DDoS攻撃の基礎知識
DDoS攻撃とは
- 読み方
- ディードス攻撃、またはディーディーオーエス攻撃(Distributed Denial of Service attackの略)
- 別名
- 分散型サービス妨害攻撃、分散DoS攻撃、分散サービス拒否攻撃
- 簡単な説明
- お店に大量のいたずら電話がかかってきて、本当のお客様の電話が繋がらなくなる状態のインターネット版です。正常なWebサイトやサービスに対して、世界中から一斉に大量のアクセスを送りつけることで、サーバーの処理能力を超えさせ、本来のユーザーがサービスを利用できない状態にする攻撃です。
- 技術的な定義
- 複数のコンピューターから同時に標的となるサーバーやネットワークに対して大量のトラフィック(データ通信)を送信し、リソース(処理能力やメモリ、帯域幅)を枯渇させることで、正当なユーザーへのサービス提供を妨害または停止させるサイバー攻撃の手法
DDoS攻撃の恐ろしさは、その規模と防御の困難さにあります。2023年10月にGoogle Cloudが観測した攻撃では、毎秒3億9800万リクエストという過去最大規模の攻撃が記録されました。これは、1秒間に日本の全人口の3倍以上がWebサイトにアクセスするような規模です。
また、攻撃者は身元を隠すため、世界中の感染したコンピューター(ボットネット)を遠隔操作して攻撃を実行します。そのため、攻撃元を特定することが極めて困難で、法的な対応も複雑になります。
身近な例えで理解する
DDoS攻撃を日常生活の例えで理解してみましょう。
レストランの予約電話がパンクする状況を想像してください。人気レストランの予約開始時刻に、悪意ある集団が世界中から一斉に予約電話をかけ続けます。電話回線は10本しかないのに、1分間に1万件の着信があれば、本当に予約したいお客様の電話は繋がりません。店員さんは電話対応に追われ、来店したお客様への接客もできなくなります。これがまさにWebサーバーで起きているDDoS攻撃の状況です。サーバーは同時に処理できる接続数に限界があり、その限界を超える大量のリクエストが来ると、正常なサービスが提供できなくなります。
駅の改札に大量の人が押し寄せる状況も分かりやすい例えです。朝のラッシュ時、改札は多くの乗客をさばけるよう設計されていますが、もし悪意ある集団が改札の前で立ち止まったり、わざとゆっくり通過したりすれば、後ろの正当な利用者は駅に入れません。DDoS攻撃では、攻撃者がわざと処理に時間がかかるリクエストを大量に送ることで、サーバーの処理能力を奪い、他のユーザーのアクセスを妨害します。これはSlowloris攻撃と呼ばれる手法の一つです。
コンビニのレジに長蛇の列ができる状況で考えてみましょう。通常、コンビニには2〜3台のレジがあり、スムーズに会計が進みます。しかし、もし100人の集団が同時に来店し、それぞれが1円玉で支払いを始めたらどうでしょうか。レジ処理は極端に遅くなり、普通に買い物をしたい人は長時間待たされるか、諦めて帰ってしまいます。DDoS攻撃も同様に、サーバーに負荷をかける処理を大量に要求することで、正常なユーザーへのサービスを妨害します。
DoS攻撃との違い
DDoS攻撃を理解する上で、その前身であるDoS攻撃(Denial of Service attack)との違いを知ることが重要です。
| 項目 | DoS攻撃 | DDoS攻撃 |
|---|---|---|
| 攻撃元の数 | 単一(1台のコンピューター) | 複数(数千〜数百万台) |
| 攻撃規模 | 小〜中規模(数Mbps〜数Gbps) | 大規模(数百Gbps〜数Tbps) |
| 防御難易度 | 比較的容易(IPアドレス遮断で対処可能) | 困難(分散しているため個別遮断が困難) |
| 使用されるリソース | 個人のPC、単一サーバー | ボットネット(マルウェアに感染した大量のPC) |
| 典型的な被害時間 | 数分〜数時間 | 数時間〜数日間 |
| 攻撃コスト | 低い(個人でも実行可能) | 高い(ボットネットのレンタル費用等) |
| 追跡の困難さ | 比較的容易 | 極めて困難 |
