DDoS攻撃の仕組みと目的をわかりやすく解説：Webサイト運用者・インフラエンジニア向け実践対策ガイド

はじめに：DDoS攻撃はなぜ今も脅威であり続けるのか

DDoS攻撃は、複数のコンピューターから大量のアクセスを一斉に送りつけ、Webサイトやサービスを使えなくするサイバー攻撃です。国内では2024年末から2025年初頭にかけて航空会社や銀行、天気予報サイトなど幅広い分野が被害を受けました。攻撃の手口は年々巧妙になり、誰もが標的になり得る状況が続いています。

この記事では、DDoS攻撃の仕組みを3つの攻撃タイプに分けて整理し、攻撃者がどのような目的を持つのか、検知の手がかりや防御策、コストとリスクのバランスについて、具体的な事例とあわせて解説します。

DDoS攻撃とは何か：定義とDoS攻撃との違い

DDoS攻撃の基本的な定義

DDoS攻撃とは、日本語で「分散型サービス妨害攻撃」と呼ばれるサイバー攻撃で、Distributed Denial of Service Attackの略です。複数のコンピューターから大量のアクセスを発生させ、さまざまなサービスを妨害します（参照*1）。

標的となるのはWebサイトやインターネットに接続されたサービスが中心で、大量の悪意あるトラフィックを送りつけることで機能を停止させます。脅威の主体は個人のハッカー、犯罪グループ、外国の国家関係者など多岐にわたり、ネットワークやサービスの正常な運用を妨害して、性能の低下や完全な停止を引き起こします（参照*2）。

ここで押さえるべきポイントは「分散」という言葉です。攻撃元が1台ではなく、数百台から数百万台に及ぶため、単純にIPアドレスを遮断するだけでは防ぎきれません。自組織が運用するサービスの通信量やサーバーの処理能力と照らし合わせて、どの程度の規模に耐えられるかを把握しておくことが防御の出発点になります。

DoS攻撃との規模・実行方法の違い

DoS攻撃は、単一のソースまたは脅威アクターによって実行されます。ターゲットのソフトウェアの弱点を突くか、大量のデータやリクエストを送ってシステムを過負荷にすることで、正規のユーザーがサービスを使えなくなるまでターゲットを追い込みます（参照*2）。

これに対してDDoS攻撃はより高度で、複数の接続デバイスが連携してターゲットを圧倒します。侵害されたデバイスのネットワークが協調して動くため防御が難しく、堅牢なネットワーク基盤やセキュリティ対策さえも突破される可能性があります。つまり、DoS攻撃が「1対1の力押し」であるのに対し、DDoS攻撃は「多数対1の同時攻撃」です。

実務上の違いは、対処の方法に直結します。DoS攻撃であれば攻撃元のIPアドレスを特定して遮断する方法が有効に働く場合がありますが、DDoS攻撃では攻撃元が分散しているため、トラフィック全体を分析して不正な通信だけを選り分ける仕組みが求められます。自組織がどちらの脅威を想定すべきかによって、導入すべき対策の種類と優先度が変わってきます。

DDoS攻撃の仕組み：3つの攻撃タイプと代表的な手法

ボリューム攻撃（UDPフラッド・DNS増幅など）の仕組み

ボリューム攻撃は、利用可能な帯域をすべて使い切ることを目的とした攻撃タイプです（参照*3）。回線そのものを大量のデータで埋め尽くすため、サーバーの処理性能に関係なくサービスが止まります。

代表的な手法の1つがUDPフラッドです。攻撃者は標的のホストのランダムなポートに大量のUDPパケットを送りつけます。受け取った側はそのポートでプログラムが動いているか確認しますが、通常は該当するプログラムが存在しないため、ICMP Port Unreachableパケットを返します。この処理が膨大に繰り返されることでサーバーのリソースが枯渇します（参照*4）。

DNS増幅攻撃も同じボリューム型に分類されます。こちらは小さなリクエストに対して大きな応答を返すDNSサーバーの特性を悪用し、送信元IPアドレスを標的に偽装して問い合わせを送ることで、標的に大量の応答データを集中させます。自組織のネットワークがどの程度の帯域を持ち、通常時のトラフィック量がどれくらいかを計測しておくと、異常な急増を早い段階で見つけやすくなります。

