DDoS攻撃とは?しくみ・DoS攻撃との違い・自社で備える対策を整理して解説
この記事のポイント
- DoS攻撃は単一発信源、DDoS攻撃は複数発信源から仕掛ける点が決定的な違い
- DDoS攻撃はAPT攻撃・標的型攻撃と目的も時間軸も異なり、「侵入の煙幕」として併用される例もある
- 正常な通信との区別が難しく、IPブロックだけでは防ぎきれない
- 防御は「検知→吸収→事業継続」を多層で組み合わせる発想が有効
サイバー攻撃の手口は年々巧妙化しており、サービス停止を狙う攻撃も例外ではありません。なかでもDoS攻撃は、サーバーやウェブサイトに大量のデータを送り付けてサービスを止める古典的な手口でありながら、今も主要な脅威の一つです。本記事ではDoS攻撃の仕組みから、より大規模なDDoS攻撃との違い、混同されがちなAPT攻撃・標的型攻撃との違い、そして自社で備えるべき対策までを順に整理します。
目次
DoS攻撃とは何で、どんな目的で行われるのか?
DoS攻撃は、1台の機器からウェブサイトやサーバーへ過剰なリクエストを送りつけ、サービスを利用できない状態に追い込むサイバー攻撃です。攻撃の規模はDDoS攻撃より小さいものの、対策が手薄なシステムでは十分に被害を引き起こします。
DoS攻撃(Denial of Service attack)
日本語訳:サービス拒否攻撃/読み方:「ドス攻撃」「ディーオーエス攻撃」
単一の機器から大量のリクエストを送って、対象サービスを停止させる攻撃。
攻撃元が1台に限られるため、IPアドレスを特定して遮断する初動が比較的取りやすい点が特徴です。一方で、サービス停止による機会損失や信用毀損は規模を問わず発生し得ます。
DoS攻撃の主な種類は2つに分けられる
DoS攻撃は、攻撃の仕掛け方によって大きく「フラッド型」と「脆弱性型」に分けられます。
フラッド(flood:洪水)型
大量のデータやリクエストを送り付け、サーバーの処理能力を上回らせる攻撃です。代表的な手法は次のとおりです。
- SYNフラッド攻撃:TCP接続の開始手順を悪用し、接続要求だけを送り続ける
- UDPフラッド攻撃:UDP通信で大量のパケットを送り、サーバーに負荷をかける
- メールボム攻撃:大量のメールを送り付けてメールサーバーを機能不全にする
- F5攻撃:更新ボタン(F5キー)を連打してページの再読み込みを繰り返す
脆弱性型
サーバーやソフトウェアのセキュリティ上の弱点を突き、異常処理を引き起こす攻撃です。少量のデータでもシステムを落とせる場合があり、検知が難しいケースもあります。代表例としてPing of Death攻撃やTear Drop攻撃が挙げられます。
ポイント:DoS攻撃は単一機器からの過剰リクエストで起き、フラッド型と脆弱性型に大別される。
DDoS攻撃とDoS攻撃は何が違うのか?
DDoS攻撃は、DoS攻撃を複数台に拡張し、規模を拡張した類似概念として整理できると捉えると整理しやすい攻撃です。違いは攻撃を仕掛ける機器の台数と、それに伴う規模・追跡難度の差にあります。
DDoS攻撃(Distributed Denial of Service attack)
日本語訳:分散型サービス拒否攻撃/読み方:「ディードス攻撃」
複数の機器を踏み台にし、対象サーバーへ大量のデータを送って停止または遅延させる攻撃。
DDoS攻撃で踏み台とされるのは、マルウェアに感染したPCやルーター、防犯カメラなどのIoT機器で構成されるボットネットです。攻撃者は遠隔操作で一斉に通信を発生させるため、攻撃元は地理的にも時間的にも分散し、真犯人の特定が難しくなります。
DoS攻撃とDDoS攻撃の違いを表で整理
| 比較項目 | DoS攻撃 | DDoS攻撃 |
|---|---|---|
| 攻撃元 | 1台 | 複数台(ボットネット) |
| 攻撃規模 | 限定的 | 大規模になりやすい |
| 攻撃元の特定 | 比較的容易 | 困難 |
| IPブロックの有効性 | 有効 | 単独では不十分 |
DoS攻撃・DDoS攻撃を行う動機にはどんなものがある?