DoS攻撃の特徴と限界:DoS攻撃は、1990年代から存在する古典的な攻撃手法です。攻撃者は自分のコンピューターから直接、標的のサーバーに大量のリクエストを送信します。しかし、現代のサーバーは性能が向上しており、単一のコンピューターからの攻撃では大きな影響を与えることが困難になりました。また、攻撃元のIPアドレスをファイアウォールで遮断すれば、比較的簡単に防御できます。
DDoS攻撃の進化と脅威:DDoS攻撃は、DoS攻撃の限界を克服するために進化しました。攻撃者はマルウェア感染によって世界中の数万〜数百万台のコンピューターを乗っ取り、「ボットネット」と呼ばれる攻撃用ネットワークを構築します。これらの感染したコンピューター(ゾンビPCやボットと呼ばれる)は、所有者が気づかないうちに攻撃に加担させられます。2025年現在、IoTデバイスの普及により、ウェブカメラ、スマート家電、ルーターなども攻撃に利用されるようになり、攻撃規模は飛躍的に増大しています。
攻撃の仕組みと種類
攻撃の基本メカニズム
DDoS攻撃がどのように実行されるのか、その基本的な流れを段階的に解説します。
-
ボットネットの構築(準備段階)
攻撃の第一段階は、攻撃に使用する「兵器」の準備です。攻撃者はマルウェアを様々な方法で配布します。偽のソフトウェアアップデート、フィッシングメール、悪意あるWebサイトなどを通じて、一般ユーザーのコンピューターやIoTデバイスに感染させます。特に、初期パスワードのまま使用されているルーターやWebカメラは格好の標的となります。感染したデバイスは「ボット」や「ゾンビ」と呼ばれ、所有者が気づかないうちに攻撃者のコントロール下に置かれます。2024年のセキュリティレポートによると、世界中で約2,000万台のデバイスが何らかのボットネットに参加している可能性があります。
-
C&Cサーバーからの指令送信
C&C(Command and Control)サーバーは、ボットネットを統括する司令塔です。攻撃者はこのサーバーを通じて、世界中に散らばるボットに一斉に指令を送信します。指令には、攻撃対象のIPアドレス、攻撃開始時刻、攻撃の種類、強度などが含まれます。C&Cサーバーは頻繁に場所を変え、暗号化通信を使用するため、特定や遮断が困難です。最近では、分散型のC&C構造や、SNSを使った指令送信など、より巧妙な手法が使われています。
-
一斉攻撃の開始
指定された時刻になると、数千から数百万のボットが同時に攻撃を開始します。各ボットは、正常なユーザーのアクセスを装いながら、標的のサーバーにリクエストを送信し続けます。攻撃の規模は、1秒間に数百万のリクエスト、帯域幅にして数テラビットに達することもあります。これは、一般的な企業のインターネット回線容量の数千倍から数万倍に相当します。攻撃者は、複数の攻撃手法を組み合わせることで、防御を困難にします。
-
ターゲットサーバーのリソース枯渇
大量のリクエストを受けたサーバーは、すべての処理能力を攻撃への対応に費やしてしまいます。CPUは100%稼働、メモリは満杯、ネットワーク帯域は飽和状態となります。この結果、正常なユーザーからのリクエストは処理できなくなり、Webサイトは表示されない、アプリケーションは応答しない、という状態に陥ります。さらに深刻な場合、サーバー自体がクラッシュし、完全なサービス停止に至ることもあります。
3つの主要な攻撃タイプ
DDoS攻撃は、その攻撃対象と手法により3つの主要なタイプに分類されます。
- ボリューム型攻撃(帯域幅枯渇型)
- ネットワークの帯域幅を埋め尽くすことを目的とした攻撃です。大量のデータパケットを送信することで、正常なトラフィックが通れなくなります。代表的な手法として、**UDP Flood**(User Datagram Protocolの特性を悪用し、大量のUDPパケットを送信)、**ICMP Flood**(pingコマンドを大量に送信)、**DNS水責め攻撃**(DNSサーバーに対して大量の名前解決要求を送信)があります。2024年に観測された最大規模の攻撃では、3.47Tbps(テラビット毎秒)という途方もない量のトラフィックが記録されています。これは、Netflix の全世界配信トラフィックの約3倍に相当します。防御には、CDN(Content Delivery Network)による分散処理が効果的です。
- プロトコル型攻撃(状態枯渇型)
