IT & Information security Journal
2024年12月から2025年1月にかけて、航空業、金融業、通信業などの国内大手企業が相次いでDDoS攻撃によるものとみられる被害を受けたと報じられました 1。また、2025年1月に発表された「情報セキュリティ10大脅威 2025」の組織編では、DDoS攻撃が5年ぶりにランクインしています 2。
DDoS攻撃の近年の傾向について「特定の企業が集中的かつ執拗に狙われるケースが目立ってきていると感じる」と語るのは、DDoS攻撃を受けた際の対応を自動化する仕組みである「DOTSプロトコル」の開発に携わる、NTTコミュニケーションズ株式会社 西塚 要氏です。
古くからある攻撃手法であるDDoSがいまなお脅威であり続ける理由や、DDoS攻撃を受けた場合の初動対応、平時からとるべき備えなどを聞きました。
この記事のポイント
基幹インフラや、世界情勢により注目度が高い業種など、目立つ企業や組織が攻撃のターゲットになりやすい。また、DDoS攻撃は、ネットワーク層を狙う手法のほか、クラウド上のWebサービスや企業の社内リソース(企業が保有するサーバーやネットワーク機器など)を標的とする攻撃も散見される
DDoS攻撃を受けた場合、自社への影響範囲を明確に把握し、関係事業者に具体的に伝えることが重要。そのためには、攻撃をどう検知し、誰に連絡するのかといった、判断を迅速に行うための連絡網や対応フローの整備が有効
DDoS攻撃を受けた場合の復旧完了の判断基準は、「攻撃が止んでいる状況」で、かつ「次に同様の攻撃を受けた時のための対応策ができている」こと。また、DDoSは攻撃手法の1つにすぎないため、DDoS攻撃を受けた場合は「自社は狙われている」と考え、他の手法での攻撃にも備えたほうがよい
DDoS攻撃の最近の傾向について、お聞かせください。
DDoS攻撃は日常茶飯事ともいえるほど常に発生しています。その攻撃手法は少しずつ変化していますが、長年にわたって脅威であり続けており、対策や防御が難しいのが実状です。
特に、2024年末からは、国内企業を標的としたDDoS攻撃が著しく増加しています。特定の企業が集中的かつ執拗に狙われる事例が目立ってきていると感じています。
大手企業への攻撃が目立った印象がありますが、攻撃者は企業規模によって対象を選んでいるのでしょうか。
企業規模に限らず、攻撃者から見て「目立つ」企業・組織がターゲットになりやすいといえます。たとえば、基幹的なインフラに関わる企業や、世界的な情勢によってその時々で注目が集まる業種の企業などは、攻撃者の目に留まりやすいと考えられます。
DDoS攻撃の手法にはどのような変化がありますか。
DDoS攻撃を行うためには大規模なボットネット(攻撃基盤)が必要となることから、以前は一部の攻撃者だけが実施するものでした。しかし、IoT機器の普及に伴い、それを乗っ取ることなどでボットネットが容易に構築できるようになり、2010年あたりからはDDoS攻撃の代行サービスなども登場しました。これにより、現在は一般の人でも攻撃を実行できる状況となっています。2024年には中学生がDDoS代行サービスを用いて企業のウェブサイトを攻撃したとして書類送検された事例がありました 3。
攻撃の手口として、海外でしばしば見られるのは反復攻撃です。30分攻撃してやめる、また30分攻撃してやめるという行為を繰り返す、嫌がらせのような攻撃です。散発的でいつ止むのかも分からず、どう対応すべきか判断しにくいのが厄介です。
また、「アンプ攻撃(リフレクション攻撃)」という手法を利用した大容量の攻撃も見られます。たとえば、DNSサーバーへ問い合わせを行う場合、応答として返ってくるデータ量は、問い合わせで送られたデータ量よりも数倍多くなります。アンプ攻撃では、攻撃者はこの性質を利用します。
まず、攻撃者はボットネットからDNSサーバーに大量の問い合わせを送り、その返答を攻撃対象に送信させます。すると、攻撃対象はデータ量が増幅(アンプリファイ)された大量の返答を受け取ることになります。これにより、攻撃対象のネットワーク帯域を大量のトラフィックで埋め尽くしてしまうというのがアンプ攻撃です。
DDoS攻撃が断続的に続く場合には、どのような対応が必要ですか。
次の攻撃が来た場合に対策を繰り返すためのリードタイムを短くすることが重要です。攻撃をどのように検知し、どう対応するかをシミュレーションしておくことで、リードタイムを短縮できます。
DDoS攻撃では、ネットワーク層以外が狙われるケースもあるのでしょうか。
