DDoS攻撃(ディードス攻撃)とは、多数の端末から一斉に大量の通信やリクエストを送りつけ、標的のサーバーやネットワークを処理不能にしてサービスを停止させる攻撃です。「Distributed Denial of Service(分散型サービス拒否)」の略で、Webサイトやオンラインサービスの可用性を直接狙います。特別な脆弱性がなくても成立し、近年は国内の大手企業でも実被害が出ているため、情シスが平常時から備えておくべき代表的な脅威です。
この記事でわかること:
- DDoS攻撃の仕組みと、DoS攻撃との違い
- 攻撃の3つの種類(ボリューム型/プロトコル型/アプリケーション層型)
- 情シスが平常時・有事に備えるべき現実的なポイント
DDoS攻撃とは何か(1分でわかる定義)
DDoS攻撃とは、攻撃者が多数のコンピューターを操り、標的の1システムに対して同時に大量のアクセスを浴びせる攻撃です。処理能力や通信回線の容量を使い切らせることで、正規の利用者がサービスにつながらない状態(サービス拒否=Denial of Service)を作り出します。
ポイントは「壊す」のではなく「詰まらせる」攻撃だということです。データを盗んだりシステムを改ざんしたりするのではなく、サービスを使えなくすること自体が目的になります。ECサイトなら販売機会の損失、金融・行政サービスなら社会的な混乱に直結するため、被害は「止まっている時間」に比例して膨らみます。
DoS攻撃とDDoS攻撃はどう違う?
簡単に言えば「1対1」か「多対1」かの違いです。DoS(Denial of Service)攻撃は1台の端末から標的を攻撃します。これに対しDDoS攻撃は、多数の端末から分散(Distributed)して一斉に攻撃します。
| 観点 | DoS攻撃 | DDoS攻撃 |
|---|---|---|
| 攻撃元 | 基本的に1台 | 多数(数百〜数十万台規模も) |
| 遮断のしやすさ | 送信元IPを絞れば止めやすい | 送信元が分散し、正規通信と見分けにくい |
| 攻撃規模 | 比較的小さい | 数十〜数百Gbps以上に達することも |
DDoSは攻撃元が世界中に分散するため、「怪しいIPだけ弾く」という単純な防御が効きにくいのが厄介な点です。
なぜ今あらためて重要なのか
DDoSは古くからある攻撃ですが、脅威としてはむしろ増しています。理由は大きく3つあります。
- IoT機器の踏み台化で攻撃が大規模化:ルーターや監視カメラなど、管理の甘いIoT機器がマルウェアに感染して「ボットネット」に組み込まれ、攻撃の規模が跳ね上がっています。
- 国内の大手にも実被害:2024年末から2025年初めにかけて、国内の金融機関や航空会社など複数の大手事業者がDDoS攻撃を受け、サービス障害が発生したことが報じられました。「うちのような規模は狙われない」という前提はもう通用しません。
- 金銭・示威目的の攻撃:後述する「DDoS脅迫」による金銭要求のほか、政治的・社会的な主張(ハクティビズム)を背景にした攻撃も観測されています。
DDoS攻撃の仕組み:ボットネットと踏み台
DDoS攻撃の多くは、攻撃者が直接自分の端末から攻撃するのではなく、マルウェアに感染させて乗っ取った第三者の機器の集まり(ボットネット)を遠隔操作して行われます。
- 攻撃者がPCやIoT機器をマルウェアに感染させ、遠隔操作できる状態にする。
- 感染した多数の機器(ボット)を、指令サーバー(C2)を通じて一斉に制御する。
- 合図とともに、すべてのボットが標的へ一斉に通信を送りつける。
怖いのは、踏み台にされる機器の持ち主に自覚がないことです。自社の管理が甘い機器が、知らないうちに他社を攻撃する「加害者側」に回ってしまう可能性もあります。ここは情シスにとって他人事ではありません。
DDoS攻撃の3つの種類
米CISA(サイバーセキュリティ・インフラセキュリティ庁)は、DDoSの手法を狙う「層」によって大きく3種類に整理しています。防御側も、どの層への攻撃かで打ち手が変わります。
1. ボリューム型(Volumetric)攻撃
大量のデータを送りつけて、標的の通信回線の帯域そのものを使い切らせる攻撃です。UDPフラッドやICMPフラッド、DNSリフレクションなどが代表例で、規模がGbps単位で表現されるのはこのタイプです。もっとも古典的で、かつ大規模化しやすい種類です。
2. プロトコル型(Protocol)攻撃
通信の手続き(プロトコル)の仕組みを悪用し、サーバーやファイアウォール、ロードバランサーの処理リソースを枯渇させる攻撃です。代表例のSYNフラッドは、TCP接続の確立手順の途中で放置される「半開き」の接続を大量に作り、接続テーブルを埋め尽くします。帯域はさほど使わなくても機器を機能不全にできる点が特徴です。
3. アプリケーション層(Application/L7)攻撃
