「最近、急に自社サイトのアクセスが激増してページが重くなった……これってただのアクセス集中? それとも攻撃の兆候?」
「いつもの時間帯じゃないのにサービスが落ちる原因がわからない」
「万が一DoS/DDoS攻撃を受けたとき、どう対処すればいいの?」
──そんな不安や疑問をお持ちではありませんか?
- 「Webサイトのレスポンスが急に遅くなって、ユーザーからクレームが……」
- 「社内でセキュリティ対策を進めているが、具体的に何から手を付ければいいのかわからない」
- 「もし大規模なDDoS攻撃を受けたら、業務や売上にどれだけ影響が出るのか心配」
これらはすべて、DoS/DDoS攻撃によるサービス停止リスクと直結する悩みです。
本記事では、DoS攻撃・DDoS攻撃の目的や仕組みを丁寧に解説し、予防策から緊急時の対処手順までを網羅的にご紹介します。
専門知識がなくても理解できるよう、具体的な事例やチェックポイントを交えながら、あなたのサイトとサービスを守るための“完全ガイド”としてお役立てください。
DoS攻撃とDDoS攻撃の違い
単一発信源型(DoS)と分散発信源型(DDoS)
サービス拒否攻撃(DoS攻撃)は、特定の1台の攻撃源からターゲットのサーバやネットワークに過剰なリクエストを送りつけ、正当な利用者の通信を妨害する攻撃です。
一方、分散型サービス拒否攻撃(DDoS攻撃)は、複数のコンピュータ(ボットネット)を一斉に動員して同じ攻撃を行うことで、より大規模かつ検出しづらい特徴があります。
- DoS攻撃(単一発信源)
- 攻撃元が1箇所であるため、IPアドレスの特定が比較的容易
- 小規模な帯域やリソース枯渇を狙う
- 防御機器でのフィルタリングがシンプル
- DDoS攻撃(分散発信源)
- 攻撃元が多数に分散しており、追跡が困難
- 大量のトラフィックでサーバやネットワークを一気に圧倒
- 防御には多層的な仕組みが求められる
📌 重要なのは、「攻撃元が単一か複数か」で得られる影響の大きさと対応難度が変わる点です。
攻撃の規模・追跡難度・防御難度の比較
以下の表は、DoS攻撃とDDoS攻撃を「攻撃規模」「追跡のしやすさ」「防御の難しさ」の観点で比較したものです。
| 比較項目 | DoS攻撃 | DDoS攻撃 |
|---|---|---|
| 攻撃規模 | 🚀 小〜中規模 | 🌊 大規模 |
| 追跡難易度 | 🔍 低め(単一IP) | 🕵️♂️ 高い(多数IP) |
| 防御難易度 | ⚔️ 比較的容易 | 🛡️ 高度な対策が必要 |
- 攻撃規模:DDoSは複数端末を使うため、一度に送られるデータ量が大きくなりやすいです。
- 追跡難易度:DoSは攻撃元IPをブロックすれば対策できますが、DDoSでは多数のIPを扱う必要があります。
- 防御難易度:DDoS対策にはCDNやWAF、ブラックホールルーティングなど、複数の防御レイヤーが求められます。
✅ これらの違いを理解し、自社環境に合わせた適切な防御策を検討しましょう。
攻撃の仕組み
ボットネットによるトラフィック洪水
大量のコンピュータ(ボット)を遠隔操作し、一斉に同一ターゲットへアクセスを仕掛ける手法です。
- 仕組み:マルウェア感染やリモート制御によりボット群を構築 → 一斉リクエスト
- 影響:正常な通信帯域が圧迫され、サービス停止や応答遅延が発生
💡 ポイント:攻撃元が多岐にわたるため、IP単位のブロックだけでは防ぎきれません。
プロトコル資源枯渇攻撃
ネットワークやサーバのプロトコル処理能力を狙い撃ちし、接続リソースを使い果たす手法です。
| 攻撃手法 | 概要 | 主な影響 |
|---|---|---|
| SYN/ACK/FIN フラッド | TCP 接続のハンドシェイク(SYN→ACK→FIN)を繰り返し要求 | 半開放接続が大量に残り、新規接続不能に |
| DNS・UDP アンプリフィケーション | 小さな照会に対し、巨大な応答パケットを返す仕組み | 帯域幅消費が激増し、通信が飽和 |
- SYN/ACK/FIN フラッド:TCPスタックのセッションテーブルを圧迫
- DNS・UDP アンプ:第三者のオープンリゾルバ(DNS)やUDPサービスを悪用し、増幅攻撃を実現
🔥 要注意:プロトコルの設計上の“穴”を突くため、通常のファイアウォールだけでは対応が難しいケースがあります。
アプリケーション層攻撃
Webサーバやアプリケーションの処理能力を直接狙い、リソースを枯渇させる方法です。
・Slow HTTP攻撃(リクエスト待機)
クライアントからのHTTPリクエストを極めてゆっくりと送信し、サーバのワーカースレッドを長時間占有します。
- 特徴:少量の帯域で大きな負荷を与えられる
- 影響:他の正当なリクエストが処理待ち状態に
・HTTPフラッド
大量の正規HTTPリクエストを一度に送信し、サーバの処理能力を超過させる攻撃。
