DDoS対策とは｜DDoS攻撃の目的や種類を知って万全な対策を

日々、サイバー攻撃による脅威が生まれており、中には防ぐことが難しいものもあります。DDoS攻撃もその1つです。本記事では、DDoS対策を行うために、DDoS攻撃の目的や攻撃の種類、攻撃を受けた際の被害について解説し、具体的な対策方法を紹介します。

目次

開く

閉じる

1. DDoS対策とは
2. そもそもDDoS攻撃とは
3. DDoS攻撃をする理由
4. DDoS攻撃の種類
5. DDoS攻撃を受けたらどのような被害が発生するのか
6. DDoS攻撃の被害を抑えるには早期発見が大切
7. DDoS対策を行う方法
8. DDoS攻撃の踏み台にならないための対策も大切
9. まとめ

DDoS対策とは

DDoS対策とは、サイバー攻撃の1つである「DDoS攻撃」からサーバーやネットワーク、そこに保管されるデータなどを守るための取り組みを指します。

DDoS攻撃は主に企業を標的に行われるもので、攻撃を受けると大規模な被害が発生することもあります。そのため、DDoS攻撃を防止するために、そして万が一攻撃を受けても被害を最小限に抑えられるように、万全の対策を行うことが重要です。

そもそもDDoS攻撃とは

DDoS攻撃（ディードスこうげき）とは、「Distributed Denial of Service attack」の略で、日本語では「分散型サービス妨害攻撃」と呼ばれています。不特定多数の端末からWebサイトのサーバーなどに同時に大量のアクセス要求などを送信し、過大な負荷をかけ処理を停止させる悪意のある攻撃です。

通常、Webサイトは一定の通信データ量を想定して、それを処理できるように設計されています。DDoS攻撃はそれを超える大量のアクセス要求などを同時に送信するため、Webサイト側は処理ができなくなり、Webサイトなどの運営に重大な影響が発生します。

DDoS攻撃の仕組み

DDoS攻撃は、自分のコンピューターデバイスだけでなく、他者のデバイスも利用することで成り立ちます。大元となる攻撃者は、まず他のデバイスをマルウェアに感染させ、自身の支配下に置きます。

マルウェアに感染したデバイスは「ボット」、ボットによって構築された攻撃集団を「ボットネット」と呼びます。攻撃者はこのボットネットに指示を与え、操ることで大量のデバイスからの攻撃を実現させています。

DoS攻撃との違い

DDoS攻撃に似た攻撃にDoS攻撃が挙げられます。DoS攻撃は、「Denial of Service attack」の頭文字をとった用語で、攻撃対象となるサーバーに対して、大量のアクセスやデータを送信する攻撃を指します。

DoS攻撃は一つのコンピューターから攻撃が加えられますが、DDoS攻撃は、複数のコンピューターを同時に使って攻撃が加えられます。簡単に言うと、DoS攻撃の発展した形態がDDoS攻撃です。

DDoS攻撃元の特定は非常に難しい

DoS攻撃と比較して、DDoS攻撃は複数の攻撃元から大量のアクセスが行われるため攻撃の規模も大きく、その対策はより複雑なものとなります。

DDoS攻撃には数千万に達する場合もあるほどの、膨大な数のIPアドレスが使用されています。Dos攻撃の場合、攻撃してきているIPアドレスを特定してブロックすれば防御ができますが、DDoS攻撃では攻撃元が膨大にあるため犯人の特定は難しくなります。

すべてのアクセスの中から不正なアクセスを発見してブロックするのは、DDoS攻撃の場合は非現実的と言えるでしょう。

DDoS攻撃をする理由

特定の企業に対しての嫌がらせやライバル企業に対する営業妨害などの目的で加えられるDDoS攻撃は、企業がターゲットになりやすい攻撃と言えます。特に、ECサイトやホームページを運用している、インターネット上でサービス提供を行う企業は注意が必要です。

DDoS攻撃を加えられる理由は、その状況や背景によってさまざまですが、一般的に見て以下のような要因で攻撃が加えられていることが多いです。

＼気になる項目をクリックで詳細へジャンプ／

嫌がらせのため

企業の信頼低下や金銭の要求といった明確な目的ではなく、ただ単に特定の企業や組織を困惑させたいだけの、愉快犯的な嫌がらせのために加えられるDDoS攻撃も存在します。

その他に、企業の経営理念や経営方針に対する個人的な不満があり、抗議の意思を示すためにDDoS攻撃が加えられることもあります。また、自力で企業の経営に影響を与えられると顕示するための手段として、DDoS攻撃が加えられるケースも認められます。

