DDoS攻撃とは?仕組み・種類とDoS攻撃との違い、企業が取るべき対策を解説

DDoS攻撃とは、多数の端末から一斉に通信を送りつけ、標的のサーバーやネットワークを処理不能に追い込むサイバー攻撃です。読み方は「ディードス」。単一の送信元から行うDoS攻撃を、分散させて大規模化したものです。この記事では、DoS攻撃との違い、フラッド型やアプリケーション層攻撃といった手口の種類、CDNやWAFを使った防御と自社設備の役割分担、そして被害を受けたときの初動と法的な位置づけまでを、事業会社の担当者が判断に使える形で整理します。自社の防御を内製すべきか外部に委ねるべきか、その分岐点も具体的な条件で示します。

目次

まとめ|DDoS攻撃の全体像と企業が最初に決める防御方針

DDoS攻撃は、攻撃元を分散させることで防御側が送信元を絞り込みにくくする点に本質があります。攻撃規模は年々拡大し、CDN事業者は2024〜2025年にかけて毎秒数テラビット級の攻撃を観測・緩和したと公表しています(公表値は各社・時点で幅があります)。防御の第一手は、自社のサーバー前段でトラフィックを受け止めるのではなく、CDNやクラウド防御サービスといった上流で吸収させることにあります。

自社設備だけで大規模なDDoS攻撃を止めきるのは、回線帯域の物理的な上限があるため現実的ではありません。多くの企業にとっての合理解は、上流の防御サービスに一次防御を委ね、自社側ではレート制限やアクセス制御など補完的な設定に絞ることです。専用の防御基盤を自前で構える判断は、金融や大規模ECなど攻撃対象になりやすい一部の事業に限られます。被害時の初動と、防御設計を誰に任せるかを平時に決めておくことが、実害を左右します。

DDoS攻撃とは何か|読み方・攻撃の目的とDoS攻撃との違いの整理

まず言葉の定義と、DoS攻撃との関係を押さえます。ここが曖昧なままだと、対策の議論が「何から守るのか」で噛み合わなくなります。

DDoS攻撃の定義と「ディードス」という読み方・名称の由来の整理

DDoSは Distributed Denial of Service の略で、「分散型サービス妨害」と訳します。読み方はディードス。Denial of Service(サービス妨害)を、多数の端末に分散(Distributed)させて行うことから、頭にもう一つDが付きました。狙いは情報の窃取ではなく、サービスを止めることそのものにあります。ECサイトが数時間ダウンすれば売上と信用が直接失われるため、攻撃者にとっては小さな労力で相手に大きな損害を与えられる手段です。

DoS攻撃との根本的な違いは攻撃元が単一か分散かという構造差

DoS攻撃とDDoS攻撃の違いは、攻撃を仕掛ける端末の数にあります。DoS攻撃は1台の端末から大量の通信を送る手口で、送信元IPが1つに絞られるため、そのIPを遮断すれば止められます。一方のDDoS攻撃は、乗っ取った何千・何万という端末から同時に通信を送るため、送信元が正常な利用者と見分けにくく、単純なIP遮断では対応しきれません。防御の難易度が跳ね上がるのはこの分散構造が理由で、現在ニュースになる攻撃のほとんどはDDoS型です。

攻撃者がDDoS攻撃を仕掛ける主な目的と金銭要求・脅迫の実態

目的は一つではありません。代表的なのは、攻撃を止める見返りに暗号資産を要求する脅迫(ランサムDDoS)です。ほかにも、競合サービスの妨害、政治的な主張を目的としたもの、そして本命の侵入を隠すための「陽動」として使われる例もあります。攻撃の裏で別の不正アクセスが進行しているケースがあるため、DDoSを単なる嫌がらせと軽視するのは危険です。攻撃代行サービスが闇市場で安価に売買されている実態もあり、技術力のない者でも攻撃を発注できてしまう点が被害を広げています。

DDoS攻撃の主な種類|通信量型とアプリケーション層型の手口の違い

DDoS攻撃は、どの層を狙うかで手口が分かれます。守り方も層ごとに変わり、種類の理解が対策選定の前提です。ここでは代表的な4系統を、被害の起き方とあわせて整理します。

