サイバー脅威・対策

DDoS 攻撃

約 4 分で読めます

最終更新: 2026-01-28

DDoS 攻撃とは

DDoS (Distributed Denial of Service) 攻撃とは、多数のコンピューターから標的のサーバーやネットワークに大量のトラフィックを送りつけ、サービスを利用不能にする攻撃です。単一の攻撃元から行う DoS 攻撃とは異なり、数千から数百万台のボットネット (マルウェアに感染した端末群) を利用して分散的に攻撃するため、送信元 IP のブロックだけでは防御できません。

近年の DDoS 攻撃は規模が急速に拡大しており、1 Tbps を超える攻撃も珍しくなくなっています。IoT 機器の普及により、セキュリティが脆弱なデバイスがボットネットに組み込まれるケースが増加し、攻撃のインフラが拡大し続けています。

攻撃の分類と手法

DDoS 攻撃は、OSI 参照モデルのどの層を標的にするかで大きく 3 つに分類されます。

ボリューム型攻撃 (L3/L4)

回線帯域を飽和させることを目的とした攻撃です。UDP フラッド、ICMP フラッド、DNS アンプリフィケーション (DNS の応答を増幅して標的に送りつける) などが代表的です。DNS アンプリフィケーションでは、攻撃者が送信元 IP を標的に偽装した小さなクエリを多数のオープンリゾルバに送り、数十倍に増幅された応答が標的に集中します。

プロトコル攻撃 (L3/L4)

サーバーやネットワーク機器のリソースを枯渇させる攻撃です。SYN フラッド (TCP の 3 ウェイハンドシェイクを悪用し、半開き接続でリソースを消費させる) が代表的です。ファイアウォールやロードバランサーの接続テーブルを溢れさせることで、正規のトラフィックも処理できなくなります。

アプリケーション層攻撃 (L7)

HTTP リクエストなどアプリケーション層のプロトコルを悪用する攻撃です。Slowloris (HTTP 接続を意図的に遅延させてサーバーの接続数を枯渇させる) や、データベースに負荷のかかる検索クエリを大量に送信する手法があります。トラフィック量は少なくても、サーバーのリソースを効率的に消費するため、ボリューム型の対策だけでは防げません。

防御策とアーキテクチャ

DDoS 攻撃への防御は、複数のレイヤーで対策を重ねる多層防御が基本です。

  • CDN の活用: コンテンツを世界中のエッジサーバーに分散配置することで、攻撃トラフィックを吸収する。大手 CDN プロバイダーは数十 Tbps 規模の攻撃を緩和する能力を持つ
  • WAF の導入: アプリケーション層の攻撃パターンを検知・遮断する。レートリミット、IP レピュテーション、ボット検知などのルールを組み合わせる
  • オートスケーリング: クラウド環境では、攻撃によるトラフィック増加に応じてサーバーを自動的にスケールアウトし、サービスの可用性を維持する
  • Anycast ルーティング: 同一の IP アドレスを複数の拠点で広告し、攻撃トラフィックを地理的に分散させる
  • レートリミットとトラフィックシェーピング: 単一 IP からのリクエスト数を制限し、異常なトラフィックパターンを検知して遮断する

AWS 環境では、CloudFront + AWS Shield + WAF の組み合わせが標準的な DDoS 防御アーキテクチャです。Shield Standard は追加費用なしで L3/L4 の攻撃を自動緩和し、Shield Advanced はより高度な保護と 24 時間対応のサポートを提供します。

インシデント発生時の対応

DDoS 攻撃を受けた際の迅速な対応が、被害の最小化に直結します。インシデントレスポンス計画に DDoS シナリオを含めておくことが重要です。

  1. 検知と初動: トラフィックの異常増加、レスポンスタイムの悪化、エラー率の上昇を監視アラートで検知する。攻撃の種類 (ボリューム型 / プロトコル型 / L7) を特定する
  2. 緩和措置の実行: CDN やクラウドプロバイダーの DDoS 緩和サービスを有効化する。攻撃パターンに応じた WAF ルールを追加する。必要に応じて ISP に上流でのフィルタリングを依頼する
  3. 通信と記録: 関係者への状況報告、ユーザーへの告知を行う。攻撃のログ (送信元 IP、トラフィック量、攻撃パターン) を保全する
  4. 事後分析: 攻撃の全容を分析し、防御策の改善点を特定する。クラウドストレージのセキュリティ設定を含め、インフラ全体の耐性を見直す

DDoS 攻撃は他の攻撃の陽動として使われることもあります。DDoS 対応に追われている間に、別の経路から侵入を試みる手口があるため、DDoS 発生中も他のセキュリティ監視を緩めないことが重要です。

よくある誤解

小規模なサイトは DDoS 攻撃の標的にならない
DDoS 攻撃は金銭目的の脅迫、競合への妨害、政治的動機など多様な理由で行われる。DDoS-as-a-Service により数ドルで攻撃を依頼できるため、規模を問わずあらゆるサイトが標的になりうる。
帯域を増やせば DDoS 攻撃を防げる
ボリューム型攻撃に対しては帯域の増強が一定の効果を持つが、アプリケーション層攻撃は少量のトラフィックでサーバーリソースを枯渇させるため、帯域だけでは防御できない。WAF やレートリミットなど多層的な対策が必要。

DDoS 攻撃の種類別比較

ボリューム型攻撃

回線帯域の飽和を狙う。トラフィック量が非常に大きい (数百 Gbps - 数 Tbps)。CDN や ISP レベルでの吸収が有効。DNS アンプリフィケーションが代表例。

アプリケーション層攻撃

サーバーの処理能力を枯渇させる。トラフィック量は少なくても効果が高い。WAF やレートリミットでの防御が必要。Slowloris や HTTP フラッドが代表例。

関連用語

WAF (Web アプリケーションファイアウォール) Web アプリケーションへの HTTP/HTTPS トラフィックを監視・フィルタリングし、悪意のあるリクエストを遮断するセキュリティ装置。SQL インジェクショ… CDN (コンテンツデリバリーネットワーク) 世界各地に分散配置されたエッジサーバーを通じて、Web コンテンツをユーザーに近い場所から高速に配信するネットワーク。表示速度の向上に加え、DDoS 攻撃の吸収… ファイアウォール ネットワークの境界に設置され、通信の許可・拒否を制御するセキュリティ機構。パケットフィルタリング型、ステートフルインスペクション型、アプリケーションゲートウェイ… インシデントレスポンス セキュリティインシデント (不正アクセス、データ漏洩、マルウェア感染など) が発生した際に、被害の拡大を防止し、原因を特定し、復旧するための体系的な対応プロセス… クラウドストレージセキュリティ クラウド上に保存されたデータの機密性、完全性、可用性を確保するための対策。アクセス制御の適切な設定、保存時暗号化 (encryption at rest)、転送…

関連記事

ファイアウォールの基礎知識:ネットワーク防御の第一歩 ファイアウォールの仕組み、種類、設定の基本を解説し、家庭や個人レベルで実践できるネットワーク防御策を紹介します。… API セキュリティの基礎知識:Web サービスの裏側を守る API がどのように悪用されるか、認証・認可・レート制限など、API を安全に運用するための基本的な対策を解説します。…
← 用語集