻撃を完全に防ぐことは不可能なので、まずDDoS攻撃について基礎知識を持ったうえで、守るべき対象を決めておくことが必要です。

本記事はDDoS攻撃の概要、DoS攻撃との違い、被害事例、サイバー攻撃者の目的・手法、DDoS攻撃を防ぐ方法などを解説しています。セキュリティ体制構築やソリューション導入などを検討するためにお役立てください。

DDoS攻撃とは？

DDoS攻撃はサイバー攻撃の1つで、多数の攻撃元から標的のネットワークまたはサーバに大量のアクセスやデータを送信し、標的のサービスを一時的もしくは無期限に利用できなくする攻撃です。正常なアクセスと区別しにくいうえに、多数の攻撃元から攻撃が行われるため、対策が難しいという特徴があります。

DDoS攻撃とDoS攻撃の違い

DDoS攻撃が多数の攻撃元から行われるのに対して、少ない攻撃元から行われるものをDoS攻撃と呼び、それぞれの共通点と違いをまとめたのが以下の表です。DoS攻撃では、サーバがクラッシュするようなアプリケーションの不具合を狙われることがありますが、フラッディング（処理能力を超えるデータ量を発生させること）を引き起こすような攻撃はほとんどがDDoS攻撃です。

	DDoS攻撃	DoS攻撃
対象	標的のネットワークやサーバ
手法	サーバやネットワークのクラッシュやフラッディング
目的	標的サービスの機能不全
攻撃元	多い	少ない
対策の難易度	高い	低い

DDoS攻撃の対策の難しさ

DDoS攻撃では、多数の攻撃元から通信が送られてきます。攻撃元はボットネットと呼ばれる攻撃者によって乗っ取られた多数のコンピュータや、インターネットに公開されているサーバが悪用されます。そのため、発生している通信を攻撃として特定することが難しく、多数の攻撃元から行われるため効果的な対策が難しくなります。

さらに、サーバやネットワークのフラッディングを狙った攻撃では、攻撃元（送信元IPアドレス）を詐称することも可能であるため、同様に効果的な対策が難しくなります。

DDoS攻撃で発生する影響

DDoS攻撃の影響は攻撃対象によって異なります。攻撃対象ごとの影響をまとめたのが以下の表です。

攻撃箇所	攻撃対象	影響
ネットワーク	・ネットワーク帯域 ・ネットワーク機器のセッション	標的のネットワークで提供しているすべてのサービスで遅延や停止が発生
サーバ	・サーバのセッション ・CPUやメモリなどのリソース ・OSやアプリケーションの仕様や不具合	標的のサーバで提供しているサービスで遅延や停止、誤動作が発生
アプリケーション

メディアなどでは「サーバダウンによるサービス停止」「サイトの表示が重くなった」などのように表面的な現象が説明されるケースが一般的です。しかし、上記のように攻撃対象によって、DDoS攻撃による影響は異なります。

DDoS攻撃の事件・被害事例

ここまでDDoS攻撃の概要を見てきましたが、いまひとつ具体的なイメージがわかない人もいるかもしれません。ここでは実際に起きたDDoS攻撃による被害例を紹介します。

クラウドサービスプラットフォームを対象としたDDoS攻撃（2020年）

世界規模のクラウドサービスプラットフォームが2020年にDDoS攻撃を受ける事件が起こりました。DDoS攻撃に用いられたのは「CLDAPリフレクション攻撃」と呼ばれる手法です。

CLDAPは「Connection-less Lightweight Directory Access Protocol」の略で、コネクションの確立なしにディレクトリサービスにアクセスするためのプロトコルです。使い方によってはデータ量を56～70倍に増幅できるため、DDoS攻撃に悪用されました。

この攻撃の緩和に用いられたのはマネージド型サービス（アウトソーシング型のサービス）です。リフレクション攻撃や後述するSYN、UDPフラッド攻撃などを防ぐマネージド型サービスにより攻撃を緩和したことで、攻撃による影響を抑えられました。

オンライン開発支援企業を対象としたDDoS攻撃（2018年）

2018年にはオンライン開発支援企業のソフトウェア開発のプラットフォームが標的になりました。データベースキャッシュシステム「Memcached」を悪用したDDoS攻撃によって、何百万人もの開発者が利用するプラットフォームにシステム障害が発生しました。

サイバー攻撃者がMemcachedを使った理由は「初期設定でUDP、TCPの両方に対応している」「認証が不要」「多くのサーバがリクエスト回数を制限していない」などが挙げられます。この例では、UDPを使って攻撃元を詐称したうえでMemcachedにリクエストを送り、応答を増幅させることで1Tbps超のDDoS攻撃が行われました。

攻撃開始から10分以内で攻撃を検知して、Akamai社のサービスにトラフィックの経路を切り換えることで速やかに攻撃を緩和できました。不正侵入検知を24時間365日リアルタイムで監視、運用する大切さがよくわかる事例です。