帯域を飽和させるフラッド型攻撃(UDP・ICMPなど)の特徴

回線そのものを溢れさせるのが、通信量(ボリューム)型の攻撃です。UDPフラッドやICMPフラッドが代表例で、大量のパケットを送りつけて回線帯域を使い切らせ、正常な通信が入る余地をなくします。規模の指標は毎秒あたりのビット数(bps)で表され、テラビット級になると単一の企業の回線では受け止めきれません。この型は上流での吸収がほぼ必須になります。

サーバーの接続を枯渇させるSYNフラッドなどプロトコル型の手口

通信の確立手順の隙を突くのが、プロトコル型の攻撃です。代表格のSYNフラッドは、TCP接続の開始要求(SYN)だけを大量に送り、応答を返さないまま接続待ちの状態を積み上げて、サーバーの接続テーブルを枯渇させます。帯域を埋め尽くさなくてもサーバーを機能停止に追い込める点が特徴で、規模の指標は毎秒あたりのパケット数(pps)です。ファイアウォールやロードバランサーの設定で緩和できる部分があり、ファイアウォールの仕組みと種類を解説した記事で扱う接続制御が防御の下地になります。

正常な通信を装うHTTPフラッドなどアプリケーション層攻撃の脅威

最も見分けが難しいのが、アプリケーション層(L7)を狙う攻撃です。HTTPフラッドは、正規の利用者と同じ形式のHTTPリクエストを大量に送るため、通信量が小さくても、検索やログインなど負荷の高い処理を狙われるとサーバーが音を上げます。パケットの形だけを見ても正常なアクセスと区別できず、リクエストの中身や振る舞いを見るWAF(Webアプリケーションファイアウォール)の領分です。攻撃の検知という観点では、IDS・IPSの違いと仕組みをまとめた記事で解説する不正通信の検知も関わってきます。

DNSリフレクションなど増幅を悪用する攻撃の大規模化の仕組み

少ない手数で巨大な攻撃を作り出すのが、リフレクション/アンプ(増幅)型です。送信元を標的のIPに偽装してDNSサーバーなどに問い合わせを送ると、応答が標的に返ります。問い合わせより応答のほうがデータ量が大きいため、攻撃者が投じた通信量が数十倍に膨れ上がって標的を襲う仕組みです。近ごろの記録的な大規模攻撃の多くが、この増幅を組み合わせて規模を稼いでいます。

自社サーバーが踏み台にされDDoS攻撃へ加担してしまう二次被害

DDoS攻撃は「受ける」だけの脅威ではありません。管理の甘い機器は乗っ取られ、他社への攻撃に加担する「加害者側」に回ってしまいます。この視点は被害者向けの解説では抜けがちですが、事業会社が負う責任の面で見過ごせません。

管理の甘いIoT機器やルーターがボットネットに組み込まれる経路

攻撃に使われる大量の端末は、攻撃者が用意したものではなく、乗っ取られた一般の機器です。初期パスワードのまま放置されたネットワークカメラ、ルーター、IoT機器などが自動探索で見つけられ、マルウェアに感染してボットネット(攻撃者が遠隔操作する端末群)に組み込まれます。所有者は感染に気づかないまま、自社の回線と機器が他社へのDDoS攻撃に加担する側へ回ってしまうのです。踏み台にされた側が加害の一端として調査対象になる可能性もあります。

踏み台化を防ぐための機器の棚卸しと定期的なファームウェア更新の実務

踏み台化を防ぐ手立ては、派手なものではありません。初期パスワードを推測されにくいものへ変更する、使っていない管理ポートを外部に開けない、ファームウェアを提供元の更新に追従させる、という基本の徹底が効きます。社内でどの機器がインターネットに接続しているかを棚卸しできていない状態が、最大の穴です。資産管理の仕組みがない場合は、ネットワーク機器を含めたシステム全体の設計から見直す価値があり、その相談先としてWebシステム開発・運用の外部委託を検討する余地があります。