最近、クラウド上で展開されるWebサービスが増えているなか、それらも攻撃対象となっています。Webサービスを守るWAFの容量を食いつぶすことで、正規ユーザーからのリクエストを処理できなくなり、サービス停止に陥ることなどを狙ったDDoS攻撃が見られます。
また、企業が保有するサーバーやネットワーク機器といった社内リソースを標的とするDDoS攻撃も存在します。
自社へのDDoS攻撃を検知した場合、どのような初動対応を取るべきでしょうか。
攻撃の対象が何かによって大きく2パターンに分かれます。1つ目は、先ほど説明した、クラウド上で展開しているWebサービスが被害に遭った場合です。このケースでは、攻撃を受けたらクラウド事業者やCDN事業者といったサービス提供者に対策を依頼することになります。
2つ目は、自社が利用するネットワークに対して攻撃がなされた場合です。この場合は、契約している上流のネットワーク事業者に相談し、攻撃の遮断を依頼します。DDoS攻撃は大量のトラフィックを送り込む攻撃であるため、上流回線が圧迫されると、下流に位置する自社側での対策は困難です。そのため、上流のネットワークが埋められてしまっている状況を解消できるよう、事業者に相談するのがまず取るべき対応になります。
各事業者に対策を依頼するうえで、被害企業側からはどのような情報を伝えるべきでしょうか。
まず、自社への影響範囲を明確に把握し、具体的に伝えることが重要です。たとえば、特定のWebサービスへの攻撃であれば、被害はそのサービスの停止だけに留まるかもしれませんが、自社のネットワーク全体に関わる攻撃の場合は、自社が提供するすべてのサービスが影響を受ける可能性があります。
また、攻撃を受けているIPアドレスや攻撃元の情報などについて分かることがあれば各事業者に伝えるとともに、攻撃を完全に遮断する必要があるのか、緩和策で対応可能なのかといった情報も伝える必要があります。DDoS攻撃を検知した際には、こうした情報を整理することで事業者との連携がスムーズになり、迅速な復旧支援に繋がります。単に復旧を待つのではなく、積極的に情報共有と連携を行うことが重要です。
DDoS攻撃を受けた場合、復旧にはどのくらいの時間やコストがかかりますか。
攻撃の規模や内容によるため一概に言えないところもありますが、たとえば、初めてDDoS攻撃を受けた場合には、何が起きているかを把握するまでに半日、対策を立てるまでに数日を要することもあります。当社をはじめ、DDoS攻撃に慣れている事業者であれば、数時間から半日程度で対策を講じることが可能なケースが多いです。
他方、攻撃がいつ収束するかは予測できないことから、一度被害が発生すると、対応に必要なリソースをある程度のあいだ継続的に確保しておく必要があります。対応人員などのリソースをいつ解放するかは経営判断になりますが、悩ましいところかもしれません。
反復攻撃を受けるおそれもあるなか、DDoS攻撃を受けた場合は何をもって「対応完了」「復旧完了」と考えるべきでしょうか。
難しい点ですが、強いていうならば「攻撃が止んでいる状況」で、「次に同様の攻撃を受けた場合のための対応策ができた」と確認できれば、いったん完了としていいのではないかと思います。単に攻撃が止んだから終わりと考えてしまうと、攻撃が再開された場合の不安が残ったままになります。攻撃が止んでいるうちに対策サービスを契約したり、必要な帯域のキャパシティを確保したり、当社のようなネットワーク事業者にDDoS対策を依頼したりするなど、対策やエスカレーションのフローを作成するところまで行ったうえで、対応完了とするのが良いでしょう。
また、DDoS攻撃が行われた際には、立て続けにDDoS以外の攻撃が行われるケースもあるので注意が必要です。攻撃者からすると、DDoSはランサムウェアやフィッシングをはじめとした、様々な攻撃手法の中の1つなのです。
海外の論文や事例によれば、まずDDoS攻撃をしてみて、それに対する反応によってその後の攻撃手法を決めたり、被害企業がDDoS攻撃の対策に奔走しているうちに、他の手法で別の場所を攻撃したりすることがあるようです。DDoS攻撃を受けた場合には、それ以外の手法による攻撃への対策にも気を配らなければなりません。
有事対応を見据えて、日頃からはどのような備えを行っておくべきでしょうか。
DDoS攻撃を受けた際に、自社のシステムやサービス同士の関係が把握できておらず、影響範囲を迅速に特定できないことがあります。平時から自社のネットワークやシステム、そこで運用しているサービスの因果関係を把握して、攻撃を受けた時の影響範囲が見極められるようにしておくことが大切でしょう。