Webアプリケーションなど、特定のサービスの処理を狙う攻撃です。HTTPフラッドのように、一見すると正規のアクセスと変わらないリクエストを大量に送りつけ、アプリケーション側の重い処理(検索・ログインなど)を疲弊させます。正規トラフィックと見分けにくく、検知が難しいのがこのタイプの厄介さです。比較的少ない通信量でも効果を出せます。
DDoS脅迫(ランサムDDoS)という手口
DDoSは金銭要求と結びつくこともあります。JPCERT/CCは「DDoS脅迫」について注意喚起しており、攻撃者が標的組織にメールを送り、「期限までに仮想通貨を支払わなければDDoS攻撃を実行する」と脅す手口が確認されています。要求額の提示に加え、能力を示すため実際に数十Gbps規模の攻撃を短時間仕掛けてくるケースもあります。
重要なのは、JPCERT/CCが支払いを推奨していないことです。支払っても攻撃が止まる保証はなく、「支払う組織」として再び標的にされるリスクもあります。脅迫メールを受け取っても慌てて送金せず、事前に定めた対応手順に沿って動くことが肝心です。
情シスはどう備えるべきか
DDoSは「発生してから個社で耐えきる」のが難しい攻撃です。だからこそ平常時の準備が効いてきます。自前で長大な対策リストを抱えるより、まずは公的機関の指針を土台にしましょう。
- 守るべき対象と依存関係の棚卸し:どのシステムが止まると事業に致命的かを把握し、優先度を決めておく。JPCERT/CCも「対象となりうるシステムの特定とリスク評価」を勧めています。
- 緩和サービスの活用:CDNやクラウド型のDDoS緩和サービス、ISPが提供する対策メニューなど、大規模なトラフィックを外側で吸収する仕組みを検討する。個社の回線容量だけで受け止めるのは現実的ではありません。
- 平常時の通信量を知っておく:普段のトラフィックを把握していなければ「異常」を検知できません。監視とベースラインの把握はDDoS対策の前提です。
- 有事の対応体制を事前に決める:誰がISPやベンダーに連絡し、どう情報公開するか。攻撃の最中に手順を考えるのでは間に合いません。
- 自社機器を踏み台にしない:ルーターやIoT機器のファームウェア更新、初期パスワード変更といった基本の徹底が、ボットネット化を防ぎます。
正直なところ、限られた人員でGbps級の攻撃を自社設備だけでさばくのは無理があります。「どこまで外部サービスに任せ、どこを自社で見るか」の線引きを、平時に冷静に決めておくことが現場の落とし穴を避ける鍵です。具体的な備えは、以下の公的資料が出発点として有用です。
- CISA「Understanding and Responding to Distributed Denial-of-Service Attacks」:https://www.cisa.gov/resources-tools/resources/understanding-and-responding-distributed-denial-service-attacks
- JPCERT/CC「DDoS脅迫について」:https://www.jpcert.or.jp/newsflash/2020090701.html
- IPA 中小企業の情報セキュリティ対策ガイドライン:https://www.ipa.go.jp/security/guide/sme/index.html
関連する自サイトの記事
DDoSの見分け方や、境界防御に関わる用語もあわせて押さえておくと理解が深まります。
まとめ
- DDoS攻撃とは、多数の端末から一斉に大量の通信を送りつけ、標的のサービスを止める「可用性」を狙った攻撃。DoSとの違いは攻撃元が「多対1」で分散している点。
- 攻撃はボットネットを使って行われ、CISAの分類ではボリューム型・プロトコル型・アプリケーション層型の3種類に大別される。近年はIoTの踏み台化で大規模化し、国内大手にも実被害が出ている。
- 個社で耐えきるのは難しいため、守る対象の棚卸し・緩和サービスの活用・平常時の監視・有事の体制づくりを平時に準備しておくことが要。DDoS脅迫の送金は推奨されない。
出典
- CISA「Understanding and Responding to Distributed Denial-of-Service Attacks」:https://www.cisa.gov/resources-tools/resources/understanding-and-responding-distributed-denial-service-attacks
- JPCERT/CC「DDoS 攻撃を示唆して仮想通貨による送金を要求する脅迫行為(DDoS 脅迫)について」:https://www.jpcert.or.jp/newsflash/2020090701.html
- IPA 中小企業の情報セキュリティ対策ガイドライン:https://www.ipa.go.jp/security/guide/sme/index.html