DDoS攻撃への対策の全体像|上流防御と自社設備の役割分担の考え方

対策は「どこで受け止めるか」で組み立てます。自社サーバーの手前で止めるほど被害は小さく、自社に到達させてから捌こうとするほど不利です。防御の手段を層ごとに整理し、役割分担の設計に落とします。

CDN・WAF・クラウド型防御サービスによる上流での攻撃吸収

大規模なDDoS攻撃への一次防御は、自社の外側で行うのが定石です。CDN(コンテンツ配信網)やクラウド型のDDoS防御サービスは、世界中に分散した膨大な処理能力で攻撃トラフィックを受け止め、正常な通信だけを自社サーバーへ通します。回線帯域という物理的な上限を、単一企業ではなくサービス事業者の規模で肩代わりさせる考え方です。クラウド環境での具体的な構成例は、AWS ShieldによるDDoS攻撃対策を解説した記事で扱っています。複数の防御機能を1台に束ねるUTM(統合脅威管理)の機能と選び方の記事も、中小規模の入口対策の選択肢になります。

自社サーバー側で行うレート制限・アクセス制御の設定範囲とその限界

上流に任せる一方で、自社側にも打てる手はあります。一定時間に同じIPから来るリクエスト数を制限するレート制限、地域や送信元による絞り込み、想定外の大きなリクエストの拒否といった設定です。ただしこれらは、正常通信を装うアプリケーション層攻撃や、送信元が分散した大規模攻撃には力不足になります。自社設定はあくまで補完であり、これだけで防ぎ切ろうとすると回線ごと落とされる、という限界を前提に組むべきです。

攻撃の検知から遮断までの対応フローと平時に決めておく準備項目

技術的な仕組みを入れても、運用が決まっていなければ止められません。攻撃を「異常」と判断し、遮断に踏み切るまでの流れを平時に定めておきます。

  1. トラフィックや応答時間を常時監視し、平常値からの逸脱を検知する
  2. DDoSか、正規アクセスの急増(セール等)かを切り分ける
  3. 防御サービス側で緩和モードへ切り替え、疑わしい通信を遮断する
  4. 影響範囲と復旧見込みを社内・顧客へ告知する
  5. 収束後、攻撃の記録を保全し再発防止に反映する

下の表は、主な対策手段を「守る層」と導入負荷で並べたものです。単独で完結する手段はなく、上流と自社設定の組み合わせが前提になります。

手段 主に守る層 主な効果 導入負荷
CDN/クラウド防御 通信量・L7 大規模攻撃の吸収 中(外部委託)
WAF アプリ層 不正リクエスト遮断
ファイアウォール プロトコル層 接続・ポート制御 低〜中
レート制限 アプリ層 過剰要求の抑制

ネットワーク全体の入口防御をどう束ねるかは、境界防御を担うVPNの仕組みと企業導入の判断基準を解説した記事とあわせて設計すると、全体像が描きやすくなります。

DDoS対策を内製すべきか外部の防御サービスに委ねるかの判断基準

ここは意見が割れる論点ですが、立場を明確にします。結論から言えば、ほとんどの事業会社にとって、DDoS防御基盤を自前で構えるのは過剰な投資です。理由を損益分岐と例外条件の両面から示します。

中小規模サイトが自前のDDoS防御に投資すべきでない損益分岐点

自前でDDoS防御基盤を持つには、太い回線、緩和機器、そして24時間の監視体制が要ります。これらの固定費は年間で数百万円規模に膨らみやすく、攻撃を受ける頻度がまれな中小規模サイトでは、投じたコストが被害額を上回りがちです。CDNやクラウド防御サービスなら、月額の利用料で同等以上の吸収力を、事業者の巨大な処理能力ごと借りられます。コーポレートサイトや通常のECであれば、上流の防御サービスに委ね、自前基盤は持たない。これが標準の判断です。自前構築を検討し始めたら、まず「本当にその頻度と規模の攻撃を受けるのか」を問い直すべきです。

