DDoS攻撃とは - 攻撃手法から対策まで、セキュリティの専門家が解説

2024年末から2025年の年始にかけて、ニュースでもたびたび取り上げられたDDoS（Distributed Denial of Service）攻撃。2024年12月には、海外のサイバー攻撃代行サービスを利用してDDoS攻撃を仕掛けたとして中学生が書類送検され、世間に衝撃が広がった。「サイバー攻撃がカジュアル化し、子どもまで手を出すようになっている」と懸念を示すのは、EGセキュアソリューションズ 取締役 CTO / 情報処理推進機構（IPA）非常勤研究員 / 技術士（情報工学部門）の徳丸浩氏だ。

本稿では同氏に、DDoS攻撃の概要や主な手法、有効な対策などについて話を伺った。

• 

  EGセキュアソリューションズ 取締役 CTO / 情報処理推進機構（IPA）非常勤研究員 / 技術士（情報工学部門）の徳丸浩氏

DDoS攻撃とは

DDoS攻撃とは、「Distributed Denial of Service」のとおり、「分散した、サービスの妨害」攻撃。すなわち、大量の端末から特定のターゲットに向けて大量のトラフィックを送り、システムやネットワークをダウンさせたり、処理を長時間遅延させたりするサイバー攻撃を指す。

攻撃元が大量であるため、仮に検知できても、防御することが難しいという特徴がある。

最近のDDoS攻撃の傾向として徳丸氏が指摘したのが「DDoS as a Service（DaaS）」の台頭だ。DDoS攻撃をサービス化していて、「誰でもお金さえ出せば攻撃ができる状態であることが問題。お試し無料キャンペーンなども存在する」と話す。

「しかも、ランサムウェア同様、分業制でDDoS攻撃をするための仕組み、つまりエコシステムができています。同タイミングでのアクセスを発生させるマルウェアをつくる人たち、それを不正にインストールさせた大量の踏み台用端末を用意する人たち、攻撃リクエストの受付や決済機能を備えたWebサイトを開設する人たちなど、役割が分かれており効率化が進んでいます」（徳丸氏）

• 

DoS攻撃とは

DDoS攻撃と似た攻撃手法として「DoS（Denial of Service attack）攻撃」というものがある。英語名を見て分かるとおり「Distributed（分散）」が抜けたものであり、DDoSもDoSの1種だ。

DDoS攻撃が大量のコンピュータから一斉に攻撃するのに対し、DoS攻撃は端末の数に関係なく、システムを不能状態に貶める攻撃全般を指す。ただし、一般的には、DDoS攻撃と区別するかたちで、限られた台数の端末から大量のアクセスを発生させる方式を意味する。

もっとも、アクセス元が限られていれば、攻撃を受けたとしても、そこからのアクセスだけを遮断すればよく、対策は比較的容易なので、この種の攻撃はDDoS方式をとることが多い。

DDoS攻撃の目的

DDoS攻撃の目的は多岐にわたるが、徳丸氏がその1つとして挙げたのは「嫌がらせ」だ。例えば、何かしらの恨みを持って退職した人が、在籍していた企業にサイバー攻撃を仕掛けるという話は「よくあること」だと同氏は言う。

また、「抗議活動」を目的とした攻撃もある。実際、ハッカー集団・アノニマスは2010年、WikiLeaksの支援などを理由に複数の金融機関に対してDDoS攻撃を実行。この攻撃は特定の政治的意図や要求を伴い、広く報道されることでその目的を達成した。

DDoS攻撃の手法と種類

DDoS攻撃の技術手法として徳丸氏が挙げたのは「SYNフラッド攻撃」「UDPフラッド攻撃」「Slow HTTP Dos攻撃」「DNSフラッド攻撃」である。以下でその詳細を見ていこう。

SYNフラッド攻撃

SYNフラッド攻撃は、TCP（Transmission Control Protocol）の三者間ハンドシェイクを悪用した手法である。この攻撃は、ターゲットサーバに大量のSYNパケットを送信することで始まる。通常、サーバはこれらのパケットに対してSYN-ACKパケットを返信し、通信を確立しようとするが、攻撃者はその後のACKパケットをあえて送信しない。その結果、サーバは接続待ち状態に陥る。この接続待ち状態のセッションが増えすぎると、新しい正当な接続を受け入れることができなくなる。

徳丸氏によると、この手法は古くからあるもので、“接続を確認する”というTCPの基本的な仕様を突いた攻撃のため、「ローテクだけれども、効き目がある」そうだ。対策として、ACKパケットを受信できない場合に早めにタイムアウトするという方法があるものの、限界はある。また、悪意のある送信かどうかを識別することは難しく、「完全にゼロにすることはできないタイプの攻撃」だという。

UDPフラッド攻撃

UDPフラッド攻撃は、偽の大量のUDP（User Datagram Protocol）パケットを送信することにより、ターゲットシステムやネットワークを圧倒する手法を指す。UDPは接続レスプロトコルであるため、セッションの確立や確認プロセスが不要だ。攻撃者はこの特性を悪用して、大量のUDPパケットを送り、ターゲットのネットワーク帯域を消費させる。その結果、正当なトラフィックが遅延または遮断されることになるのだ。

徳丸氏はUDPが使われているプロトコルとして、DNS（Domain Name System）や時刻を問い合わせるための「タイムサーバ」を挙げた。

Slow HTTP Dos攻撃

Slow HTTP Dos攻撃は、HTTPリクエストを意図的に遅延させてサーバリソースを過使用させる手法である。サーバは大量の未処理のリクエストに対応せざるを得なくなり、正常なユーザーからのアクセスを処理できなくなる。