少し手間かもしれませんが、対外的な接続状況を確認したり、自社のシステム構成を見て「仮にここが止まったらどうなるか」などと想定した事故対策の練習をしておいたほうが良いでしょう。その際、自社が陥るかもしれない被害パターンにはどうしても抜け漏れが出がちですので、注意が必要です。
また、事業者との連携を見据えた備えとしては、伝達事項をチェックリストのようにフォーマット化するというよりも、攻撃をどう検知して、まず誰に連絡するのかといった、判断を迅速に行うための連絡網や対応フローを整備しておくことが有効です。
攻撃を受けた時にとるべき初動対応は、各事業者への相談ということでしたが、事業者を選定するうえでのポイントはありますか。
まずは、DDoS攻撃対策のサービスやオプションを提供しているクラウド事業者・ネットワーク事業者を選択することが重要です。そうしたサービスは、平時からコストがかかるという側面もありますが、いざ攻撃を受けると大きな被害が生じ得ますので、保険として必要なコストと考えてほしいと思います。
中小企業などで、セキュリティ対策にかけられる予算が限られる場合、対策コストはどういった基準で判断するべきでしょうか。
自社のサービスが生み出す価値と比較して、それを守るために適切なコストを見積もることが大切だと思います。自社が攻撃を受けたとしたらどうなるかをシミュレーションし、被害額が大きくなることが想定されるのであれば、コストをかけた対策サービスの契約を検討するのが良いでしょう。
DDoS攻撃対策サービスは、具体的にどのような対策を行ってくれるのでしょうか。
DDoS攻撃を受けると、大量の無駄なトラフィックが流れ込み、正常なトラフィックと混ざってしまいます。そのため、正常なトラフィックは守りつつ、攻撃によるトラフィックを遮断する必要が出てきます。重要なのは、正常なトラフィックを誤って遮断してしまう誤検知(False Positive)と、攻撃によるトラフィックを見逃してしまう見逃し(False Negative)をいかに減らすかという点です。
具体的な方法として、まず高価ではあるものの精度が高いのは、DDoSの緩和装置と呼ばれるネットワーク機器を使ったソリューションです。すべてのトラフィックを一旦吸い込んだうえで、正常なトラフィックか攻撃によるものかを機械学習やルールベースで判定し、正常なトラフィックだけを元のネットワークに返してくれます。
次に、ネットワークフィルタリングという手法もあります。これは、攻撃元のIPアドレスやポート番号などのパケットの特徴が判明している場合に、その特徴に合致するトラフィックをシャットアウトするというものです。また、たとえば自社のサービスが国内ユーザーだけを対象にしているのであれば、攻撃を受けているあいだだけは海外からのトラフィックを遮断するということも考えられます。
また、ある特定の装置が攻撃されている影響で、上流の帯域が埋まってしまっている場合に使われる、ブラックホールルーティングという手法もあります。攻撃対象となっている装置へのトラフィックを入り口で遮断することで、それ以外のサービスが巻き添えにならないようにする方法です。
自社でアラカルト的に様々なセキュリティソリューションを入れて対策を組むのは難しそうですね。
そうですね。WAFやEDR・NDRをはじめ、様々なセキュリティソリューションがありますが、そうしたものを導入していようといまいと、大量のトラフィックによって上流のネットワークを埋められてしまうと、自社環境で導入しているセキュリティソリューションは無関係になってしまいます。そうした攻撃に対抗するためには、やはり上流回線やクラウド側での対策を用意しておくことが大切です。
セキュリティ担当者の方々にアドバイスがあればお願いします。
DDoS攻撃はまったく予期しないタイミングで突然やってきますので、初めて攻撃に遭うと本当に驚くと思います。最近発生したインシデントや「10大脅威」へのランクインなどをきっかけとして、「もしかしたら自社もDDoS攻撃を受けるかもしれない」「DDoS攻撃を受けるとしたらどういう対策が必要なのか」ということを、平時から検討しておいていただきたいです。
DDoS攻撃は「対策のしようがない」という捉え方をされ、日々のセキュリティ業務があるなかで対策が後回しになってしまうこともあると思います。OSのアップデートやパッチの適用をはじめとした日々のセキュリティ業務における確認事項の1つとして、DDoS攻撃に備えた対策をぜひ加えていただけたらと思います。
(取材・文:渡邊智則、写真:岩田伸久)
UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。
この記事をシェアする
最新情報をフォローする