個人だけでなく、複数人の攻撃集団がDDoS攻撃を企てる事例も珍しくありません。

営業妨害行為のため

DDoS攻撃は、ライバル企業による営業妨害行為の可能性があります。DDoS攻撃が加えられると、Webサイトへのアクセスができなかったり、処理が遅延したりするため、通常通りの稼働で得られる予定だった利益を失うリスクが想定されます。

また、Webサイトが利用できないことでユーザーの信用が低下した場合、顧客が他社へ移動してしまうリスクもあります。DDoS攻撃によって、長期間にわたって経営妨害を加えられた場合、経営への不安を感じたり、実際に窮地に立たされたりする可能性があります。

抗議活動のため

政治信条の違いや企業の不祥事などから反対者や嫌悪感を抱く人物が現れ、抗議活動としてDDoS攻撃が加えられる場合があります。個人が容易にコンピュータを扱える現在においては、デモ活動の1つとしてネット空間で抗議を行うケースも珍しくありません。

特に、政治的な理由によるサイバー攻撃はHacktivism（ハクティビズム）と呼ばれています。ハクティビズムは、ハッキングとアクティヴィズム（積極行動主義）を掛け合わせた造語です。

脅迫行為のため

DDoS攻撃が行われる理由として、脅迫行為があります。典型的な事例は、DDoS攻撃で大規模なネットワーク障害を誘発させて、DDoS攻撃の停止を条件に金銭を要求するケースです。

最近では、日本でDDoS攻撃を暗示して、仮想通貨を要求するDDoS脅迫の被害もありました。主に、堅固な対策を講じていない中小企業に対して仕掛けられ、DDoS攻撃の中止と引き換えに金銭を要求してきます。

業務に悪影響が出ることを恐れて金銭を支払ったとしても、こういった悪質なDDoS攻撃が約束どおり中止されるとは限りません。そればかりか、さらに金銭を要求をしてくることもあるため注意する必要があります。

他のサイバー攻撃のため

DDoS攻撃によるサーバー被害を被ると、被害者は復旧作業を強いられます。また、復旧作業中は、一時的にサイバー攻撃に対しての防護力が低下する状況が発生することがあります。攻撃者はこのタイミングを見計らって、ウイルスやマルウェア感染などのサイバー攻撃を仕掛けます。

サイバー攻撃には、DDoS攻撃以外にも多くの種類があり、それらを組み合わせて攻撃してくることも珍しくありません。最初にDDoS攻撃を加え、被害者がDDoS攻撃の対応措置をしているときにほかのサイバー攻撃を加えるなど、DDoS攻撃を目くらましにしている場合もあります。

DDoS攻撃の種類

DDoS攻撃は大量のアクセス要求などによってサーバーやネットワークに不可をかけるものですが、具体的な方法にはいくつもの種類があります。知名度のあるDDoS攻撃の種類は、主に以下の5つです。

＼気になる項目をクリックで詳細へジャンプ／

DNSフラッド攻撃

世界中で運営されているWebサイトは、独自のIPアドレスを保有しています。IPアドレスは、言わばインターネット上の住所のようなもので、IPアドレスがあればユーザーはWebサイトの閲覧ができるようになっています。

しかし、ユーザーが都度IPアドレスを入力するのは面倒なため、IPアドレスの代わりに名前でアクセスを可能となっており、これが「ドメイン」です。

DNSはドメインをIPアドレスに変換するための機能であり、DNSフラッド攻撃は返還要求を大量に送り込むことでDNSサーバーを過負荷状態に陥れます。DNSサーバーが機能していなければ、ユーザーはサイトの閲覧ができなくなります。

SYNフラッド攻撃・FINフラッド攻撃

SYNフラッド攻撃・FINフラッド攻撃とは、パソコンの通信手段であるSYN(接続要求)とFIN(切断要求)を用いた攻撃手段です。接続や切断に必要なデータを大量に送り込んで、サーバー処理に必要なリソースを消費させます。

攻撃されるとシステムに大きな負荷がかかるため、正常なアクセスが行いにくくなります。また、不正アクセスが起きやすい状況にもなってしまいます。

特に、Webサービスを運営している企業がSYNフラッド攻撃の標的となった場合、サービスが停止して、企業の信用を失うかもしれません。管理しているパソコンが踏み台にされ、攻撃に加担してしまう可能性も考えられます。

ACKフラッド攻撃

ACKフラッド攻撃とは、ACK(確認応答)を攻撃対象者へ大量に送り込むことで、負荷をかける攻撃を指します。通常なら、接続元から接続先に対して、接続要求（SYN）や切断要求（FIN）を行い、応答があった場合にACK(確認応答)を接続先へ送信します。