この攻撃について徳丸氏は、「実際にはほとんど使われていない手法ではないか」としたうえで、「サーバをずっと待たせた状態にするという点で、SYNフラッド攻撃と似ている」と説明した。

DNSフラッド攻撃

DNSフラッド攻撃はUDPフラッド攻撃の一種。DNSサーバをターゲットにするものを指す。多量のDNSリクエストをサーバに送信し、正常なトラフィックの処理を阻害する攻撃だ。

徳丸氏はこれらの攻撃の手法を踏まえたうえで、「DDoS攻撃は、脆弱性を狙うような高度なものはあまりなく、ひたすら物量で攻撃する。物量での攻撃には、物量で対抗するしかないという点で厄介な攻撃だ」とした。

• 

DDoS攻撃への対策

では、DDoS攻撃にはどのような対策をとるべきか。徳丸氏が挙げたのは、主に3つだ。

1つ目は、Webサーバやネットワーク機器などの脆弱性を解消しておくという基本的なセキュリティ対策である。ネットワーク機器に関しては、脆弱性を突いて機器をボット化され、悪用されることを防ぐために必要だ。

2つ目は、Webサーバの適切な設定である。先述のタイムアウト時間など、受送信の値をチューニングすることでDDoS攻撃の影響を和らげられる可能性がある。

3つ目は、DDoS防御機能を有するCDN（Content Delivery Network）を導入することである。同様に、DDoS防御機能を持つクラウド型のWAF（Web Application Firewall）を導入することも一定の対策になるという。

ただし、CDNを導入する際に気を付けるべき点がある。CDNのサービスやプランによっては配信トラフィックのボリュームで課金されるケースがある。したがって、物量の多い攻撃を受けた場合、「従量課金制（多くの場合、下位プラン）の契約者は、DDoS攻撃により高額請求が発生する可能性がある」と同氏は言う。

また、このようなDDoS防御機能を導入しても、担当者が常時監視するわけにもいかないため、攻撃を検知できないなど、運用がうまくいかない場合もある。その点を踏まえ、同氏は「（DDoS攻撃への対策は）セキュリティの専門家に任せるのがよいのではないか」とした。

なお、「サービスの内容や重要度にもよるが」と前置きしたうえで、徳丸氏がもう1つの対策として挙げたのが「やり過ごす」というものだ。

DDoS攻撃を受けた場合、ユーザーがWebサイトにアクセスできなくなるなどの弊害はあるものの、ずっと使えなくなるわけではない。多くの場合、攻撃が止まれば元に戻るし、仮にサーバがダウンした場合も、マルウェアの被害と異なり、再起動することで復旧が可能だ。日常の運用でも正規のアクセスが大量に発生し、サーバが処理しきれずにWebサイトにアクセスできなくなるケースはある。それと同じだと考えれば、「やり過ごす」ことも1つの策というわけだ。

また、Webサイトの企画・運営や管理をする人はこのような脅威の存在をきちんと認識しておくことが重要である。技術にあまり詳しくなくても、DDoS攻撃がどのようなものなのかを知っておくことで、有事の際も焦らずに対応することができる。

「攻撃を受けたらどうするのかを決めておくこと、対策が必要だと判断した場合、予算を組んでおくことが大切です。仮に、お金をかけられないという判断なのであれば、やり過ごすことで重大な問題が発生しないかを検討するべきでしょう」（徳丸氏）

DDoS攻撃の踏み台にならないために

DDoS攻撃には、攻撃対象のサーバに向けたアクセスを発生させる”踏み台”端末が必要だ。これには、ネットワーク・IoT機器が用いられることも多い。

徳丸氏はここで、総務省・情報通信研究機構（NICT）・インターネットサービスプロバイダ（ISP）が連携した、ネットワーク・IoT機器のセキュリティ対策向上を推進するプロジェクト「NOTICE」による、IoT機器の一斉スキャンの結果を示した。

NOTICEでは毎月、日本国内にある1億台以上のITデバイスにスキャンをかけ、脆弱性やマルウェア感染の有無などを調査している。その結果、容易に推測可能なID・パスワードでログイン可能だったデバイスは月に1万台以上、マルウェアに感染している機器は1日平均で最大300件見つかっているという（2025年1月時点）。

この結果を踏まえ同氏は、「まずはネットワーク・IoT機器のセキュリティ設定の見直しが肝心」と話した。とくに注意すべきは法人用のルーターだ。

家庭用ルーターは、外部からのアクセスが必須ではないことから、インターネット側には管理用ポートを開けていないものが多い。しかし、法人用ルーターの場合は、リモートでの設定変更などを想定し、外部に管理用のポートを開いている場合が多い。

また、現在、大半のルーターはセキュリティを強固にするため、1台ずつ異なる初期パスワード設定で販売されているが、かつては製品で共通の初期パスワードが設定されていたという。初期パスワードを変更していない古いルーターは、外部からログインされて攻撃に悪用される可能性もあるのだ。

加えて、ソフトウェアやファームウェアを最新版にアップデートするといった基本的なセキュリティ対策も、DDoS攻撃の踏み台にならないために重要であることを覚えておきたい。

*　*　*

昨今話題にあがったDDoS攻撃は、攻撃のカジュアル化により、規模に関係なく、多くの企業や組織がターゲットになる可能性がある。また、気付かぬうちに踏み台になってしまうことも考えられる。DDoS攻撃の特徴をよく理解し、適切な対策をとることが求められている。

•