DDoS攻撃の概要

システムやデジタル機器を脅かす代表的なサイバー攻撃の一つとして、「DDoS（Distributed Denial of Service/ディー・ドス）攻撃」が挙げられます。DDoS攻撃はサーバダウンやシステムストップ等の重大な影響をもたらすことから、特に注意が必要なリスクとして取り扱われます。

まずはDDoS攻撃の基本的な仕組みについて確認しておきましょう。

DDoS攻撃の意味・読み方

DDoS攻撃は「ディー・ドス攻撃」と読み、日本語で「分散サービス拒否攻撃」を意味する言葉です。具体的には、Webサーバやメールサーバ等に、複数のコンピューターから意図的な大量のサービス要求を行うことで過大な負荷を掛ける行為を指します。

膨大な負荷が掛かったサーバやネットワークは、他者のアクセスを受け入れられなくなってしまうだけでなく、最悪の場合はシステムダウンに陥ります。その結果、サービスの停止を引き起こすのがDDoS攻撃の基本的な狙いです。

DoS攻撃との違い

DDoS攻撃と類似する言葉に「DoS（Denial of Service）攻撃」があります。DoS攻撃も基本的な狙いはDDoS攻撃と同様ですが、こちらは1台のコンピューターから攻撃を仕掛ける手法を指しています。

それに対して、DDoS攻撃は複数台のコンピューターから攻撃を仕掛ける手法です。攻撃者は遠隔操作ウイルスやマルウェア等で乗っ取った第三者の端末を踏み台にし、複数のコンピューターでまとめてサービス要求のパケットを送り付けます。

より多くの端末が攻撃に加担することとなるため、DoS攻撃よりも大きな被害となりやすいのが特徴です。

【関連記事】

マルウェアの脅威や種類、感染経路や対処方法等について解説しています。

　

DDoS攻撃の主な手口

DDoS攻撃は比較的に古くから用いられてきた攻撃手法であるため、手口も多様化・複雑化しています。ここでは、代表的な攻撃パターンを三つに分けてご紹介します。

TCP（SYN）フラッド

TCP（SYN）フラッドとは、大量のSYNパケット※1を送り付ける攻撃のことです。通常、インターネットで用いられるトランスポート層の「TCP（トランスミッション・コントロール・プロトコル）」では、接続を望むほうをクライアント、受信する側をサーバと呼びます。

クライアントがパケットを送信し、サーバがパケットを返信し、さらにもう一度クライアントがパケットを送り返すことで接続が確立されます。

TCPフラッドの手法では故意にSYNパケットのみを大量に送り付け、ACKパケット※2の返信を行わずに放置します。それによって、要求を受けた相手側には「応答待ち」のTCP接続が蓄積され、最終的には接続がパンクしてしまうという仕組みです。

※1 SYNパケット：通信を開始するための要求（合図）を送信
※2 ACKパケット：受信した要求（合図）やデータを確認するために返信

HTTPフラッド

WebサービスやWebサーバ等のターゲットに対して、大量のHTTPリクエスト（データ送信要求）を送り付ける攻撃です。過剰なリクエストによってサーバに負荷を掛け、応答のスピードを低下させたり、正当なリクエストを受け付けられないようにさせたりするのが基本的な目的です。

HTTPフラッドのリクエストは、ランダムパス等を入れて正当なリクエストと混同させるような工夫が行われているため、判別が難しいのが特徴とされています。

UDPフラッド

「UDP（User Datagram Protocol）フラッド」とは、偽の送信元であるIPアドレスやランダムなポート番号を設定したUDPデータグラムを大量に送り付ける攻撃のことです。UDPとはインターネットで使用されるプロトコルの一つであり、一部の接続手順が省略されているため、TCPと比べてより高速な通信が行えるのが特徴です。

一方、通信の信頼性は低いという特徴があるため、基本的には確実なデータ転送が求められるメールやWebでは用いられず、リアルタイム性が必要なアプリケーション等の通信で使われています。それだけに、UDPは攻撃者に利用されやすい側面もあると言えるでしょう。

