DDoS 攻撃の基本 - サービスを「溺れさせる」攻撃

DDoS (Distributed Denial of Service) 攻撃は、大量のコンピュータから標的のサーバーに一斉にリクエストを送り、正規のユーザーがサービスを利用できない状態に追い込む攻撃です。単一の攻撃元による DoS 攻撃とは異なり、数千から数百万台のデバイスを使うため、送信元 IP アドレスのブロックだけでは防御できません。

2023 年に Google が報告した過去最大の DDoS 攻撃は、ピーク時に毎秒 3 億 9,800 万リクエスト (398M rps) に達しました。これは Wikipedia の 1 日分のページビュー全体を、わずか 10 秒で送りつけるのに相当する規模です。

DDoS 攻撃は技術的に高度な知識がなくても実行可能で、「DDoS-as-a-Service」と呼ばれる違法サービスが月額数十ドルで販売されています。この手軽さが、DDoS 攻撃が減らない根本的な原因です。

DDoS 攻撃の 3 つの分類

DDoS 攻撃は、OSI 参照モデルのどの層を標的にするかで大きく 3 種類に分類されます。

分類 標的層 代表的な手法 特徴
ボリューム型 L3/L4 (ネットワーク層) UDP フラッド、DNS アンプ、NTP リフレクション 帯域幅を飽和させる。Tbps 級の攻撃が可能
プロトコル型 L3/L4 (トランスポート層) SYN フラッド、Ping of Death、Smurf 攻撃 サーバーの接続テーブルを枯渇させる
アプリケーション層型 L7 (アプリケーション層) HTTP フラッド、Slowloris、RUDY 少量のトラフィックで大きな負荷。検出が困難

アンプ (増幅) 攻撃の仕組み

ボリューム型攻撃で最も効率的なのがアンプ攻撃です。攻撃者は送信元 IP を標的のアドレスに偽装 (IP スプーフィング) し、DNS サーバーや NTP サーバーに小さなリクエストを送ります。これらのサーバーは標的に対して、元のリクエストの数十倍から数百倍のサイズの応答を返します。DNS アンプの増幅率は最大 54 倍、memcached を悪用した場合は最大 51,000 倍に達します。

ボットネット - DDoS 攻撃の「軍隊」

DDoS 攻撃の「分散」を実現するのがボットネットです。マルウェアに感染したコンピュータ、IoT デバイス、サーバーが攻撃者の指令 (C&C サーバー) に従い、一斉に攻撃トラフィックを送信します。

Mirai ボットネットの衝撃

2016 年に登場した Mirai ボットネットは、デフォルトパスワードのまま放置された監視カメラやルーターなど約 60 万台の IoT デバイスを乗っ取り、DNS プロバイダー Dyn に対して 1.2 Tbps の攻撃を実行しました。この攻撃により Twitter、Netflix、Reddit、GitHub など多数の大手サービスが数時間にわたってアクセス不能になりました。

Mirai のソースコードは公開されており、その亜種は現在も活動を続けています。自宅のルーターのセキュリティを確認し、デフォルトパスワードを変更することは、ボットネットへの加担を防ぐ第一歩です。

現代のボットネットの規模

  • Mirai (2016): 約 60 万台の IoT デバイス、ピーク 1.2 Tbps
  • Mēris (2021): 約 25 万台のルーター、ピーク 21.8M rps
  • Mantis (2022): 約 5,000 台の仮想マシン、ピーク 26M rps (少数精鋭型)
  • HTTP/2 Rapid Reset (2023): プロトコルの脆弱性を悪用、ピーク 398M rps

DDoS 攻撃の防御手法

DDoS 攻撃の防御は、単一の対策ではなく複数の層で行う多層防御が基本です。

ネットワーク層の防御

  • BGP Anycast: 同じ IP アドレスを世界中の複数拠点で共有し、攻撃トラフィックを地理的に分散させる
  • ブラックホールルーティング: 攻撃トラフィックを /dev/null に転送する。正規トラフィックも巻き添えになるため最終手段
  • レートリミット: 単位時間あたりのリクエスト数を制限する。L7 攻撃に有効

CDN/クラウド型防御サービス

CDN プロバイダーが提供する DDoS 防御サービスは、大規模なネットワーク容量で攻撃トラフィックを吸収します。

サービス ネットワーク容量 特徴
Cloudflare 296+ Tbps 無料プランでも L3/L4 DDoS 防御を提供
AWS Shield 非公開 Standard は無料。Advanced は WAF 統合と 24/7 対応
Akamai Prolexic 20+ Tbps 専用スクラビングセンターで攻撃を洗浄

DDoS 攻撃を受けたときの対応

攻撃を受けた際の初動対応が被害の大きさを左右します。

  1. 攻撃の検知と分類: トラフィックの急増を検知したら、ボリューム型・プロトコル型・L7 型のどれかを特定する
  2. ISP/ホスティング事業者への連絡: 上流でのフィルタリングを依頼する。自社だけでは帯域幅が足りない場合が多い
  3. CDN/DDoS 防御サービスの有効化: 事前に契約していない場合でも、Cloudflare などは緊急導入が可能
  4. 攻撃パターンの記録: 送信元 IP、リクエストパターン、攻撃の持続時間を記録する。法的対応や再発防止に必要
  5. 法執行機関への通報: DDoS 攻撃は日本では「電子計算機損壊等業務妨害罪」(刑法 234 条の 2) に該当する犯罪行為

Web サイトがダウンする原因は DDoS 以外にもありますが、トラフィックの急増を伴う場合は DDoS を疑うべきです。

DDoS 攻撃の今後 - AI と IoT がもたらす脅威

DDoS 攻撃は年々規模と巧妙さを増しています。2024 年の Cloudflare のレポートによると、L7 DDoS 攻撃は前年比 61% 増加しました。

  • AI による適応型攻撃: 防御パターンをリアルタイムで学習し、検出を回避する攻撃が出現しつつある
  • IoT デバイスの爆発的増加: 2025 年には世界で約 300 億台の IoT デバイスが稼働すると予測され、ボットネットの潜在的な規模が拡大
  • プロトコルの脆弱性: HTTP/2 Rapid Reset のように、新しいプロトコルの設計上の弱点を突く攻撃が増加
  • ランサム DDoS: 「攻撃を止めてほしければ身代金を払え」というランサムウェア型の脅迫と組み合わせた攻撃

DDoS 対策を体系的に学ぶには、DDoS 対策の専門書が参考になります。IP 確認さんで自分の IP アドレスを確認し、ネットワークの基本を理解することが、セキュリティ意識の第一歩です。

この記事の関連用語

DDoS 攻撃 大量のコンピュータから標的に一斉にリクエストを送り、サービスを利用不能にする攻撃。ボリューム型、プロトコル型、アプリケーション層型の 3 種類に分類される。 ボットネット マルウェアに感染したデバイスの集合体。攻撃者の指令に従い、DDoS 攻撃やスパム送信などを実行する。IoT デバイスの普及で規模が拡大している。 IP アドレス ネットワーク上のデバイスを識別する数値アドレス。DDoS 攻撃では送信元 IP の偽装 (スプーフィング) が頻繁に使われる。