- ネットワークプロトコルの弱点を突いて、サーバーやファイアウォールのリソース(接続テーブル、メモリなど)を枯渇させる攻撃です。**SYN Flood攻撃**が最も有名で、TCPの3ウェイハンドシェイク(接続確立手順)を悪用します。攻撃者は大量のSYNパケットを送信しますが、接続を完了させないため、サーバーは大量の半開き接続を保持し続け、新規接続を受け付けられなくなります。他にも、**Ping of Death**(規定サイズを超えるICMPパケットを送信)、**Smurf攻撃**(IPスプーフィングとICMPを組み合わせた増幅攻撃)などがあります。これらの攻撃は、比較的少ないトラフィックでも大きな影響を与えることができるため、適切なファイアウォール設定と、SYN Cookieなどの対策技術が重要になります。
- アプリケーション層攻撃(Layer 7攻撃)
- OSI参照モデルの第7層(アプリケーション層)を標的とする、最も巧妙な攻撃タイプです。正常なユーザーのリクエストと見分けがつかない形で攻撃を行うため、検知と防御が困難です。**HTTP GET/POST Flood**では、Webページへの正常なアクセスを装いながら、サーバーに負荷の高い処理(データベース検索、画像生成など)を大量に要求します。**Slowloris攻撃**は、HTTPヘッダーを極めてゆっくり送信することで、少ない接続数でWebサーバーの接続スロットをすべて占有します。最新の**HTTP/2 Rapid Reset攻撃**は、HTTP/2プロトコルの仕様を悪用し、ストリームの高速リセットを繰り返すことでサーバーリソースを枯渇させます。これらの攻撃への対策には、WAF(Web Application Firewall)による詳細なトラフィック分析と、レート制限の実装が不可欠です。
最新の攻撃手法
IoTボットネット(Mirai)の脅威
2016年に登場したMiraiマルウェアは、DDoS攻撃の歴史を変えました。従来のボットネットがPCを標的にしていたのに対し、MiraiはIoTデバイスを狙います。
Miraiの感染メカニズムは驚くほどシンプルです。インターネットに接続されたデバイスをスキャンし、初期設定のユーザー名とパスワード(admin/admin、root/123456など)でログインを試みます。成功すると、デバイスにマルウェアをインストールし、ボットネットの一部にします。感染したデバイスは、さらに他のデバイスをスキャンして感染を広げます。
2025年現在、IoTデバイスの爆発的な普及により、状況はさらに深刻化しています。スマートTV、防犯カメラ、スマート冷蔵庫、車載システムなど、全世界で750億台のIoTデバイスが稼働しており、そのうち約30%が適切なセキュリティ対策を施されていないと推定されています。最新の調査によると、Miraiの亜種は400種類以上確認されており、より高度な感染手法と攻撃能力を持つようになっています。
AI悪用型攻撃
2024年以降、人工知能(AI)を悪用したDDoS攻撃が急増しています。攻撃者は機械学習を使って、防御システムの挙動を学習し、検知を回避する攻撃パターンを自動生成します。
具体的には、AIが正常なユーザー行動を学習し、それを模倣した攻撃トラフィックを生成します。例えば、ECサイトへの攻撃では、商品閲覧→カート追加→購入手続きという一連の流れを自然に再現しながら、サーバーに負荷をかけます。また、CAPTCHA破りにもAIが使われ、画像認識技術により80%以上の精度で突破されるケースが報告されています。
さらに脅威なのは、AIが攻撃の最適化を自動で行うことです。攻撃中にリアルタイムで防御システムの反応を分析し、最も効果的な攻撃手法に自動的に切り替えます。このような適応型攻撃に対抗するため、防御側もAIを活用した対策が必要になっています。
被害と影響
企業への4つの影響
DDoS攻撃による被害は、単なるWebサイトの停止にとどまらず、企業活動全体に深刻な影響を及ぼします。
-
サービス停止による売上損失
オンラインビジネスにとって、サービス停止は直接的な売上損失を意味します。大手ECサイトの場合、1時間あたり平均500万円の売上機会を失うと試算されています。特に、セール期間中や年末商戦での攻撃は致命的で、2024年のブラックフライデーに攻撃を受けた某ECサイトは、わずか3時間の停止で推定1.5億円の損失を被りました。さらに、定期購入やサブスクリプションサービスでは、更新タイミングでのサービス停止により顧客離れが加速し、長期的な収益への影響も無視できません。
