インターネットを利用していると、「DoS攻撃」や「DDoS攻撃」という言葉を耳にすることがあります。これらは、Webサイトやオンラインサービスを停止させようとするサイバー攻撃の一種です。この記事では、DoS攻撃とDDoS攻撃とは何か、その違い、攻撃の種類、影響、そして対策について、初心者の方にもわかりやすく解説します。
DoS攻撃とは?
DoS攻撃(ドスこうげき、Denial of Service attack)は、「サービス拒否攻撃」と訳されます。その名の通り、特定のWebサイトやサーバーに対して、意図的に大量のデータやアクセスを送りつけ、サービスを利用できない状態にする攻撃です。
例えるなら、人気のお店の電話に、一人でひっきりなしに電話をかけ続けて回線をパンクさせ、他の人が電話をかけられないようにする嫌がらせのようなものです。
DoS攻撃は、基本的に1台のコンピューターから行われます。そのため、攻撃元の特定は比較的容易ですが、それでもサービスが停止してしまうと大きな被害につながります。
DDoS攻撃とは?
DDoS攻撃(ディードスこうげき、Distributed Denial of Service attack)は、「分散型サービス拒否攻撃」と訳されます。DoS攻撃が進化したもので、複数のコンピューターから一斉に標的に対して攻撃を仕掛けます。
先ほどの電話の例でいうと、一人ではなく、大勢の人(場合によっては何万、何十万という人)が一斉に電話をかけるようなものです。これでは電話回線はあっという間にパンクしてしまいます。
DDoS攻撃では、攻撃者はマルウェア(悪意のあるソフトウェア)などを使って、インターネットにつながっている多数のコンピューターやIoT機器(カメラ、ルーターなど)を乗っ取り、「ボットネット」と呼ばれるネットワークを作り上げます。そして、このボットネットを遠隔操作して、標的に一斉攻撃を仕掛けるのです。
乗っ取られたコンピューターの持ち主は、自分の機器が攻撃に使われていることに気づかない場合がほとんどです。
DoS攻撃とDDoS攻撃の違い
DoS攻撃とDDoS攻撃の主な違いは、攻撃元の数です。
| 項目 | DoS攻撃 | DDoS攻撃 |
|---|---|---|
| 攻撃元の数 | 単一 (1台) | 複数 (多数の乗っ取られた機器) |
| 攻撃規模 | 比較的小規模 | 大規模になりやすい |
| 攻撃元の特定 | 比較的容易 | 非常に困難 |
| 防御の難易度 | 比較的低い | 高い |
DDoS攻撃は、多数の送信元から攻撃が行われるため、攻撃規模が非常に大きくなりやすく、攻撃元の特定も極めて困難です。そのため、DoS攻撃よりも深刻な被害をもたらす可能性があります。
主な攻撃の種類
DoS/DDoS攻撃には、様々な手法が存在します。大きく分けて以下の3つのタイプがあります。
| 攻撃タイプ | 概要 | 代表的な攻撃手法 |
|---|---|---|
| ボリュームベース攻撃 | 大量のトラフィック(通信量)を送りつけ、ネットワーク帯域を使い果たすことを狙う攻撃。インフラ層を標的にする。 | UDPフラッド、ICMPフラッド、DNSフラッドなど |
| プロトコル攻撃 | サーバーやネットワーク機器(ファイアウォール、ロードバランサーなど)のリソース(処理能力)を消費させることを狙う攻撃。通信プロトコルの仕組みを悪用する。 | SYNフラッド、ACKフラッド、Ping of Deathなど |
| アプリケーション層攻撃 | Webサーバー上で動作するアプリケーション(Webサイトなど)のリソースを枯渇させることを狙う攻撃。一見、正常なリクエストに見えることが多い。 | HTTP GET/POSTフラッド、Slowloris、RUDY (R-U-Dead-Yet?) など |
近年では、これらの複数の攻撃手法を組み合わせた「マルチベクトル攻撃」も増加しており、防御をより困難にしています。
DoS/DDoS攻撃の影響
DoS/DDoS攻撃を受けると、様々な被害が発生します。
- サービス停止: Webサイトやオンラインサービスが利用できなくなり、顧客やユーザーに多大な迷惑をかける。ECサイトなどでは直接的な売上損失につながる。
- 機会損失: サービス停止によるビジネスチャンスの喪失。
- ブランドイメージ・信用の低下: 攻撃を受けたという事実や、対応の遅れなどが顧客の信頼を損なう。