- 特徴:見かけ上は正常アクセスと見分けがつきにくい
- 影響:CPU/メモリ使用率が急上昇し、サービスが停止
🛠 対策のヒント:アプリケーション層防御(WAF / レートリミッティング)や詳細なログ解析による異常検知が効果的です。
攻撃目的と代表事例
金銭/脅迫目的(ランサムDDoS)
攻撃者が被害企業に対して身代金を要求するための手法です。
- 手口:指定期日までに支払いがない場合、大量のトラフィックを送り続けると脅迫
- 影響:支払いプレッシャーにより、企業はセキュリティ投資よりも「早期決済」を優先しがち
- 実例:オンラインゲーム運営企業が数千万円のビットコイン支払いを迫られたケース 🎮💰
営業妨害・競合排除
競合他社のサービス停止を狙い、市場シェアを不正に拡大しようとする攻撃です。
- 目的:ライバル企業のウェブサイトやプラットフォームを一時的にダウンさせ、顧客流出を促進
- 手法:繁忙時間帯に狙いを定め、大量リクエストを浴びせる
- 事例:ECサイトのセール期間中に発生し、数時間の売上機会を逸失したケース 🛒📉
政治的抗議(ハクティビズム)
政治的・社会的メッセージを伝えるために行われるサイバー抗議活動です。
- 背景:政府機関や大手企業を標的に、主張を世間にアピール
- 特徴:攻撃後に声明を出し、「正義の行動」として正当化することが多い
- 代表例:環境問題を訴えるハクティビストが政府ポータルを一時的に停止させた例 🌐✊
嫌がらせ・愉快犯的攻撃
特定のターゲットに対する単なる“いたずら”や“遊び感覚”で実行されるケースです。
- 動機:技術力の誇示、ストレス発散、仲間内の評判向上など
- 影響:被害規模は比較的小さいことが多いが、身近な小規模サイトが狙われやすい
- 例:個人ブログや中小企業サイトに対する深夜の断続的な攻撃 🌙🎯
過去の主な被害例と最新データ
| 年度 | ターゲット | 攻撃規模(Gbps) | 主な影響 |
|---|---|---|---|
| 2016 | Mirai ボットネット被害 | 1,200 | 大手DNSプロバイダが一時停止 |
| 2018 | GitHub | 1,350 | 全世界からのサービス遅延·一部停止 |
| 2021 | 小売業大手 | 800 | オンライン注文が1日中止 |
| 2024 | 金融機関 | 1,500 | ATM・ネットバンキングが断続的に停止 |
- 最新統計:DDoS攻撃の平均帯域幅は年々増加し、2024年には過去最高を記録
- 傾向:クラウドサービスやIoT機器の普及に伴い、ボットネットの規模も拡大中 📈🌐
前兆と検知のポイント
サイト応答の遅延やエラー多発(503/504が増える)
Webサイトの表示が急に遅くなったり、503 Service Unavailable や 504 Gateway Timeout が多発する場合、DoS攻撃の初期症状かもしれません。
- 503エラー:サーバ側が一時的にリクエストをさばき切れず拒否
- 504エラー:他サーバ(例:DBやAPI)からの応答が遅延してタイムアウト
- ポイント:
- 通常のピーク時間と比較してエラー率が急上昇していないか
- サイト速度計測ツールでレスポンスタイムを定期的にチェック
特定地域やBOTによる異常アクセス急増
通常は見られない国やIPレンジからのアクセスが急増すると、ボットネット攻撃の可能性が高まります。
- 観測例:
- 短時間で同一URLへのアクセスが数千件
- ヘッダー情報に “bot” や “crawler” が多数含まれる
- 対策ヒント:
- ログ分析ツールで国別・User-Agent別のアクセス推移を可視化
- 怪しいIPレンジを一時的にブロック
ネットワーク帯域・サーバリソース監視アラート
常時モニタリングを行い、閾値を超えたら即座に通知を受け取る仕組みを整えましょう。
| 監視項目 | 通知条件 | 対応例 |
|---|---|---|
| ネットワーク帯域利用率 | > 80% 継続(1分間以上) | 🚨 レートリミット強化 |
| 同時接続数 | > 1000 コネクション | 🚨 不要IPの遮断 |
| CPU使用率 | > 85% 継続(5分間以上) | 🚨 サーバスケールアウト |
| メモリ使用率 | > 75% 継続(5分間以上) | 🚨 プロセス監視・再起動 |
- 監視ツール例:Prometheus+Grafana、Datadog、Zabbix など
- 通知方法:Slack・メール・SMS への自動アラート 🚀
これらの前兆を早期に検知し対応フローを確立することで、DoS攻撃によるサービス停止を未然に防ぎやすくなります。
多層的な予防策と対処手順
アクセス制限・フィルタリング
サーバへの不要なアクセスを事前にブロックし、攻撃トラフィックを減少させます。
- IPアドレス/国別制御
