DDoS 攻撃と対策

DDoS とは何か

DDoS（Distributed Denial of Service／分散型サービス妨害）は、サービスを正常に使えない状態に追い込む攻撃です。データを盗むのではなく、可用性（使えること）そのものを奪う点が他の攻撃と決定的に違います。

ポイントは「Distributed（分散）」の部分です。1台から攻撃する DoS と違い、DDoS は世界中に散らばった大量の機器から一斉にトラフィックを送りつけます。攻撃元は、マルウェアに感染させて遠隔操作下に置いた PC・サーバ・IoT 機器の集合体（ボットネット）であることが多く、所有者は加担している自覚すらありません。

攻撃元が分散しているため「攻撃元 IP を1つ遮断すれば終わり」とはいかず、正規ユーザーのアクセスと攻撃トラフィックの見分けが難しいことが、防御を厄介にしています。

攻撃の3つの種類

DDoS は「どの層を狙うか」で大きく3つに分類されます。狙う層が違えば、効く対策も変わります。

種類	狙い	代表例	規模の測り方
帯域飽和型（Volumetric）	回線そのものを埋める	UDP フラッド、DNS/NTP 増幅	bps（ビット毎秒）
プロトコル型	接続テーブル等の資源を枯渇	SYN フラッド	pps（パケット毎秒）
アプリ層型（L7）	重い処理を狙い少量で落とす	HTTP フラッド	rps（リクエスト毎秒）

帯域飽和型は、増幅（リフレクション）という手口で威力を増します。送信元を偽装した小さな要求を公開サーバ（DNS など）に送り、何十倍にも膨らんだ応答を被害者へ集中させます。少ない元手で巨大な攻撃量を作れるのが特徴です。

アプリ層型は逆に、少ないトラフィックでも刺さるのが怖いところです。検索やログインなど「サーバ側で重い処理」を正規のリクエストの形で連打するため、回線は空いていてもアプリが先に音を上げます。正規アクセスと見分けにくく、検知が最も難しい類です。

なぜ単純な対策が効かないのか

「攻撃元 IP を遮断すればよい」と考えがちですが、DDoS ではこれが通用しにくくなります。攻撃元が何万・何十万という単位に分散しているため、手作業のブロックは追いつきません。送信元 IP が偽装されている場合は、そもそも正しい遮断対象が分かりません。

さらに厄介なのは、自社のサーバや回線が飽和した時点で、防御の操作自体が困難になることです。管理画面にすらアクセスできなくなれば、後手に回ります。だからこそ DDoS 対策は、攻撃トラフィックが自社の設備に到達する前に、外側で吸収・洗浄する発想が中心になります。容量で殴ってくる攻撃には、こちらもより大きな容量で受け止めるしかない、という非対称性があるのです。

緩和策：多層で受け止める

実務では、複数の仕組みを層状に組み合わせて緩和します。それぞれ守る層が異なります。

対策	主な対象	役割
CDN	帯域飽和型	多数の拠点にトラフィックを分散吸収し、キャッシュで負荷を肩代わり
スクラビング	帯域飽和型・プロトコル型	専用設備で攻撃トラフィックを洗浄し、正常分だけ通す
WAF	アプリ層型	HTTP の中身を見て不審なリクエストを遮断
レート制限	アプリ層型	同一元からの過剰なリクエスト頻度を抑える

• CDN（Content Delivery Network）：世界中の拠点（エッジ）でトラフィックを受け、巨大な総容量で帯域飽和型を薄めて吸収します。本体サーバを攻撃者から隠す効果もあります。
• スクラビングセンター：攻撃時にトラフィックを専用設備へ迂回させ、悪性分を**洗い落として（scrubbing）**正常分だけをサーバへ返します。
• WAF（Web Application Firewall）：アプリ層型に対し、HTTP の内容を検査して不審なパターンを止めます。詳しくはセキュリティヘッダと併せた防御層として機能します。
• レート制限：単位時間あたりのリクエスト数に上限を設け、連打を抑制します。

まとめ

DDoS は、機密性ではなく可用性を狙い、分散した多数の機器から大量トラフィックを送ってサービスを停止させる攻撃です。帯域飽和型・プロトコル型・アプリ層型と狙う層が分かれ、それぞれに効く対策が異なります。

防御の要は、攻撃を自社設備の手前で吸収・洗浄すること。CDN とスクラビングで物量を受け止め、WAF とレート制限でアプリ層を守る多層防御が基本形です。可用性は機密性・完全性と並ぶセキュリティの柱であり、攻撃の全体像はOWASP Top 10、最小権限などの設計原則は最小権限の原則で広く押さえられます。