世界的サービスに影響を及ぼしたマルウェアによるDDoS攻撃（2016年）

2016年にDNSサービスプロバイダが標的になった事例では、「Mirai」と呼ばれるマルウェアが用いられました。カメラやプリンターなどのIoT機器がMiraiに感染すると、攻撃者から遠隔操作されてしまいます。

Miraiによって世界中の膨大なIoT機器からDNSサービスベンダーがDDoS攻撃されたことで、何億人ものユーザーがいるサービスが複数利用できなくなりました。障害は1日で復旧しましたが、攻撃者の意図は特定できませんでした。

MiraiによるDDoS攻撃の被害は、IoT機器を使う企業側にも警鐘を鳴らしています。IoT機器はセキュリティ対策が不十分になりやすく、メーカーサポートの期間も短いのが特徴です。DDoS攻撃の踏み台にされないために、自社のIoT機器の取り扱いを厳密化する必要があります。

DDoS攻撃の目的とは？

反対者・嫌悪者による抗議

政治信条の違いや企業の不祥事などから反対者や嫌悪者が生まれ、抗議活動としてDDoS攻撃が使われる場合があります。個人が簡単にコンピュータを使えるようになってからは、デモ活動の1つとしてサイバー空間で行動を起こすケースも少なくありません。特に政治的な理由からサイバー攻撃することは「Hacktivism（ハクティビズム）」と呼ばれています。なおハクティビズムは「ハッキング＋アクティヴィズム（積極行動主義）」の造語です。

対価を要求する脅迫

DDoS攻撃が脅迫行為に利用されることもあります。例えば、サイバー攻撃者が特定のサーバをダウンさせ、金銭を支払うことを条件にDDoS攻撃を止めると脅すなどです。JPCERTによると、DDoS攻撃を示唆して仮想通貨による送金を要求する脅迫行為が国内で複数件確認されています^※1。

競合による妨害

競合会社が他社の営業を妨害するためにDDoS攻撃を用いるケースもあります。例えば競合ブランドの信頼性をなくすために企業サイトをダウンさせるなどの手口です。より直接的な手口では、DDoS攻撃で競合のECサイトを停止させて売り上げの横取りを狙うなどのケースがあります。

無差別的な迷惑行為

愉快犯による無差別的なDDoS攻撃も少なくありません。ハッカーが自分の能力を誇示しようとしたり、子どもがゲーム感覚で攻撃したりする例があります。SaaS型でDDoS攻撃を可能にするブースターサービスの登場など、攻撃者側のスキルが低くても、容易に大規模なDDoS攻撃が可能になっていることから、愉快犯による攻撃も増加する可能性があります。

ボットによる過剰なアクセス

転売などの目的で、ECサイトで人気商品や限定商品を入手するために、ボットと呼ばれるプログラムを用いてアクセスが行われることがあります。多い場合には、ECサイトの80％以上がボットからのアクセスを占めるといった事例があります。ボットによる買い占めにより、通常のユーザーが商品を購入できないといった問題や、過剰なアクセスによりECサイトの遅延などの障害を引き起こす可能性があります。

DDoS攻撃の種類や詳細な手口

ここではDDoS攻撃の種類を解説します。紹介する種類は代表的なものであり、他にもさまざまな手口があります。

SYNフラッド攻撃

接続要求（SYN）を大量に送ることで、サーバのリソースを枯渇させようとするDDoS攻撃です。サーバはSYNを受け付けると、応答を返し相手からの確認応答を待ちます。しかし、DDoS攻撃側はIPアドレスを偽っているため確認応答が返りません。

このように、サーバ側で大量の確認応答待ち状態が発生し、上限を超えてしまうことでこれ以上の接続要求を受け付けることができなくなります。

ACKフラッド攻撃

応答（ACK）を大量に送信してサーバのリソースを使用させる攻撃です。ACKがいきなり送られてくると、サーバは送信元との接続が確立されていないため間違ったデータだと判断し、パケットを廃棄して接続拒否（RST）を返答します。これらの処理を大量に行わなければならないため、サーバに負荷がかかり障害が発生します。

UDPフラッド攻撃

UDPは通信仕様の1つで、接続確立の手順を省いているのが特徴です。DNSなどの応答の速度を優先させたい通信や、音声や動画のストリーミングなどのリアルタイム性が求められる通信に使用されます。

大量のUDP通信をサーバに送ることで、ネットワーク機器やサーバで通信の状態を維持し、応答を返すためにリソースを大量に消費してしまい、ネットワークやサーバに負荷がかかり障害が発生します。

また、接続確立の手順を省いているというUDPの特徴を悪用することで、攻撃元（送信元IPアドレス）を詐称したうえで、第三者のサーバやネットワーク機器を中継して、トラフィックを増幅させて標的に送りつけることにより、莫大なトラフィックを発生させる攻撃が主流となっています。