- 特定のIPレンジや国からのアクセスをホワイトリスト/ブラックリストで管理
- メリット:攻撃元を絞り込んで遮断できる
- 注意点:誤ったブロックは正当ユーザーへの影響を招く
- レート制限(レートリミッティング)
- 一定時間内のリクエスト数を制御し、短時間の大量アクセスを抑制
- 実装例:Webサーバモジュール(nginx
limit_req)やAPIゲートウェイで設定 - 効果:ボットによる短期集中攻撃を緩和
CDN・キャッシュの活用
グローバルに分散されたエッジサーバを利用して、トラフィック負荷を分散・吸収します。
- キャッシュ機能:静的コンテンツへのアクセスをエッジで処理
- メリット:
- レイテンシ低減によるユーザ体験向上
- オリジンサーバへのリクエスト数を大幅に削減
- 代表例:Cloudflare、Akamai、Fastly など
WAF・DDoS防御サービスの導入
アプリケーション層やネットワーク層で高度な異常検知・遮断を行います。
| サービス種別 | 機能例 |
|---|---|
| Webアプリケーションファイアウォール (WAF) | SQLインジェクション防御、Bot検知 |
| 専用DDoS防御サービス | 異常トラフィックの自動吸収・ルーティング(ブラックホール) |
- ポイント:複数サービスを組み合わせた多層防御が有効
- 設定ヒント:ホワイトリスト運用を基本とし、シグネチャ・振る舞い検知を併用
インフラ強化(冗長化・スケールアウト)
サーバやネットワークを水平に拡張し、一時的なトラフィック増加に耐えられる設計にします。
- オートスケーリング:負荷増に応じて自動的にサーバを追加
- 冗長構成:複数リージョンやデータセンターへの分散配置
- メリット:可用性向上と単一障害点の排除
緊急対応フロー
万一攻撃を受けた際、迅速に被害を最小化する手順を定めておきましょう。
- 初動対応
- トラフィック遮断設定(ブラックホールルーティング)
- 緊急一時ルール適用(IP/ポート単位)
- 復旧とログ解析
- サービス再開確認
- 攻撃ログの収集・相関分析
- 再発防止策の設計・実装
🛠 ポイント:対応チームの連絡網と判断基準をあらかじめ文書化しておくことが重要です。
定期演習と社内教育
攻撃対応能力を維持・向上させるため、定期的な訓練と情報共有を実施します。
- 模擬攻撃演習(テーブルトップ/ライブDR)
- 手順書・チェックリストのアップデート
- セキュリティ勉強会:最新攻撃手法や防御技術の共有
✅ 継続的な改善サイクルを回し、いざというときに迅速かつ的確に対応できる体制を整えましょう。
継続的な監視と改善が鍵
攻撃動向のウォッチ
最新の攻撃手法やトラフィックパターンを常時モニタリングし、傾向を掴むことが重要です。
- ツール例:SIEM、IDS/IPS、ネットワークフロー解析
- 🚀 Tip:外部セキュリティコミュニティのアラートやレポートも定期的にチェックし、社内情報と照合しましょう。
防御体制のアップデート
一度構築した対策は時間とともに劣化します。
定期的な見直しで最新の脅威に対応できる体制を維持しましょう。
- ポイント:WAFルールのチューニング、CDN設定の最適化、フィルタリングリストの更新
- 🔄 Tip:パッチ管理や設定変更の履歴を記録し、変更前後のパフォーマンス差も確認すること。
関係者間での情報共有と訓練
攻撃発生時には迅速な連携が不可欠です。
セキュリティチームだけでなく、運用や開発、経営層も含めた定期的な訓練を行いましょう。
- 演習例:テーブルトップ演習、障害対応ドリル、ログ分析ワークショップ
- 🤝 Tip:事後レビューで学んだ教訓を手順書やチェックリストに反映し、全員がアクセスできるように整備しましょう。
まとめ
本記事では、DoS攻撃とDDoS攻撃の違いから攻撃の仕組み、目的、前兆の見分け方、そして多層的な予防策と緊急対応までを一通りご説明しました。
ポイントを振り返ると:
- 攻撃の理解:単一発信源のDoSと分散発信源のDDoSで規模や防御難度が大きく異なる
- 前兆の把握:応答遅延やエラー多発、特定地域/BOTの異常アクセスなど、早期検知が鍵
- 予防策の導入:アクセス制限、CDN/キャッシュ、WAF/DDoS対策サービス、インフラ冗長化などを組み合わせる
- 緊急時の動き:初動対応(トラフィック遮断・ブラックホール)、ログ解析による再発防止策の設計
- 継続的な改善:最新の攻撃動向ウォッチ、対策アップデート、社内演習や情報共有を欠かさない
これらを踏まえ、「いざ」というときに慌てず対応できる体制づくりを進めましょう。
攻撃の手口は常に進化していますが、基本を押さえた多層防御と定期的な訓練・監視を行うことで、サービスダウンのリスクを大幅に低減できます。
ぜひ本ガイドを参考に、組織全体でセキュリティレベルを向上させてください。