-
復旧コスト
攻撃からの復旧には、多額の費用が発生します。緊急対応チームの人件費(時間外労働、休日出勤)、セキュリティ専門家への依頼費用(1日あたり50〜100万円)、DDoS対策サービスの緊急導入費用、システム再構築費用などが含まれます。中規模企業の場合、1回の攻撃で平均800万円の復旧コストがかかるという調査結果があります。また、再発防止のためのセキュリティ強化投資も必要となり、総額では数千万円に達することも珍しくありません。
-
信頼失墜とブランド毀損
サービスが利用できない状況は、顧客の信頼を大きく損ないます。SNSで「○○社のサイトが落ちている」という投稿が拡散され、企業イメージが悪化します。特に金融機関や医療機関など、高い信頼性が求められる業界では影響が深刻です。2024年の調査では、DDoS攻撃を受けた企業の40%が顧客離れを経験し、株価も平均3.5%下落したと報告されています。ブランド価値の回復には、攻撃後も継続的なPR活動と信頼回復施策が必要で、その費用も無視できません。
-
法的責任と賠償
DDoS攻撃によりサービスが停止し、それが原因で顧客に損害が発生した場合、企業は法的責任を問われる可能性があります。特に、個人情報漏洩を伴う場合、個人情報保護法に基づく報告義務と、被害者への損害賠償が発生します。2024年には、DDoS攻撃中の脆弱性を突かれて顧客データが流出した企業が、総額5億円の賠償金を支払った事例があります。また、上場企業の場合、適時開示義務もあり、対応を誤ると金融庁からの行政処分を受ける可能性もあります。
2024-2025年の被害事例
最近の実際の被害事例から、DDoS攻撃の深刻さと多様性を理解しましょう。
| 企業・組織 | 攻撃時期 | 攻撃規模 | 被害内容 | 復旧期間 |
|---|---|---|---|---|
| 大手ゲーム会社A社 | 2024年3月 | 500 Gbps | ゲームサーバー完全停止、10万人影響 | 3日 |
| 政府機関Webサイト | 2024年6月 | 800 Gbps | 全サービス停止、市民サービス麻痺 | 2日 |
| 金融機関B社 | 2024年9月 | 1.2 Tbps | オンラインバンキング停止、ATM一部停止 | 1日 |
| ECプラットフォームC社 | 2024年11月 | 2.3 Tbps | 全面サービス停止、売上10億円損失 | 4日 |
| 医療機関ネットワーク | 2025年2月 | 300 Gbps | 診療予約システム停止、緊急対応のみ | 2日 |
| 教育機関D | 2025年4月 | 600 Gbps | オンライン授業中断、3万人の学生影響 | 1日 |
大手ゲーム会社A社の事例:人気オンラインゲームの大型アップデート直後を狙った攻撃でした。ランサムウェアグループが犯行声明を出し、「身代金を払わなければ攻撃を継続する」と脅迫。同社は支払いを拒否し、CDN事業者と連携して防御体制を構築。しかし、復旧までの3日間で推定5億円の売上損失と、大量のユーザー離れが発生しました。
金融機関B社の事例:国際的なハッカー集団による組織的な攻撃で、DDoS攻撃で注意を引きつけている間に、別ルートから不正侵入を試みる複合攻撃でした。幸い、データ漏洩は防げましたが、金融庁への報告と、全顧客への説明が必要となり、対応コストは10億円を超えました。
ECプラットフォームC社の事例:年末セール初日を狙った攻撃で、過去最大級の2.3Tbpsという規模でした。複数の攻撃手法を組み合わせた高度な攻撃で、防御システムが次々と突破されました。4日間の完全停止により、出店者への補償も含めて総額15億円の損失が発生。株価も10%下落し、経営陣の責任問題に発展しました。
業界別のリスク特性
業界によって、DDoS攻撃のリスクと影響は大きく異なります。
-
ECサイト・小売業:365日24時間の稼働が前提で、わずかな停止時間も売上に直結します。特に、セール期間、年末年始、新商品発売時などのピークタイムを狙った攻撃が多発。中小規模のECサイトは、大手と比べて防御体制が脆弱で、攻撃者の格好の標的となっています。モバイルアプリ経由の売上が50%を超える現在、アプリのバックエンドAPIも攻撃対象となっています。
