DDoS攻撃・DoS攻撃とは？意味や事例、対策方法について解説

映画やテレビ番組、アーティストのライブまでオンラインで配信されるようになった昨今、アクセス過多によるサーバーダウンなどというアクシデントは、情シス担当でなくとも誰でも耳にするものになりました。

それほどインターネットを介したサービス提供が一般的になっているということですが、このアクセス過多の状態を狙ったサイバー攻撃が存在することをご存じでしょうか。

本記事では代表的なサイバー攻撃のひとつであるDDoS攻撃・DoS攻撃について解説していきたいと思います。

DoS攻撃とは、Denial of Service Attackの略称で「ドス攻撃」と読み、DDoS攻撃は、Distributed Denial of Service Attackの略称で「ディードス攻撃」と読みます。攻撃の仕組みは異なりますが、どちらもアクセス過多の状態を狙ったサイバー攻撃です。

全てのシステムは、用意された設備で処理しきれないほどのアクセスを送信されると、システムがダウンしたり、サービスが遅延したりします。例えばアーティストのライブ配信やスポーツの試合配信など、リアルタイムであることに価値があり、多くの人のアクセスが予想されるようなシステムである場合、サービス提供者の用意していた設備では処理しきれず、システムのキャパシティを超える過剰なアクセス負荷がかかることがあります。すると、アクセスユーザーはその配信を視聴できない、または途切れ途切れになって満足なクオリティで視聴できない、といった不便が生じます。このような現象を意図的に具現化させようとするサイバー攻撃が、Dos攻撃やDDoS攻撃なのです。

DDoS攻撃は、複数のIPから対処しきれないほどの悪意ある大量のアクセスを仕掛る攻撃手法のことを指します。攻撃者は予めマルウェアなどで不正に乗っ取ったコンピューターを踏み台として活用するため、被害者はあらゆる国のあらゆるコンピューターから一斉に攻撃を受けることとなります。

DoS攻撃は、攻撃者が単独のコンピューターから攻撃対象のシステムに大量のアクセスを送信することで行われます。

対してDDoS攻撃は、複数のコンピューターから分散して攻撃対象のシステムに大量のアクセスを送信することで行われます。

DoS攻撃もシステム運用者から見ると大変迷惑な攻撃でしたが、どのIPから攻撃されているかが分かればアクセスを拒否することもできますし、そもそも同IPからのアクセス回数制限を設けることで、対策を講じることができました。しかしDDoS攻撃になると、アクセス元が複数に分散されていて、かつ次々と新たなIPで攻撃をされるため、対策を講じることが難しくなります。

DDoS攻撃にもいくつか種類があります。

SYNフラッド攻撃は、TCP接続のハンドシェイクプロセスを悪用した攻撃手法です。

インターネット上で一般的に使われるTCP接続という通信方法では、データを正しく確実に届けるため、データの受け手（クライアント）と送り手（サーバー）間でデータを転送する前にお互いに準備が整っているかを確認しあうスリーウェイハンドシェイクというプロセスがあります。クライアントはデータを送る前に、SYNパケットと呼ばれる接続要求をサーバーへ送り、サーバーからSYN/ACKパケットという応答が来た後、再度クライアント側からACKパケットを返して初めてTCP接続が開かれ、データを送受信できるようになります。

この接続要求（SYNパケット）を大量に送信する攻撃をSYNフラッド攻撃といいます。

サーバー側は許容量以上のSYNパケットを受信することで、正常に機能しなくなり、正規のアクセス要求まで捌けなくなってしまいます。

FINフラッド攻撃は、TCP接続を終える時に送る「FINパケット」をサーバーに大量に送る攻撃手法です。

SYNフラッド攻撃と同様に、サーバー側はデータを受け取るたびに要求に対する処理を行うため、大量に送られた際には高負荷となり、正規のアクセスに影響が出ます。

ACKフラッド攻撃は、ACKパケットを大量に送信することで接続するためのリソースを使用させ負荷をかける攻撃手法です。

ACKパケットは、本来SYNパケットやFINパケットへの返答として使われるものなので、サーバー側でACKパケットを単体で受け取った場合、無効なパケットとして破棄します。しかし、ACKパケットが大量に送付された場合、多量の破棄処理を要し、高負荷となってしまうのです。

UDP接続は、TCP接続のようにデータ送信前にコネクションを確立しません。TCP接続がデータ送信の確実性を優先しているのに対して、UDP接続はたとえデータに欠損があっても高速にデータ送信を行うことを優先しているプロトコルだからです。しかし送られてくるはずのデータが届いていない場合、ICMPパケットというエラーを報告する応答をサーバーはクライアントに出します。

この仕組みを悪用してサーバーをパンクさせようとするのがUDPフラッド攻撃です。

Slow HTTP攻撃は、少ないパケット数で長時間に渡りTCPセッションが継続するようにして、WebサーバーのTCPセッションを占有することによって、通常のユーザーがアクセスできないように妨害する攻撃です。

攻撃者は標的のWebサーバーに対しHTTP POSTリクエストやHTTPリクエストヘッダ―を送信しますが、その際、タイムアウト処理に移行しない程度の低速で送信することで、サーバーが応答処理に時間をかけることになり、結果的に少ないパケット数で攻撃が実現します。

DNSフラッド攻撃とは、DNSの機能のひとつである「ユーザーが入力したサイトURLを、サーバーに付与されているIPアドレスと紐づけて名前解決をする」という機能を悪用した攻撃です。