攻撃の背景には複数の動機があり、一つに絞れないケースも珍しくありません。
- 個人的な恨みや嫌悪による嫌がらせ
- 悪質ないたずらや愉快犯
- 金銭の要求(ランサムDDoSと呼ばれる脅迫型)
- 政治的・社会的主張に基づく抗議
- 競合への営業妨害
- 後述するAPT攻撃などの「煙幕」として併用
ポイント:違いは「攻撃元の台数」と「分散の度合い」。DDoS攻撃は追跡が難しく、IP遮断だけでは止められない。
DDoS攻撃はAPT攻撃・標的型攻撃と何が違うのか?
DDoS攻撃とAPT攻撃・標的型攻撃は、いずれも企業に深刻な被害をもたらしますが、目的も時間軸も大きく異なります。DDoS攻撃は短期決戦で「サービスを止める」のが狙い、APT攻撃・標的型攻撃は長期潜伏で「情報を盗む」のが狙いです。
3つの攻撃を「目的×期間×可視性」で比較
| 比較軸 | DDoS攻撃 | 標的型攻撃 | APT攻撃 |
|---|---|---|---|
| 主な目的 | サービス停止・脅迫・抗議 | 特定組織の情報窃取 | 長期潜伏・継続的な情報窃取・破壊 |
| 攻撃期間 | 数時間-数日 | 数週間-数か月 | 数か月-数年 |
| 可視性 | 即座に表面化(サイト停止) | 気づかれにくい | 気づかれないことが前提 |
| 攻撃の典型手段 | ボットネットによる過剰トラフィック | 標的を絞ったメール添付・なりすまし | ゼロデイ・水飲み場・横展開 |
「サービス停止」だけで終わらないケースもある
近年は、DDoS攻撃を侵入の煙幕として用いる手口が確認されています。セキュリティ担当者の注意がトラフィック対応に向いている隙に、別経路から不正アクセスを試みたり、データを持ち出したりするパターンです。「サイトが落ちただけ」と片付けず、攻撃の裏で別のインシデントが進行していないかを並行して確認する姿勢が欠かせません。
ポイント:DDoS攻撃は短期・可視・サービス停止型。APT攻撃や標的型攻撃と異なるが、両者が併用される例もある。
なぜDDoS攻撃は防ぐのが難しいのか?
大手企業でもDDoS攻撃でサービス停止に至る事例が報じられます。それは、防御が原理的に難しい要素を複数抱えているためです。
正常なアクセスと悪意のあるアクセスを見分けにくい
商品ページに普通のユーザーがアクセスする通信と、攻撃者が大量に投げてくる通信は、技術的にはよく似ています。IPアドレスでの遮断を試みても、攻撃者は多数のIPを併用するため、正常ユーザーまで巻き込みかねません。人間の挙動を模倣する仕組みを用いる手口もあり、識別はさらに難しくなります。
攻撃元の規模と分散性が大きい
現代のDDoS攻撃では、世界各地に分散した数千?数十万台の機器が同時に動員されます。多くはマルウェアに感染した一般ユーザーのPCやIoT機器です。防犯カメラ、ルーター、スマート家電などが知らぬ間に踏み台になる例もあります。地理的にも時間的にも散らばった攻撃元すべてを特定して遮断するのは現実的ではありません。
攻撃手法そのものが進化し続けている
HTTPやHTTPSの正当な通信を装うLayer 7攻撃は、暗号化通信と見分けにくく、従来のファイアウォールでは検出が困難です。DNSアンプ攻撃のように、小さなリクエストで大きな応答を引き出し、効率よく標的の帯域を埋める手法もあります。さらに複数手法を組み合わせるハイブリッド攻撃も増えており、単一の防御策では受けきれない場面が増えています。
攻撃のハードルが下がっている
主に海外で違法サービスとして摘発例がある「Booter」「Stresser」と呼ばれるDDoS代行サービスが確認されており、技術力がなくとも金銭で攻撃を発注できる状況があります。攻撃の参入障壁が下がっている点は、防御側の前提として押さえておきたいポイントです。
ポイント:「正常通信との類似」「分散性」「手法の進化」「攻撃のコモディティ化」が、DDoS攻撃を防ぎにくくしている。
DDoS攻撃を受けるとどんな被害が起きるのか?