-
金融機関:社会インフラとしての責任が重く、サービス停止は信用問題に直結します。金融庁への報告義務があり、重大なインシデントは公表が必要です。また、DDoS攻撃を陽動として、不正送金や情報窃取を狙う複合攻撃のリスクが高く、多層的な防御が不可欠です。24時間365日の監視体制と、BCP(事業継続計画)の整備が法的にも要求されています。
-
医療機関:電子カルテ、診療予約、医療機器の遠隔監視など、ITへの依存度が急速に高まっています。サービス停止は人命に関わる可能性があり、最もクリティカルな業界の一つです。ランサムウェア攻撃との複合も増加しており、2024年には複数の病院で診療が数日間停止する事態が発生しました。厚生労働省のガイドラインに従った対策が必要ですが、予算とIT人材の不足が課題となっています。
-
製造業:工場のIoT化、スマートファクトリー化により、サイバー攻撃のリスクが急増しています。生産ラインの制御システムがインターネットに接続されている場合、DDoS攻撃により生産が完全停止する可能性があります。また、サプライチェーンの一部が攻撃を受けると、連鎖的に影響が広がります。自動車産業では、部品メーカーへの攻撃により、完成車メーカーの生産が1週間停止した事例もあります。
基本的な対策
予防対策チェックリスト
DDoS攻撃への対策は、事前の準備が成否を分けます。以下のチェックリストを参考に、段階的に対策を強化してください。
| カテゴリ | 対策項目 | 実施難易度 | 推定コスト | 効果 |
|---|---|---|---|---|
| ネットワーク | ファイアウォール設定見直し(不要ポート閉鎖) | 低 | 0円 | 基本的な攻撃を防御 |
| ネットワーク | レート制限の実装 | 低 | 0円 | 大量アクセスを制限 |
| ネットワーク | IPアドレスのホワイトリスト/ブラックリスト | 低 | 0円 | 既知の攻撃元を遮断 |
| アプリケーション | WAF導入 | 中 | 月額3万円〜 | L7攻撃を防御 |
| アプリケーション | CAPTCHA実装 | 低 | 0円(reCAPTCHA) | ボット攻撃を防御 |
| インフラ | CDN活用 | 中 | 月額5万円〜 | トラフィック分散 |
| インフラ | 冗長化・負荷分散 | 高 | 初期100万円〜 | 可用性向上 |
| 監視 | トラフィック監視ツール | 低 | 月額1万円〜 | 早期発見 |
| 監視 | アラート設定最適化 | 低 | 0円 | 迅速な対応 |
| 体制 | インシデント対応計画策定 | 中 | 初期30万円〜 | 被害最小化 |
| 体制 | 定期訓練実施 | 中 | 年10万円〜 | 対応力向上 |
| 契約 | DDoS対策サービス契約 | 低 | 月額10万円〜 | 専門的防御 |
ネットワークレベルの対策は、最も基本的で即座に実施可能です。不要なポートを閉じ、SSHなど管理用ポートはIP制限をかけます。レート制限により、1つのIPアドレスからの過度なアクセスを自動的に制限できます。これらは無料で実施可能ですが、設定ミスによるサービス影響に注意が必要です。
アプリケーションレベルの対策では、WAF(Web Application Firewall)が中核となります。SQLインジェクションなど他の攻撃も防げるため、費用対効果が高い投資です。CAPTCHAは、人間とボットを識別する仕組みで、GoogleのreCAPTCHAなら無料で導入できます。
体制面の対策も重要です。インシデント対応計画を策定し、攻撃時の役割分担、連絡体制、対応手順を明文化します。定期的な訓練により、実際の攻撃時にスムーズな対応が可能になります。
WAFとCDNの活用
WAF(Web Application Firewall)の役割
WAFは、Webアプリケーションに特化したファイアウォールで、アプリケーション層のDDoS攻撃を防御する重要なツールです。
WAFの主要な機能として、レート制限機能があります。特定のIPアドレスから短時間に大量のリクエストが来た場合、自動的にアクセスを制限します。例えば、「1分間に100リクエスト以上」「1秒間に10リクエスト以上」といった条件を設定できます。また、IPレピュテーション機能により、過去に攻撃に使用されたIPアドレスや、ボットネットとして知られているIPアドレスを自動的にブロックします。