プロトコル攻撃（SYNフラッドなど）の仕組み

プロトコル攻撃は、ネットワークの通信手順そのものの弱点を突くタイプです（参照*3）。帯域を圧迫するボリューム攻撃とは異なり、サーバーやネットワーク機器の接続管理テーブルなど、処理リソースを狙います。

代表的なSYNフラッド攻撃では、攻撃者が送信元IPアドレスを偽装して多数のTCP接続要求をターゲットに送ります。サーバーはこれらの接続要求を完了しようとしますが、偽装されたアドレスからの応答は返ってこないため、実際の接続は成立しません。大量の「半開き」状態の接続要求でリソースが飽和し、正規の利用者が接続できなくなります（参照*2）。

プロトコル攻撃はボリューム攻撃ほど大きな帯域を必要としないため、比較的少ない通信量でもサーバーを停止させられる点が厄介です。サーバー側のTCP接続タイムアウト値や同時接続数の上限設定を確認し、異常な半開き接続の増加を監視できる体制を整えておくことが防御の手がかりになります。

アプリケーション層攻撃（HTTPフラッド・Slowlorisなど）の仕組み

アプリケーション層攻撃は、Webアプリケーションや実行中のサービスの弱点を直接狙うタイプです（参照*3）。通信プロトコルのレベルでは正常に見えるため、ボリューム攻撃やプロトコル攻撃よりも検知が難しいという特徴があります。

HTTPフラッド攻撃は、標的に対して大量のHTTPリクエストを送りつける手法です（参照*1）。個々のリクエストはWebブラウザーからの通常のアクセスと区別がつきにくいため、単純なフィルタリングでは排除しにくい点が攻撃者にとっての利点です。

もう1つの代表例がHTTP slow POST DoS攻撃です。攻撃者はHTTPリクエストのヘッダーを正しく送った後、本文をきわめて低速で送信します。例として1バイトを110秒かけて送るような速度です。サーバーはヘッダーに記載された本文の長さに従い、すべてのデータが届くまで接続を維持し続けます。この接続を数百から数千同時に張ることで、サーバーの接続リソースがすべて埋まり、新たな接続が不可能になります（参照*4）。対策を検討する際は、同時接続数の制限やリクエストの完了時間に上限を設ける設定を確認してください。

攻撃インフラの実態：ボットネットとDDoS-for-Hireサービス

IoTボットネットからVPSベースの高性能ボットネットへの進化

DDoS攻撃の仕組みを支えるのがボットネットです。ボットネットとは、マルウェアに感染した機器が攻撃者に遠隔操作される状態のことを指します。2024年末～2025年始に相次いだDDoS攻撃について、内閣サイバーセキュリティセンターが2025年2月4日に発表した注意喚起では「IoTボットネット」が用いられたとしています（参照*1）。大量のIoT機器が遠隔操作され、特定のサービスやサイトに一斉にアクセスすることでサービスを停止させる仕組みです。

一方で、攻撃インフラは進化しています。従来はスマートセキュリティカメラなどのIoT機器を数十万から数百万台束ねることで攻撃力を確保していましたが、各機器の処理能力には限りがありました。新世代のボットネットはIoT機器の代わりにVPS（仮想プライベートサーバー）で構成され、少ない台数でも従来の最大5,000倍もの攻撃力を発揮する可能性があります（参照*5）。

この変化は防御側にとって深刻な意味を持ちます。攻撃元の台数が少なくなるとIPアドレスの数だけでは異常を捉えにくくなるため、通信量やリクエストパターンの変化に注目した監視が必要になります。自組織のサーバーがどの程度の負荷に耐えられるかを定期的に計測し、閾値を設定しておくことが欠かせません。

ブーター・ストレッサーによるDDoS攻撃の商用化

DDoS攻撃を実行するのに、もはや高度な技術力は必要ありません。ブーターおよびストレッサーと呼ばれるDDoS-for-Hireサービスが、フォーラムやダークウェブ上で広く提供されています。これらのサービスは悪意ある行為者に対し、インターネットに接続された任意のターゲットを匿名で攻撃する能力を提供します。支払いにはオンライン決済サービスや暗号資産が使われます（参照*6）。