DDoS攻撃の被害はサーバーダウンにとどまりません。事業継続・コスト・信用の3方向に影響が広がります。
企業サイトのサーバーダウンによる機会損失
攻撃で対象サーバーが停止すると、オンラインで提供しているサービスは利用不能になります。顧客への情報提供ができないだけでなく、企業や製品・サービスへの信頼まで損なう恐れがあります。
想定外のコストが積み上がる
ECサイトを運営している場合、サーバーダウン中は取引機会そのものを失います。従量課金制のサーバーを使っているケースでは、攻撃によって発生した処理量がそのまま利用料金に跳ね返り、想定外の高額請求につながる場合もあります。事業者側で攻撃を検知して対応するサービスもありますが、回避手口も巧妙化している点には注意が必要です。
こんなサインが出たらDDoS攻撃を疑う
攻撃の早期発見には、平時からの観測指標と比較する習慣が役立ちます。
- 普段の数倍-数十倍のアクセスが短時間に集中している
- 特定のURLや機能だけにリクエストが偏っている
- 正常ユーザーや顧客がほとんど存在しない国・地域からの通信が急増
- サーバーのCPU・帯域使用率が逼迫し、応答が極端に遅い
ポイント:被害は停止だけでなく、コスト膨張と信用毀損にも及ぶ。サインを定義しておくと初動が速くなる。
DDoS攻撃にはどんな種類があるのか?
DDoS攻撃も、DoS攻撃と同じく「フラッド型」と「脆弱性型」の2系統で整理できます。
フラッド型:通信プロトコルを悪用する
ウェブサーバーと端末がやり取りする通信プロトコルの手順を、正当な通信に見せかけて大量に実行する攻撃です。サーバーは膨大な処理に追われ、遅延やダウンを引き起こします。攻撃の狙う通信経路によって、以下のように細分化されます。
- SYNフラッド攻撃:TCPの接続開始要求を大量に送り、半開放接続でリソースを枯渇させる
- FINフラッド攻撃:接続切断要求を大量に送り、サーバーの処理を圧迫する
- ACKフラッド攻撃:応答用パケットを単体で大量送信し、破棄処理を強要する
- UDPフラッド攻撃:UDPの仕様を悪用してパケットを大量送信する
- DNSフラッド攻撃:DNSサーバーに大量問い合わせを送り、名前解決を妨害する
脆弱性型:システムの弱点を突く
ウェブサーバーやソフトウェアに潜む脆弱性を突いて過重な負荷を与え、ダウンや遅延を引き起こす攻撃です。代表例としてPing of Death攻撃とTear Drop攻撃があります。少量の通信でも被害を出せるため、検知が遅れがちな点に注意が必要です。
ポイント:DDoS攻撃は「量で押すフラッド型」と「弱点を突く脆弱性型」に大別される。両者で対処の前提が変わる。
DDoS攻撃にはどう備えればよいか?
攻撃元の特定が難しいDDoS攻撃でも、「検知 → 吸収 → 事業継続」の3段階で多層に備えれば、被害を抑え込めます。予防的な仕組みと、発生時の対応プロセスをそれぞれ整理します。
予防の段階で備えておきたいこと
インフラ側で耐久性を底上げする
世界中に分散したサーバーへコンテンツを配信するCDN(Content Delivery Network)を使うと、利用者に近いサーバーから配信され、オリジンサーバーの負荷を大きく下げられます。クラウド基盤を採用してトラフィック急増時にリソースを自動拡張する構成や、複数のデータセンターを使った冗長化も、停止リスクの抑制に有効です。
通信層で異常を検知・遮断する仕組みを置く
WAF(Web Application Firewall)を導入することで、HTTPやHTTPSレベルでの異常リクエストを検知して遮断できます。同時に、同一IPやセッションからの過剰リクエストを制限するレートリミッティングを設定し、サーバーリソースの枯渇を防ぎます。さらにリアルタイムでトラフィックを観測する分析ツールを併用すれば、通常と異なるパターンを早期に発見しやすくなります。
WAFは導入形態(クラウド型・アプライアンス型・ホスト型)によって運用負荷や守備範囲が変わります。自社の開発体制や対象システムに合わせて選ぶ視点が重要です。ALSOK WAFサービスでは、ウェブアプリケーション層の異常検知から運用までを支援しており、社内に専任の運用担当者を置きづらい組織でも導入しやすい構成になっています。
DDoS攻撃に特化したサービスを併用する
大規模なDDoS攻撃まで想定するなら、専用のDDoS対策サービスの併用が現実的です。世界規模のネットワーク基盤で攻撃トラフィックを吸収し、正常通信だけを通過させる仕組みが用意されています。24時間体制での監視により、検知から対処までの時間を短縮できる点も利点です。