1つまたは複数のDNSサーバーに対して大量のリクエストを送信することで、DNSサーバーは名前解決処理が間に合わなくなり、通常のユーザーからの名前解決処理に遅延を発生させるという仕組みです。

DDoS攻撃は、一律にサーバーの処理速度を落とす、あるいはWebサービスをダウンさせる効果があります。その目的として以下が考えられます。

Webサービスのダウンはサービス運営元にとって機会損失となり、多大な被害を及ぼします。例えば決まった日程で大規模なイベント（ECサイトのセールやスポーツ試合配信、アーティストのライブ配信など）を計画している場合、事前にそのイベントにDDoS攻撃を宣言され金銭を要求するといった事例があります。

特定の国家や企業に対して、なんらかの抗議活動やメッセージを発信する策としてDDoS攻撃を仕掛ける場合があります。政治問題に対する抗議活動としてDDoS攻撃を仕掛ける事例は、過去にさまざまな国の政府を対象に実行されています。

嫌がらせの動機については、愉快犯、スキル誇示目的、競合企業や団体による営業妨害、特定の企業や団体への私怨、クレームがエスカレートした結果など多岐にわたりますが、ただ嫌がらせをするためにDDoS攻撃を実行するという攻撃者も一定数存在します。

では実際にDDoS攻撃を受けた場合、どのような被害に至るのでしょうか。

サーバーが高負荷状態になった際、処理に時間がかかり、ユーザーから「このWebサービスは重たい」と評価され離脱を促してしまう可能性があるほか、最悪の場合はサーバーダウンになりサービス提供自体できなくなります。サービス提供ができなくなった場合は、サービス提供者としての信頼が失墜することになります。

ECサイトや有料のコンテンツ配信サービスであった場合は、サーバーがダウンすることで売上や利益に大規模な損害が出ることになります。また、被害企業が運用するサーバーがクラウド環境にあり従量課金制だった場合は、多量の不正アクセスで利用料金が跳ね上がる可能性もあります。

2015年の東京五輪・パラリンピック大会組織委員会へのDDoS攻撃では、サーバーに大量のアクセスが集中し、ホームページが機能停止に追い込まれました。約12時間閲覧ができない事態となったそうです。また、2021年の大会期間中に公式サイトなどで検知した攻撃回数は、およそ4.5億回とのことでした。

史上最大規模と謳われた被害事例は、2016年のマルウェア「Mirai」を利用したDDoS攻撃でしょう。このDDoS攻撃は、それまで一般的だったPCやサーバーではなく、セキュリティが比較的甘いIoT機器を踏み台として攻撃が行われたことで注目を集めました。被害にあった米国のDNSサービス提供企業は、数千万のIPアドレスから攻撃を受けたと報告しています。

最近では日本政府や大手地下鉄会社のホームページ、SNS運営会社がDDoS攻撃をうけ、Webサイトの接続・閲覧ができなくなるなどサービス提供を一時中断するに至っています。

企業としての信用失墜や金銭的損害が出る可能性のあるDDoS攻撃。攻撃を受けないための対策はあるのでしょうか。

CDNは「Content Delivery Network」の略称で、サーバーの手前に配置し、クライアントからアクセス要求があった際にサーバーに代わってコンテンツのキャッシュをクライアントに返すことで、サーバー本体にかかる負荷を軽減させる機能があります。大量のアクセスを捌き、高速なレスポンスを実現するため、もともとは全世界に配信されるようなWebサービスを運営する企業で採用されていました。

この仕組みを生かして、DDoS攻撃が仕掛けられた際、サーバー本体に代わってその手前で攻撃を受け止めきることで被害を食い止める働きをします。

DoS攻撃は1台のコンピューターからの多量アクセスであるため、発信元IPからのアクセスを遮断することで対策が打てます。対してDDoS攻撃は複数の端末を使うため、端末台数が非常に多い場合は現実的な対処法にはなりません。とはいえ、小規模台数からのDDoS攻撃には有効と言えるでしょう。発信元IPがマスクされて特定できずとも、一つのIPからのアクセス回数に制限を設けてしまえば同等の効果が見込めます。

攻撃者が国内にいる場合であっても、DDoS攻撃は海外のサーバーを介して行われる場合が多い傾向にあります。よって、Webサービス自体が日本国内向けのものであれば、国内からのアクセスのみに制限をかけることで高い効果を発揮するでしょう。

DDos攻撃に効果のあるセキュリティツールを導入するのも対策として有効です。

ファイアウォールは、不正アクセスを行っている発信元IPからの接続を遮断したり、攻撃に使用されるポートの制御が可能です。また、IDS/IPS（Intrusion Detection System/Intrusion Prevention System）はネットワークへの不正アクセスを検知、制御する役割があります。UTM（Unified Threat Management）はこれら2つの機能を搭載しているほかアンチウイルスなどのその他セキュリティ機能も有しています。また、WAF（Web Application Firewall：ウェブアプリケーションファイアウォール）という、ネットワークへの攻撃だけではなくアプリケーション層への攻撃を遮断するものも存在します。

上記の対策を実施しても、DDoS攻撃・DoS攻撃のリスクはゼロにはなりません。金銭目的ではなく私怨による嫌がらせである場合は執拗に攻撃を仕掛けてくるかもしれませんし、巨大な犯罪組織かもしれません。自組織で対策を打つだけではなく、警察関連組織やセキュリティ専門企業への通報も検討してください。