具体的な製品としては、Cloudflare WAFが人気です。無料プランでも基本的な防御機能が利用でき、有料プラン(月額20ドル〜)では、より高度なルールセットとカスタマイズが可能です。AWS WAFは、AWSユーザーに最適で、月額5ドル+リクエスト数に応じた従量課金です。エンタープライズ向けのImpervaは、機械学習による高度な攻撃検知が特徴で、誤検知率の低さに定評があります。
CDN(Content Delivery Network)の効果
CDNは、世界中に分散配置されたサーバーでコンテンツを配信する仕組みで、DDoS攻撃の影響を大幅に軽減できます。
CDNの最大の利点は、グローバル分散によるトラフィック吸収能力です。攻撃トラフィックが一箇所に集中せず、世界中のエッジサーバーで分散処理されるため、オリジンサーバーへの負荷が軽減されます。例えば、Cloudflareは、世界100カ国以上に300以上のデータセンターを持ち、合計で172Tbpsの処理能力を持っています。
さらに、エッジサーバーでのフィルタリングにより、攻撃トラフィックをオリジンサーバーに到達する前に遮断できます。静的コンテンツ(画像、CSS、JavaScript)はエッジサーバーから配信されるため、これらを標的とした攻撃は完全に無効化されます。
代表的なCDNサービスとして、Cloudflareは無料プランから提供しており、中小企業でも導入しやすいです。Akamaiは、世界最大級のCDNプロバイダーで、Fortune 500企業の多くが採用しています。AWS CloudFrontは、AWSとの統合が容易で、S3やEC2と組み合わせた包括的な防御が可能です。
段階的な対策強化プラン
予算と技術レベルに応じた3段階の対策プランを提示します。
- 第1段階:基礎防御の確立(月額1万円以下)
- まず無料または低コストで実施できる対策から始めます。Cloudflareの無料プランを導入し、基本的なDDoS防御とCDN機能を有効化します。ファイアウォールの設定を見直し、不要なポートを閉鎖、管理用ポートにはIP制限をかけます。無料の監視ツール(Zabbix、Nagios)を導入し、トラフィック異常を早期発見できる体制を作ります。Google reCAPTCHAを実装し、ボット攻撃への基本的な防御を確立します。この段階で、小規模な攻撃の60-70%は防御可能です。
- 第2段階:本格的な防御体制(月額5万円以下)
- ビジネスクリティカルなシステムには、より強固な防御が必要です。有料WAFサービス(Cloudflare Pro、AWS WAF)を導入し、カスタムルールによる精密な防御を実現します。24時間365日の監視体制を構築し、異常検知時の自動通知と初動対応を可能にします。インシデント対応訓練を四半期ごとに実施し、チームの対応力を向上させます。複数のISPと契約し、回線の冗長化を図ります。この段階で、中規模攻撃の80-90%に対応可能となります。
- 第3段階:エンタープライズ防御(月額10万円以上)
- 大規模なオンラインビジネスや、高い可用性が求められるシステム向けの対策です。専用DDoS対策サービス(Akamai Prolexic、Imperva DDoS Protection)を導入し、数Tbps級の攻撃にも対応可能な体制を構築します。AIベースの異常検知システムにより、ゼロデイ攻撃や未知のパターンも検出します。SOC(Security Operation Center)と連携し、24時間365日の専門家による監視と対応を実現します。定期的なペネトレーションテストにより、防御体制の実効性を検証します。この段階では、あらゆる規模の攻撃に対して95%以上の防御率を達成できます。
関連する攻撃との複合リスク
サプライチェーン攻撃との関係
DDoS攻撃は単独で実行されることは少なく、特にサプライチェーン攻撃の一環として利用されるケースが増加しています。
サプライチェーン攻撃では、最終標的である大企業を直接攻撃するのではなく、セキュリティが脆弱な取引先や関連企業を狙います。2024年の調査によると、サプライチェーン攻撃の80%は、セキュリティ対策が不十分な中小企業を経由しています。攻撃者は、まず取引先の中小企業にDDoS攻撃を仕掛けて混乱を引き起こし、その隙にマルウェアを仕込んだり、認証情報を窃取したりします。