DNSフラッド攻撃

ドメイン名とIPアドレスを変換するDNSサーバに大量の名前解決のリクエストを送り、機能を低下させるDDoS攻撃です。大量の名前解決のリクエストを送ることで、DNSサーバのリソースを食いつぶして、DNSサーバの応答に遅延や障害を発生させるのが特徴です。

また、標的のDNSサーバに対して、名前解決できないランダムなサブドメインを付与して、大量のリクエストを送信するDNS水責め攻撃と呼ばれる攻撃手法も存在します。

このように、DNSサービスがDDoS攻撃による被害を受けてしまうと、WebサイトにDDoS攻撃対策を実施していても、Webサイトが利用できないばかりか、メールなどのサービスに影響が出るなど、被害が広範囲に広がる可能性があります。

Slow DoS攻撃

Slow DoS攻撃は、TCPを使ったアプリケーションの特性を悪用して、比較的少ない通信量で長時間通信することで、正規のユーザーがアクセスできなくする方法です。他の手法が大量の通信量で負荷をかけて異常を起こす攻撃であるのに対して、Slow DoS攻撃はセッション時間をできるだけ引き延ばして異常を継続させるのが特徴です。

Slow DoS攻撃は主にHTTP通信に対して行われ、警察庁によると以下の3種類に分類される手法が確認されており、これらの攻撃手法を実装したツールが複数公開されています。

種類	手法
Slow HTTP Headers攻撃	極端に長いHTTPリクエストヘッダを断続的に送信する
Slow HTTP POST攻撃	長大なHTTPリクエストボディ（POST ペイロード）を断続的に送ってセッションを占有する
Slow Read DoS攻撃	非常に小さなTCPウィンドウサイズを指定して少しずつ受信し、セッション時間を引き延ばす

DDoS攻撃の対策方法4種類

同一IPからのアクセス制限

同一IPアドレスから極端に多いリクエストが発生しないようにアクセス制限しておけば、悪質な攻撃を防げます。またDDoS攻撃を検知した時点で、特定のIPアドレスからのアクセスを遮断する方法もあります。

ただし、多数の攻撃元から行われるDDoS攻撃に対しては効果が無いだけでなく、過剰なアクセス制限により、結果的にDDoS攻撃の目的に寄与してしまう可能性があります。

国単位でのアクセス遮断・制限

国単位でアクセスを遮断・制限する方法もあります。この方法は、攻撃元をひとまとめで遮断できるメリットがあるので、商圏が特定の国や地域に限られる場合は検討してもよいでしょう。

CDNやDNSサービスの導入

CDN（Content Delivery Network）は、Webサイトなどで提供されるコンテンツを、複数の地域に分散した場所から配信することで、多くのユーザーに効率的に配布するサービスです。インターネット上にキャッシュサーバを分散配置し、エンドユーザーから最も近い経路にあるサーバを選ぶことで、通信の集中を避けられるのが特徴です。

CDNを導入していれば、DDoS攻撃があったとしてもCDNベンダーのネットワークやシステムで攻撃を分散して受け止めたうえで、オリジナルのサイトに対するリクエストをスクリーニングして流すことができます。そのため、CDNはDDoS攻撃対策としても有効です。

また、DNSも同様に、DNSベンダーのネットワークやシステムで攻撃を分散して受け止めることができ、DNSベンダーのシステムで名前解決が行われるため、大規模な攻撃にも耐えられます。

WAFの導入

アプリケーションの脆弱性からシステムを保護するために「WAF（Web Application Firewall）」を導入します。WAFは、SQLインジェクションやクロスサイトスクリプティングなどのWebアプリケーションやミドルウェアの脆弱性を悪用した攻撃からシステムを保護するため、脆弱性を突いてアプリケーションをクラッシュさせるような攻撃に有効です。WAFの活用により、DDoS攻撃や従来のファイアウォール、IDS／IPSといった不正侵入検知技術では防御しきれない巧妙化したサイバー攻撃からWebサーバを守ります。

さいごに：DDos攻撃を対策するには適切なソリューションを

DDoS攻撃は多数の攻撃元から大量のデータを送りつけたり、断続的にセッションを続けたりするサイバー攻撃です。システム障害によって収益が奪われたり、社会的な信頼を失ったりする企業も後を絶ちません。そのため企業はDDoS攻撃をはじめサイバー攻撃に備えるために、セキュリティ対策に強い人材の確保やソリューションの導入が必要です。

ラックではAkamai社のWebセキュリティソリューションを利用して、アプリケーションの脆弱性への保護と監視サービスを提供するだけでなく、CDN/WAFを利用したWebサイトへのDDoS攻撃対策、またDNSサーバへのDDoS攻撃対策ソリューションも提供しています。自社のDDoS攻撃の対策強化をご検討の方は、まずご相談ください。

参考情報

※1 DDoS 攻撃を示唆して仮想通貨による送金を要求する脅迫行為 (DDoS 脅迫) について - JPCERT コーディネーションセンター