内製寄りのDDoS防御が必要になる例外的条件と社内体制の要件

例外はあります。金融、大規模なオンラインゲーム、決済基盤など、停止が即座に多額の損失につながり、かつ攻撃の標的になりやすい事業です。こうしたケースでは、外部サービスに加えて自社側でも詳細な制御を握る必要が出てきます。ただしその場合でも、上流防御を捨てて完全内製にするのではなく、外部の吸収力を土台に自社の制御を重ねる二層構成が現実的です。専任のセキュリティ体制を持てない企業が見よう見まねで内製に踏み込むと、設定の穴を突かれてかえって被害を広げます。体制を持たないなら、設計と運用を外部に委ねる判断のほうが安全です。

DDoS攻撃を受けたときの初動と法的側面|通報先と証拠の保全

備えていても攻撃は起こります。受けた直後にどう動くか、そしてDDoS攻撃が法的にどう扱われるかを押さえておきます。慌てて誤った操作をすれば、復旧も原因究明も遠のくばかりです。

DDoS攻撃を受けた直後に取るべき初動対応と社内連絡の優先順位

最初にやるべきは、思いつくままの対処ではなく、状況の切り分けです。

  1. サービスの遅延・停止がDDoSによるものかを監視ログで確認する
  2. 契約している防御サービスや回線事業者へ連絡し緩和を要請する
  3. ログや通信記録を保全し、上書き・消去を避ける
  4. 影響範囲を経営層と顧客対応部門へ共有する
  5. 収束後に原因と対応を記録し、再発防止へつなげる

自社に運用体制がなく、攻撃のたびに手が回らない状態であれば、監視から対応までを含めたシステム運用そのものを見直したほうが早い場合があります。

DDoS攻撃は犯罪行為に当たり得るという法的な位置づけと通報先

DDoS攻撃は、日本では電子計算機損壊等業務妨害罪などに問われ得る犯罪行為です。警察庁も注意喚起を行っており、攻撃の実行だけでなく、攻撃代行サービスへの依頼も処罰の対象です。被害を受けた側は、保全したログを添えて警察やIPA(情報処理推進機構)などの窓口へ相談する道があります。「攻撃元がすぐ分からないから泣き寝入り」ではなく、記録を残して正規の窓口に持ち込むことが、再発の抑止と法的対応の起点になります。

よくある質問

DDoS攻撃について、検索で多く寄せられる疑問に簡潔に答えます。

DDoS攻撃の読み方は?

「ディードス攻撃」と読みます。DDoSは Distributed Denial of Service(分散型サービス妨害)の頭文字です。Denial of Service(サービス妨害)を分散させたものであることから、この呼び名になりました。会話では単に「ディードス」と略されることもあります。

DoS攻撃とDDoS攻撃の違いは何ですか?

攻撃を仕掛ける端末の数が違います。DoS攻撃は1台の端末から大量の通信を送るため、送信元IPを遮断すれば止められます。DDoS攻撃は乗っ取った多数の端末から一斉に通信を送るため送信元が分散し、正常な利用者と区別しにくく、単純なIP遮断では対応できません。この分散が防御を難しくしています。

DDoS攻撃を受けたらどうすればいいですか?

まず監視ログでDDoSかどうかを切り分け、契約する防御サービスや回線事業者へ緩和を要請します。並行して通信ログを保全し、影響範囲を社内と顧客へ共有します。自社サーバー側での付け焼き刃の遮断より、上流の防御サービスに緩和を任せるほうが確実です。体制がなければ運用の外部委託も選択肢になります。

DDoS攻撃の対策ツールにはどんなものがありますか?

CDN、クラウド型のDDoS防御サービス、WAF、ファイアウォール、レート制限などがあります。大規模な通信量型攻撃はCDNやクラウド防御で上流吸収し、正常通信を装うアプリケーション層攻撃はWAFで見分けます。単独のツールで完結はせず、守る層に応じた組み合わせが前提です。

DDoS攻撃は犯罪になりますか?

はい。日本では電子計算機損壊等業務妨害罪などに問われ得る犯罪です。攻撃の実行者だけでなく、攻撃を代行するサービスへ依頼した側も処罰の対象になり得ます。被害を受けた場合は、ログを保全したうえで警察やIPAなどの窓口へ相談できます。

関連記事

資料請求

RELATED POSTS 関連記事