具体的な手法としては、無作為にサーバのポートへ大量なパケットを送り付ける「ランダム・ポート・フラッド攻撃」や、大きなサイズのパケットを大量に送信する「フラグメント攻撃」等があります。

【関連記事】

サイバー攻撃の主な種類と対策について詳しく解説しています。

　

DDoS攻撃の被害に遭いやすい業界

DDoS攻撃は、「トラフィック量が多い（大量のデータやコンテンツを配信している）」「社会的な影響力が高い」といった特徴を持つ業界がターゲットになりやすいという側面があります。具体的にはゲーミング、ITおよび通信、動画配信サービス、クラウドサービスの順で被害の割合が多いとされています。

特にゲーム業界では、オンラインゲームサービスを標的とするDDoS攻撃が多発しており、さまざまな被害につながっているのが現状です。また、社会的な影響力を持つ政府機関、自治体等もターゲットになりやすく、例えば令和4年（2022）には、デジタル庁が運営する総合的な行政ポータルサイト「e-Gov」がDDoS攻撃によって閲覧障害に陥りました。

このように、DDoS攻撃は競合相手への妨害、政治体制等への抗議活動、単なる嫌がらせといった多様な動機で行われるのも特徴です。その他のサイバー攻撃は、個人情報の窃取等を目的としているものも多いですが、DDoS攻撃は動機についてやや特殊な側面を持っていると言えます。

【関連記事】

英国国家サイバーセキュリティセンター（NCSC）が行った調査結果について解説しています。

　

DDoS攻撃を受けることで生じる被害

DDoS攻撃は攻撃を受けた対象によって、大きな損害を生み出すリスクがあります。ここでは、想定される具体的な被害として、三つのパターンに分けて見ていきましょう。

Webサイトの閲覧障害が起こる

DDoS攻撃の代表的な被害の一つが、Webサイトの閲覧障害です。不正なリクエストによってサーバに負荷が掛かれば、正規のリクエストを受け付けられなくなり、Webサイトが閲覧しづらい状態が続いてしまいます。

処理速度が遅くなれば、それまでサービスを利用していたユーザーからの信頼を失い、離脱を招いてしまう可能性もあるでしょう。また、継続的な負荷が掛かれば、最悪の場合はサーバがダウンし、サービス停止等の大きな被害に発展してしまうケースもあります。

例えば、企業が扱うECサイト等が突然サービス停止になれば、売上の減少により大きな経営リスクにつながります。さらに、一度信用を失えば顧客の利用率も低下するため、長期的な機会損失を招く恐れもあるのです。

攻撃者から金銭を要求される

DDoS攻撃のなかには、攻撃を停止することと引き換えに、金銭等を不当に要求するパターンもあります。サービスが停止すれば、運営者としては大きな損失につながるため、その点を突いて資金力や影響力のある企業を狙うというケースも考えられます。

取引先への悪影響が生じる

DDoS攻撃によってターゲットに大きなダメージを与え、その混乱に乗じてさらなるサイバー攻撃を引き起こすというケースもあります。具体的には、対象のサーバを停止に追い込み、被害者がその対応に追われている間にネットワークへ侵入し、ほかのサーバに不正アクセスして機密情報を窃取するといった手口です。

それにより、取引先企業等の関係各所にも被害が拡大すれば、サプライチェーン全体に深刻なダメージが生じてしまう恐れもあるでしょう。また、顧客データ等が抜き取られれば、社会的な信用損失にもつながります。

【関連記事】

サプライチェーンが抱えるリスクや課題解決につなげるためのポイント、情報セキュリティ対策等を解説しています。

　

DDoS攻撃を想定した対策

DDoS攻撃による被害を防ぐためには、企業全体としてセキュリティ対策を強化する必要があります。ここでは、代表的なDDoS攻撃対策を三つご紹介します。

海外のIPアドレスからの通信を遮断する

DDoS攻撃では、送られてくる不正な通信データをシャットアウトし、サーバやネットワークのリソースを守るのが基本です。そのためには、正規のアクセスとDDoS攻撃によるアクセスをどのように分別するかが重要な課題となります。