しかし、ACKフラッド攻撃は初めからACK(確認応答)が送り込まれるため、元から接続がなかった接続先は接続拒否の状態になり、負荷がかかります。

UDPフラッド攻撃

UDPフラッド攻撃は、偽装IPを使って攻撃を仕掛けます。UDPは、データ受信における仕組みの一つで、サーバーでUDPデータグラムが受信されると、該当ポート番号を持つプログラムの有無を検索し、存在しない場合は送信先に通知します。

UDPフラッド攻撃には、ランダムポート攻撃・フラグメント攻撃の2種類が存在します。

ランダムポート攻撃は、ランダムな(無作為の)ポート番号を設定したUDPデータグラムを送り込み、攻撃対象者に応答を要求し負荷をかけ続けます。

フラグメント攻撃とは、大規模なデータを攻撃対象者に対して大量に送り込み、未確認のデータを増加させて負荷をかける攻撃です。

Slow HTTP DoS Attack

Slow HTTP DoS Attackは、共通した特徴がある複数のDoS攻撃、及びDDoS攻撃手法の総称です。

一般的なDoS攻撃・DDoS攻撃は、大量のパケットを攻撃対象者に送り込み、回線帯域やサーバーなどの処理能力を逼迫させる仕組みになっています。

一方で、Slow HTTP DoS Attackは、比較的少ないパケット数で長時間に及んで、TCP セッションが継続する状態に操作を行います。これにより、WebサーバーのTCPセッションを占有して、通常のサイト閲覧者がアクセスできないように妨害します。

攻撃者が極めて小さいTCPウィンドウサイズを指定することで、Webサーバーからのレスポンスを意図的に遅延させ、セッションを長時間継続させるこの手法は、対策が非常に困難な攻撃の一つです。

DDoS攻撃を受けたらどのような被害が発生するのか

DDoS攻撃により、サーバーの処理可能な許容量をオーバーすると、サーバーダウンが起きてWebサイトの閲覧ができない状態になります。また、ダウンしないとしても通常の稼働ができなくなります。

＼気になる項目をクリックで詳細へジャンプ／

企業サイトのサーバーダウン

DDoS攻撃により受ける被害は、サーバーダウンです。サーバーダウンすると修復作業に加え、原因や被害状況の調査も伴います。これらの作業には、人的・金銭的・時間的リソースが消費されます。

例えば、修復や調査を行うと、通常業務を行う時間に影響を与えます。人が不足すれば、他部署や社外から人を受け入れる必要があります。

自社内のリソースが減るのは当然、取引先にも影響を与えます。これは納期や製造の遅れを発生させ、損害が出るケースもあります。

サービス停止による損害の発生

DDoS攻撃によってサービスがブロックされると、Webサイトやオンラインショップの利用ができません。これにより、企業は売上を確保できない可能性があります。特に、オンライン販売が主な収入源である企業は、サービスの遮断が経済的な損失につながります。

DDoS攻撃による過負荷は、サーバーのハードウェアやソフトウェアに損害を与える場合もあります。サーバー故障時の修理や、リソースが不足した場合は、リソースの追加を行なわなければならず、予想外の費用が発生する可能性があります。

また、DDoS攻撃によってサービスが遮断されると、企業はクライアントとの信頼関係を害することにもなります。クライアントはサービスの信頼性が低下したと捉え、ほかのサイトへ切り替える結果になり、こういった場合の経済的な損失は計り知れません。

DDoS攻撃の被害を抑えるには早期発見が大切

万が一DDoS攻撃を受けてしまった場合の被害を最小限で抑えるためには、DDoS攻撃を受けている可能性に素早く気付くことが大切です。DDoS攻撃を受けている場合、いくつかの事象が見られることがあります。

まず、Webサイトの表示が遅かったり、エラーメッセージが頻繫に出たりする場合、DDoS攻撃の可能性が考えられます。また、短い間隔で同じIPアドレスから何度もアクセスがあったり、連続でページを移動したりするような不自然なアクセスの増加も怪しいです。

その他に、理由なく海外からのアクセスが急増した場合も危険と判断できます。DDoS攻撃の被害を抑えるためには、このようなDDoS攻撃の初期症状を迅速に発見できるよう注意しておかなければなりません。

DDoS対策を行う方法

では、具体的にどのような方法でDDoS対策を行えば良いのでしょうか。DDoS攻撃を防ぐには、まず攻撃しにくい環境を作ること、そして攻撃に対する耐性を強くすることが大切です。例としては、以下のような対策方法が挙げられます。