- 復旧コスト: サーバーの復旧作業や、原因調査、再発防止策の導入などにコストがかかる。
- 他の攻撃の隠れ蓑: DDoS攻撃でセキュリティ担当者の注意を引きつけ、その隙に別のサーバーへの侵入や情報窃取を行うための陽動作戦として使われることもある。
過去の事例
DoS/DDoS攻撃は、世界中で発生しており、過去には大きな事件も起きています。
- 2000年 Mafiaboy事件: カナダの15歳の少年(Mafiaboy)が、Yahoo!、Amazon、eBayなどの大手WebサイトにDDoS攻撃を行い、サービスを停止させた。
- 2007年 エストニアへのサイバー攻撃: 政府機関、金融機関、メディアなどが大規模なDDoS攻撃を受け、社会インフラが麻痺状態になった。政治的な動機による攻撃とされる。
- 2016年 DynへのDDoS攻撃: 大手DNSサービスプロバイダーDynがMiraiボットネットによる大規模DDoS攻撃を受け、Twitter、Netflix、PayPalなど多くの有名サービスが利用不能になった。IoT機器がボットネットに利用された事例として注目された。
- 2018年 GitHubへのDDoS攻撃: ソフトウェア開発プラットフォームGitHubが、当時としては過去最大級の1.35Tbpsに達するDDoS攻撃を受けた。
- 2020年 AWSへのDDoS攻撃: Amazon Web Services (AWS) が2.3Tbpsという記録的な規模のDDoS攻撃を受けた。
- 2024年末~2025年初頭 日本企業への相次ぐ攻撃: 2024年12月から2025年1月にかけて、日本の大手航空会社、大手銀行、通信会社、気象情報会社などが相次いで大規模なDDoS攻撃を受け、サービス停止や遅延などの被害が発生した。これらの攻撃は犯行声明もなく、その意図が不明な点が不気味さを増している。
これらはほんの一例であり、DDoS攻撃は日々進化し、規模も増大する傾向にあります。
対策方法
DoS/DDoS攻撃を完全に防ぐことは難しいですが、被害を最小限に抑えるための対策を講じることは可能です。複数の対策を組み合わせることが重要です。
- 基本的な対策
- トラフィック監視: ネットワークトラフィックを常に監視し、異常な量のアクセスや不審なパターンを早期に検知する。
- インフラの強化: サーバーの処理能力を高め、ネットワーク帯域を十分に確保する。ロードバランサーなどを利用して負荷を分散させる。
- 不要なサービス・ポートの停止: 攻撃の糸口となりうる不要なサービスやポートは閉じておく。
- 専門的な対策
- IPアドレスによるアクセス制限: 攻撃元と特定されたIPアドレスからのアクセスを遮断する。ただし、DDoS攻撃では攻撃元IPが多数かつ偽装されている場合も多く、根本的な解決にはなりにくい。海外からのアクセスが不要な場合は国単位で制限することも有効な場合がある。
- レートリミット: 特定のIPアドレスからのアクセス頻度に制限を設け、短時間に大量のリクエストを送れないようにする。
- ファイアウォール/WAF/IPS/IDSの導入・設定: 不正な通信や攻撃パターンを検知・遮断するセキュリティ機器を導入し、適切に設定する。
- ファイアウォール: ネットワークレベルでのアクセス制御を行う。
- WAF (Web Application Firewall): Webアプリケーションへの攻撃(特にアプリケーション層攻撃)を防御する。
- IPS (Intrusion Prevention System) / IDS (Intrusion Detection System): 不正侵入を検知・防御する。
- CDN (Content Delivery Network) の利用: 世界中に分散されたサーバーからコンテンツを配信するCDNを利用することで、アクセスを分散させ、サーバーへの負荷を軽減する。多くのCDNサービスにはDDoS対策機能が含まれている。
- DDoS対策専用サービスの利用: 通信事業者やセキュリティベンダーが提供する専門的なDDoS対策サービスを導入する。大規模な攻撃にも対応できるインフラや専門知識を提供する。
- インシデント発生時の対応計画
- 事前に攻撃を受けた場合の対応手順(連絡体制、復旧プロセス、広報対応など)を定めた計画(インシデントレスポンスプラン)を策定し、訓練しておく。