意外と知らない DDoS 攻撃の実態と対策の盲点

さて、私たちに届く攻撃の「手法」には、どのようなものがあるのでしょうか。米国のCISA（Cybersecurity and Infrastructure Security Agency）の分類に基づくと、大きく3つのタイプに分けられます。

• ボリュームベース攻撃
  UDPトラフィックなどを大量に送りつけ、ネットワーク帯域を使い果たす物量作戦です。

• プロトコルベース攻撃
  TCPのSYNフラッド攻撃のように、通信プロトコルの仕組みや脆弱性を悪用し、サーバーやファイアウォールなどのリソースを枯渇させます。

• アプリケーションベース攻撃
  近年増加している手法で、通常のWebブラウザからのアクセスに見せかけたHTTP/HTTPSリクエストを大量に送りつけ、Webサーバーやアプリケーションサーバーをダウンさせます。

それぞれの手法に合わせた対策を講じなければ、攻撃を効果的に防ぐことはできません。

次に、これらの攻撃を発生させている「インフラ」は大きく2種類に分けられます。

• ボットネット
  マルウェアに感染させた多数の機器をネットワーク化し、一斉に攻撃させる仕組みです。感染対象の機器によって、ホームルーターやIPカメラなどのIoTベースと、クラウドサービスを悪用するVPSベースがあります。VPSベースは1台あたりの攻撃能力が高く、IoTベースは数の力で大規模な攻撃を生み出します。

• リフレクション（反射）攻撃
  送信元IPアドレスを偽装し、インターネット上に公開されているサーバー（踏み台）にリクエストを送信。その応答（反射）がターゲットに集中するように仕向ける攻撃です。特に、応答データがリクエストよりも何十倍も大きくなるUDPアンプ（増幅）攻撃が主流となっています。

そして、最も根深い問題が、これらのインフラを誰でも簡単に利用できるようにする「ツール」の存在です。

現在、「ストレッサー」と呼ばれるDDoS攻撃の代行サービスが数百単位で存在し、TelegramなどのSNSで堂々と宣伝されています。利用者は月数ドルといった非常に安価なサブスクリプション料金を支払うだけで、簡単にDDoS攻撃を実行できてしまうのです。

このように、安価で手軽な攻撃手段が存在することが、DDoS攻撃が後を絶たない大きな要因なのです。攻撃を防ぐだけでなく、その背景にあるインフラや仲介サービスなどをどう崩していくかまで考えなければ、この問題は決してなくならないでしょう。

ロシアを支持するハクティビストグループ「Killnet」は、2022年に日本に対して大規模な攻撃キャンペーンを実施しました。

この攻撃の特徴は、先ほど紹介したボリュームベース、プロトコルベース、アプリケーションベースという3つの手法すべてを組み合わせた複合的な攻撃だった点です。そのため、どれか1つの手法にしか対応できない対策では、簡単に突破されてしまいました。

攻撃規模は百Gbpsを超えるものもありましたが、そのほとんどは1〜2分、長くても数時間で終わる短時間の攻撃でした。急にトラフィックが急増し、ピークに達したかと思うとすぐに収まる、というパターンが特徴的でした。

同じくロシアを支持する「NoName057（16）」というグループも、日本に対してたびたび攻撃を仕掛けています。

彼らの特徴は、「DDoSia」という独自の攻撃ツールを使い、比較的小規模なアプリケーションレイヤー（L7）の攻撃を、非常に長時間（24時間程度）継続させる点にあります。

Killnetのように瞬間的なピークは来ませんが、小規模な攻撃がだらだらと続くため、これに対応できない対策では、丸一日サービスが影響を受け続けることになります。

このように、同じ目的を持つグループでも、攻撃の性質は全く異なります。 攻撃者の戦術を理解し、それぞれに適切な対策を講じる必要があるのです。

2024年末から約1ヶ月にわたり、国内の交通機関・金融機関・通信会社など多数のサイトが大規模なDDoS攻撃の被害に遭った事例は、記憶に新しい方もいらっしゃるかもしれません。

このキャンペーンでは、様々なプロトコルが使われ、規模も大小様々でした。さらに、防御側の対応を見て攻撃パターンを変えるといった巧妙な動きも見られました。

そして、被害を拡大させた一因が「カーペットボミング（絨毯爆撃）」と呼ばれる攻撃手法です。

例えば、WebサーバーにはDDoS対策をしていたとしても、同じネットワークセグメント内にある他のサーバーが未対策だった場合、カーペットボミングによってレンジ全体が攻撃され、結果としてネットワーク全体がダウンしてしまいます。

このキャンペーンは、結局誰が何の目的で実行したのか、背景は不明なままです。つまり、いつまた同じような攻撃が来てもおかしくないということです。

防御側が想定していたシナリオ通りに、対策サービスが機能しないケースです。

例えば、NoName057（16）のような「小規模・長時間」の攻撃は、攻撃と判断されずにCDNや対策サービスをすり抜けてしまい、オリジンサーバーに直接トラフィックが到達してしまうことがあります。

また、攻撃者がCDNなどを回避し、オリジンサーバーのIPアドレスを直接狙って攻撃してくることもあります。これでは、せっかく導入した対策も意味がありません。

これは非常にシンプルですが、見落としがちな点です。DDoS対策はコストが高いため、多くの企業では「最重要のWebサーバーから」というように優先順位をつけて導入しているかと思います。

しかし、攻撃者はその“守りの手薄な場所”を的確に見抜いてきます。過去のキャンペーンでは、DNSサーバーや、他社サービスと連携するためのAPIサーバーなどが狙われ、サービスが停止に追い込まれるという事例がありました。守っているつもりの場所の「隣」に、致命的な穴が空いている可能性があるのです。

カーペットボミングのように、そもそも想定をはるかに超えるトラフィックが送りつけられ、自社が契約しているインターネット回線自体が埋まってしまうケースです。

こうなると、たとえ自社側にどれだけ高性能な対策機器を導入していても、その手前（上流）で通信が詰まってしまうため、まったく意味がありません。

この場合、自社だけで対処するのは不可能であり、契約しているISP（インターネットサービスプロバイダ）やCDN事業者と連携して、上流側でトラフィックを止めてもらうといった対応が必要になります。