＼気になる項目をクリックで詳細へジャンプ／

不要なサービスの停止

使用していない不要なポートやサービスは攻撃の入口となる可能性があるため、これらを停止することでシステムの脆弱性を減らすことができます。

具体的には、使用していないネットワークサービスの無効化、不要なポートの閉鎖、未使用のプロトコルの無効化などを行います。

また、定期的にサービスの使用状況を見直し、必要最小限のサービスのみを稼働させる運用体制を整えることも重要です。これにより、攻撃対象となる表面積を減らし、セキュリティリスクを低減することができます。

同IPのアクセス制限

IPのアクセス制限は、主にDoS攻撃への対策として利用されており、複数IPから攻撃を仕掛けるDDoS攻撃に対しては万全な対策ではありません。しかし、特定のIP からの攻撃を防御できるため、 DDoS攻撃によって起こる被害発生を抑止できます。

また、 DDoS攻撃を仕掛ける攻撃元から、しばしば攻撃を仕掛けてくるIPの特定ができれば、該当するIPのアクセス遮断は有効な対策です。 DDoS攻撃を防御する対策として、 IP のアクセス制限も選択肢に入れておくと良いでしょう。

特定の国からのアクセスを遮断

海外サーバを通して仕掛けられるDDoS攻撃が多いため、特定国からのアクセスをブロックする対策も効果的です。例えば、日本向けのWebサイトの場合、アクセス権限を日本に特定するのもDDoS攻撃に対して効果的です。

また、不法に奪い取られたIPは世界的に分散していることが多く、特定国からのアクセスをブロックすることでDDoS攻撃を軽減させるのに有効です。

しかし、制限を設けることで攻撃者だけでなく海外のユーザーや一般顧客のアクセスも不能になります。Webサイトやサービスの利用状況に合わせた設定を行うことが大切です。

CDNを利用する

CDNを利用する対策も、効果があります。CDNとは、「ContentsDeliveryNetwork」の略で、日本語でコンテンツ配信ネットワークと呼ばれます。多くのサーバ群を世界中に配置し、コンテンツを配信する手法です。

CDNの主な目的はコンテンツ配信の高速処理ですが、キャッシュサーバの複数使用といった特性から、DDoS攻撃の対策にも有効です。

DDoS攻撃は、攻撃対象サーバに対して過剰な負荷をかける攻撃です。そのため、サーバが複数であれば負荷が分散され、攻撃ができません。

DDoS攻撃対策ツールを導入

徹底的なDDoS対策として、DDoS攻撃に特定した対策ツールの利用が効果的です。DDoS攻撃用の対策ツールの中でも、主な製品として、WAFが挙げられます。WAFは、Web Application Firewallの略称です。

Webアプリの‎脆弱さを狙った攻撃を検知し、通信をブロックします。Webサイトへ送信されたデータ内容をリアルタイムで詳細な解析を行うため、効果的な対策と言えます。以前は高額でしたが、最近は低コストのクラウド型WAFも登場しています。

DDoS攻撃の踏み台にならないための対策も大切

DDoS攻撃ではマルウェアに感染した大量のボットから攻撃されますが、自社・自身のデバイスがボットにならないための対策も必要です。ボットとして攻撃の踏み台にされると、関係企業などへの攻撃に加担してしまうこともあります。

具体的な対策としては、OSやアプリケーションはアップデートを怠らず常に最新の状態にする、DNSサーバーのセキュリティを強化する、送信・受信においてフィルタリングの設定をしておくといった取り組みが挙げられます。

攻撃対象になるだけでなく、攻撃の中継地点になる可能性も想定して、多面的な対策を行っておくことが重要であると言えるでしょう。

まとめ

DDoS攻撃とは、ネット接続された多数の端末上から、特定のサーバーやWebサイトなどに同時に過負荷をかけて、サービスの稼働に悪影響をもたらすことを目的としたサイバー攻撃の一つです。

DoS攻撃は1台の端末で攻撃を加えますが、DDoS攻撃は複数の端末から同時に攻撃を仕掛ける、より高度な攻撃手法です。DDoS攻撃による被害は年ごとに増加しており、攻撃対象も政府関係・一般企業・オンラインゲームまで広範囲にわたります。

DDoS攻撃への対策方法として、不要なサービスの停止、同IPや特定国からのアクセス遮断、CDNの利用、DDoS攻撃対策ツールの導入などがおすすめです。万が一の被害を最小限にとどめるためにも、今回紹介した方法を参考に、DDoS攻撃対策をしておきましょう。