典型的な攻撃シナリオは以下の通りです。まず、大企業Aの部品供給元である中小企業Bが標的となります。企業BへのDDoS攻撃により、IT部門が対応に追われている間に、フィッシングメールで従業員のアカウント情報を窃取します。次に、窃取したアカウントを使って企業Bのシステムに侵入し、企業Aとの取引に使用されるシステムやデータにアクセスします。最終的に、企業Bを踏み台として企業Aのネットワークに侵入し、機密情報の窃取やランサムウェアの展開を行います。
2025年1月には、自動車部品メーカーがDDoS攻撃を受けた際、完成車メーカー5社の生産ラインが3日間停止する事態が発生しました。被害総額は300億円を超え、サプライチェーン全体でのセキュリティ対策の重要性が改めて認識されました。対策として、取引先も含めた統合的なセキュリティ監査と、インシデント発生時の情報共有体制の構築が不可欠です。
ランサムウェアとの連携攻撃
DDoS攻撃とランサムウェアを組み合わせた複合攻撃は、2024年以降急速に増加しており、被害も深刻化しています。
この手法は「気晴らし攻撃(Distraction Attack)」とも呼ばれ、DDoS攻撃で企業のIT部門の注意を引きつけている間に、別ルートからランサムウェアを仕込みます。2025年のセキュリティレポートによると、複合攻撃は前年比150%増加し、特に医療機関と金融機関が標的となっています。
攻撃の典型的な流れは次の通りです。第1段階として、大規模なDDoS攻撃により、企業の公開Webサイトやサービスを攻撃します。IT部門とセキュリティチームは、サービス復旧に全リソースを投入せざるを得なくなります。第2段階では、混乱に乗じて、内部ネットワークへの侵入を試みます。VPNの脆弱性、リモートデスクトップの弱いパスワード、フィッシングメールなど、複数の侵入経路を同時に試行します。第3段階で、侵入に成功すると、ネットワーク内で権限昇格を行い、重要なシステムやデータを特定します。最終段階として、ランサムウェアを展開し、データを暗号化。同時に、重要データを外部に送信し、「身代金を払わなければデータを公開する」と二重の脅迫を行います。
2024年11月の病院への攻撃では、DDoS攻撃による電子カルテシステムの停止中に、バックアップサーバーがランサムウェアに感染。診療データ10年分が暗号化され、身代金5億円を要求される事態となりました。このような複合攻撃への対策として、多層防御の実装、異なるチーム間での情報共有強化、定期的なバックアップとその隔離保管が重要です。
FAQ(よくある質問)
- Q: DDoS攻撃を完全に防ぐことはできますか?
- A: 残念ながら、DDoS攻撃を100%完全に防ぐことは不可能です。しかし、適切な対策により、攻撃の影響を大幅に軽減することは可能です。CDNやWAFの導入により、一般的な攻撃の90%以上は防御できます。重要なのは、「完全に防ぐ」ことを目指すのではなく、「ビジネスへの影響を最小限に抑える」ことです。事業継続計画(BCP)を策定し、攻撃を受けた際の対応手順を明確にしておくことで、たとえ攻撃を受けても迅速に復旧し、被害を最小限に抑えることができます。また、サイバー保険への加入により、経済的リスクを軽減することも重要な対策の一つです。
- Q: 攻撃を受けているかどうかの判断基準は?
- A: DDoS攻撃の兆候として、以下のような症状が現れます。(1)Webサイトの表示が極端に遅い、またはタイムアウトする、(2)特定のページだけでなく、サイト全体がアクセス不能、(3)サーバーのCPU使用率やメモリ使用率が異常に高い、(4)ネットワークトラフィックが通常の10倍以上に急増、(5)アクセスログに同一IPや類似パターンの大量のリクエスト、(6)正常なユーザーから「サイトにつながらない」という問い合わせが急増。これらの症状が複数同時に発生した場合は、DDoS攻撃の可能性が高いです。ただし、正常なアクセス急増(バズった、TVで紹介された等)との区別が必要です。監視ツールを導入し、平常時のトラフィックパターンを把握しておくことで、異常を早期に発見できます。
- Q: 無料でできる対策はありますか?