例えば、サービス利用者が国内に限られる場合は、海外に割り当てているIPアドレスからのアクセスを制限することでリスクを軽減しやすくなります。

サーバの設定を見直す

「同一のIPアドレスからのアクセス回数を制限する」、「タイムアウト設定を見直す」など、サーバの設定を見直すことでも、DDoS攻撃を回避する上では一定の効果が期待できます。ただし、複数の端末から攻撃されることを考えると、設定の変更のみではDDoS攻撃対策として不十分と言えます。

攻撃者がIPアドレスや攻撃方法を定期的に変更する場合もあるため、設定後も継続的な監視は必要です。

CDNやWAF等の導入を検討する

これまで見てきたように、DDoS攻撃は多数の攻撃元が関わるため、対策が難しいのが実情です。そうしたなかで、大きな効果が期待されているのが「CDN（Content Delivery Network）」と呼ばれるサービスです。

CDNはサーバとユーザーの間に位置するキャッシュサーバを利用し、Webサイトの情報を効率的に配信するという仕組みです。CDNを使えば、DDoS攻撃によるアクセスをCDNが一次受けするため、サーバの代わりに攻撃を受け止めて被害を軽減できるという効果が期待できます。

また、「WAF（Web Application Firewall）」とは、WebサイトやWebアプリケーションへの不正な通信を防ぐシステムのことです。データのやりとりを監視して不正アクセスを防止する仕組みであり、通常のファイアウォールやIPSではすり抜けてしまうような通信も検知・遮断できるのが特徴です。

【関連記事】

不正アクセスがもたらす主なリスクや被害の事例、必要な対策等を解説しています。

　

さらに、使用するパソコンやサーバの不審な挙動を検知して、迅速な対応が行えるように「EDR（Endpoint Detection and Response）」の導入も検討してみましょう。EDRを導入することで、より強固なセキュリティ態勢の構築につなげられます。

なお、社内で対応しきれないほど大規模な攻撃を受けた場合は、警察等への通報を行った上で、外部との連携によって解決を図ることも重要です。

【関連記事】

EDRのポイントについては、こちらの記事でも解説しています。

　

DDoS攻撃に加担しないための防止策

DDoS攻撃は自社が被害を受けるだけでなく、自社の機器が攻撃に加担してしまう恐れがある点にも注意が必要です。自社の機器が悪用されるのを防ぐためには、適切なセキュリティソフトを導入するとともに、「オープンリゾルバ対策」や「フィルタリング設定の見直し」を行うのが効果的とされます。

オープンリゾルバとは、不特定のIPアドレスからの問い合わせについて、最終的な答えが得られるまで再帰的な問い合わせを許可しているDNSサーバのことです。オープンリゾルバを踏み台にしたDDoS攻撃も増えているため、必要でないサーバやネットワーク機器は設定を変更してオープンリゾルバにならないようにすることが重要です。

また、フィルタリング設定を行い、自社の機器から送信元IPアドレスを詐称したパケットが送られないようにしておくのも有効と言えます。

まとめ

DDoS攻撃は比較的に古くから行われているサイバー攻撃の一つですが、とりわけ対策が難しく、被害の度合いも大きくなりやすいのが特徴です。特にトラフィック量が多くなりやすいゲーム業界、ITおよび通信業界、動画配信サービス、クラウドサービス等はターゲットになりやすく、事業に直接的なダメージをもたらすリスクがあるので注意が必要です。

DDoS攻撃の対策を行う上では、基本的なセキュリティシステムを見直すとともに、DCNやWAFの導入も効果的とされています。DDoS攻撃の被害を回避し、自社の機器をDDoS攻撃に加担させないためにも、専門家にも相談しながら必要な対策を講じましょう。

2024年8月25日付　東京都産業労働局　「最近の攻撃トレンド、および中小企業にも発生しうるサイバー被害事例」