発生時の対応プロセス
初期対応:攻撃の種類と規模を見極める
攻撃を検知したら、まずSYN Flood、HTTP Flood、DNS増幅などの種別と規模を確認します。その情報を社内のシステム管理者やセキュリティチームへ即時共有し、対応体制を立ち上げます。必要に応じてISPやセキュリティベンダーにも連絡し、防御範囲を広げます。
トラフィック制御:流入を絞る
特定された攻撃元IPアドレスからのトラフィックを遮断します。攻撃が特定の地域から集中している場合は、GeoIPフィルタリングで一時的に該当地域を制限します。重要度に応じて優先順位を付け、業務継続上クリティカルなサービスへの導線を確保します。
システム最適化:リソースを集中させる
攻撃のさなかには、メンテナンスモードの有効化や非重要サービスの一時停止により、限られたリソースを重要機能に振り分けます。コンテンツのキャッシュを活用すれば、サーバーへの負荷をさらに下げられます。
記録と分析:次の攻撃に活かす
攻撃中のトラフィックパターン、攻撃元IPアドレス、用いられた手法を詳細にログとして残します。これらは安全に保管し、原因分析と次の防御策の改善に活用します。
復旧と改善:再発防止につなげる
攻撃が収まったら、システム全体の正常性を確認します。セキュリティ設定を見直し、必要に応じて強化します。インシデントレポートを作成して組織内で共有し、平時の体制改善にもつなげます。
これらの対策を組み合わせ、定期的な見直しと演習を行うことで、DDoS攻撃に対する耐性を高められます。事前の準備と訓練ができているほど、実際の攻撃が発生した時の判断と動きが速くなります。
ポイント:多層防御は「検知 → 吸収 → 継続」で組む。WAF・CDN・DDoS対策サービスの組み合わせと、平時の体制づくりがカギ。
よくある質問(FAQ)
DDoS攻撃とDoS攻撃の違いをひと言で教えてください
攻撃元の機器が1台か複数台かが決定的な違いです。DoS攻撃は単一機器からの過剰リクエスト、DDoS攻撃は世界中に分散した多数の機器から同時に行われ、規模が大きく追跡も難しくなります。IPアドレス遮断だけでは対処が難しいのもDDoS攻撃の特徴です。
DDoS攻撃とAPT攻撃・標的型攻撃の違いは何ですか?
DDoS攻撃はサービス停止が目的の短期型、APT攻撃・標的型攻撃は情報窃取が目的の長期型です。DDoSは表面化しやすく、APT・標的型は気づかれないことを前提に進みます。両者は別物ですが、DDoSを侵入の煙幕として併用する手口も確認されています。
DDoS攻撃を受けているかどうかは、何で判断すればよいですか?
普段の数倍以上のアクセスが短時間に集中する、特定URLにリクエストが偏る、想定外の国や地域からの通信が増える、CPUや帯域がスパイクして応答が遅い、といったサインが目安です。平時の通常値を把握しておくと、異常との比較が素早く行えます。
中小規模のサイトでもDDoS攻撃の対象になりますか?
対象になり得ます。攻撃代行サービスの存在により、技術力のない攻撃者でも金銭で攻撃を発注できる状況があるためです。元従業員、競合、個人的トラブルなど、動機は組織の規模を問いません。最低限のWAFやレートリミットでも被害を大きく減らせます。
DDoS攻撃対策にWAFは有効ですか?
WAFはアプリケーション層(Layer 7)の異常リクエストを検知・遮断できるため、HTTPフラッドのようなアプリ層DDoSに有効です。一方、帯域そのものを埋める大規模DDoSにはCDNや専用DDoS対策との組み合わせが現実的です。役割を分けて多層で備えるのが基本です。
まとめ
DoS攻撃はサーバーやウェブサイトに過剰な負荷をかけてサービスを停止させる古典的な攻撃で、DDoS攻撃はこれを複数機器に分散させて大規模化したものです。APT攻撃や標的型攻撃とは目的・期間が違い、まれに侵入の「煙幕」として併用される点にも注意が必要です。
被害はサービス停止だけでなく、機会損失、想定外のクラウド利用料、信用毀損まで広がります。フラッド型・脆弱性型を含めた多様な手口に対しては、CDN・WAF・DDoS対策サービスを組み合わせた多層防御と、検知から復旧までを定義したインシデント対応の整備が現実的な備えになります。
社会情勢の変化を背景にDoS攻撃・DDoS攻撃の増加が指摘されています。自社サイトのセキュリティ強化をお考えであれば、ALSOKまでお問い合わせください。各社の状況に合わせた防御設計をご提案します。