- A: はい、予算がなくても実施できる効果的な対策があります。まず、Cloudflareの無料プランは、基本的なDDoS防御機能とCDN機能を提供します。設定は30分程度で完了し、小規模な攻撃なら十分防御可能です。次に、ファイアウォールの設定見直しは完全無料で、不要なポートを閉じるだけでも攻撃対象を減らせます。Google reCAPTCHAの実装も無料で、ボット攻撃を効果的に防げます。また、定期的なバックアップの取得、緊急連絡先リストの作成、対応手順書の作成なども、費用をかけずに実施できる重要な対策です。これらの無料対策だけでも、攻撃による被害を50%以上削減できる可能性があります。
- Q: 攻撃された場合の警察への通報は必要?
- A: DDoS攻撃を受けた場合、警察への通報を強く推奨します。サイバー攻撃は刑法の「電子計算機損壊等業務妨害罪」(刑法234条の2)に該当し、5年以下の懲役または100万円以下の罰金という重い刑罰が科されます。通報先は、各都道府県警察のサイバー犯罪相談窓口、または警察庁の「サイバー犯罪相談窓口」(#9110)です。通報の際は、(1)攻撃の日時と継続時間、(2)被害の内容と規模、(3)アクセスログなどの証拠、(4)金銭的被害の有無、を整理しておくとスムーズです。また、JPCERT/CC(JPCERTコーディネーションセンター)への情報提供も重要で、他の組織への注意喚起につながります。ただし、警察の捜査には時間がかかり、即座の解決は期待できないため、技術的な対策を並行して進める必要があります。
- Q: サイバー保険でDDoS被害は補償される?
- A: 多くのサイバー保険では、DDoS攻撃による被害も補償対象となっています。一般的な補償内容は、(1)事業中断による利益損失、(2)システム復旧費用、(3)インシデント対応の専門家費用、(4)顧客への損害賠償、(5)風評被害対策費用などです。ただし、保険会社や契約内容により補償範囲は異なり、「適切なセキュリティ対策を実施していること」が支払い条件となる場合が多いです。保険料は企業規模や業種により異なりますが、年商10億円の企業で年間100〜300万円程度が相場です。注意点として、攻撃から一定時間(通常12〜24時間)は免責期間となる場合があること、補償限度額(通常1〜5億円)があること、事前のリスクアセスメントが必要な場合があることなどがあります。加入を検討する際は、複数の保険会社から見積もりを取り、補償内容を詳細に比較することが重要です。
まとめ:総合的なDDoS対策の重要性
DDoS攻撃は、現代のデジタル社会における最も深刻な脅威の一つです。本記事で解説した内容を振り返り、効果的な対策の要点をまとめます。
DDoS攻撃の現状認識:
- 2024年の攻撃件数は前年比50%増加、規模も巨大化
- IoTボットネットとAI悪用により、攻撃手法が高度化
- サプライチェーン攻撃やランサムウェアとの複合攻撃が増加
- 中小企業も標的となり、もはや他人事ではない
効果的な対策の3つの柱:
- 技術的対策:WAF、CDN、ファイアウォールによる多層防御
- 組織的対策:インシデント対応体制、BCP策定、定期訓練
- 経済的対策:サイバー保険、予算確保、投資計画
今すぐ実施すべきアクション:
- 最低限、無料のCDNサービスを導入
- ファイアウォール設定の見直し
- インシデント対応手順の文書化
- 定期的なバックアップの実施
- 従業員へのセキュリティ教育
DDoS攻撃対策は、一度実施すれば終わりではありません。攻撃手法は日々進化しており、最新の脅威情報を常に把握し、対策をアップデートし続ける必要があります。完璧な防御は不可能ですが、適切な準備により、被害を最小限に抑え、迅速に復旧することは可能です。
最も重要なのは、経営層を含めた組織全体でリスクを認識し、適切な投資と体制構築を行うことです。サイバーセキュリティは、もはやIT部門だけの問題ではなく、事業継続に直結する経営課題として取り組む必要があります。
【重要なお知らせ】
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません
- 実際に攻撃を受けた場合は、専門家や警察にご相談ください
- セキュリティ対策の実施には、自組織の環境に応じた調整が必要です
- 記載内容は2025年11月時点の情報であり、状況は日々変化します
- 最新情報はJPCERT/CC等の公的機関でご確認ください
更新履歴
- 詳細を加筆
- 初稿公開