こうしたサービスの存在は、DDoS攻撃の敷居を大幅に下げています。悪意ある者がDDoSボットネットへのアクセスを販売し、標的のサーバーやネットワークリソースを大量の偽造トラフィックで過負荷にして利用不能にするボットネットのネットワークが提供されています。いたずら目的の個人からハクティビスト、犯罪グループまで幅広い層が利用しており、企業や政府のWebサイトが標的となっています。防御計画を立てる際には、攻撃の実行者が必ずしも技術に精通した専門家ではない点を前提に、攻撃頻度や規模の想定を行う必要があります。

DDoS攻撃の目的と動機：誰が・なぜ攻撃するのか

ハクティビズム・イデオロギーによる攻撃

DDoS攻撃の目的として最も広く知られているのが、ハクティビズムとイデオロギーに基づく動機です。ハクティビストは社会的・政治的な関心を訴える手段としてDDoS攻撃を用い、対象には政府、政治家、大企業組織などが含まれます。また、政治倫理観に基づくイデオロギーの信念を動機としてDDoS攻撃を開始する脅威アクターも存在します（参照*2）。

DDoS攻撃は多くのケースで、攻撃そのものの効果だけでなく、特定のWebサイトの閲覧障害が報道などを通じて不特定多数に知られること自体を目的として実施されています。2022年9月のKillnetによる国内サイトへの攻撃でも、政府からの被害発表を報じるニュース記事を攻撃側が扇動に使っているケースが見られました（参照*7）。

ハクティビズムが目的の場合、攻撃者は技術的な被害そのものよりも社会的な注目を集めることに主眼を置いています。自組織が攻撃を受けた際の広報対応や情報発信のあり方について、あらかじめ手順を定めておくことが対策の1つになります。

金銭目的の脅迫（ランサムDDoS）と競合妨害

DDoS攻撃の目的として金銭の獲得も大きな割合を占めます。脅威アクターが標的に対してDDoS攻撃を止める見返りに身代金を要求する手法は「ランサムDDoS」と呼ばれ、恐喝が動機となるケースは少なくありません（参照*2）。

2023年第1四半期の調査では、回答した顧客の16%が身代金を伴うDDoS攻撃を報告しました。前四半期とは横ばいでしたが、前年比では60%の増加となっています（参照*5）。

さらに、犯罪者がフォーラムや市場でDDoS攻撃を依頼できるサービスを提供している実態もあります。いたずらやハクティビストだけでなく、競合企業のサービスを妨害する目的での利用も想定されます（参照*6）。ランサムDDoSへの備えとしては、身代金を要求された場合の対応方針を事前に決めておくこと、そして脅迫を受けた時点で速やかに関係機関へ報告する手順を整えておくことが求められます。

サイバー戦争・国家支援型攻撃と報復行為

DDoS攻撃の目的のなかでも最も大規模かつ組織的なものが、国家が関与するサイバー戦争です。国家主導のDDoS攻撃は政治的・軍事的な優位を得るために利用され、重要な金融、医療、インフラシステムを混乱させることを狙います。これらの戦略には高度な技術を備えた専門家が関与し、政府の軍隊やテロ組織に関連することが多いとされています。世界中の多くの政府が、敵対者のオンラインおよび重要インフラを妨害する攻撃の実行に多大なリソースを投じています（参照*2）。

国家支援型の攻撃は、民間のハクティビズムや金銭目的の脅迫とは桁違いの規模と持続力を持ちます。標的は通信、電力、金融といった社会基盤に集中し、攻撃が成功した場合の影響範囲は一企業にとどまりません。自組織がこうした重要インフラに関わるサービスを運用している場合は、単独の防御策だけでなく、業界全体やISP（インターネット接続事業者）との連携を視野に入れた対応計画を検討してください。

被害の実態：国内外の事例と攻撃トレンド

国内における航空・金融・天気予報サイトへの攻撃事例

国内では2024年末から2025年初頭にかけて、業種を問わない広範なDDoS攻撃が発生しました。2024年12月26日には国内のある航空会社のシステムに障害が起き、一部の便に遅れや欠航が発生しています。同時期に国内の複数の銀行でもインターネットバンキングが利用できなくなる不具合が確認されました。さらに2025年1月5日には、日本気象協会の天気予報サイト「tenki.jp」がDDoS攻撃を受け、サービスが利用しづらい状況にあったことを発表しています（参照*1）。

IPA（独立行政法人 情報処理推進機構）は「情報セキュリティ10大脅威 2025年版 組織編」の8位にDDoS攻撃を選出しました。同資料では、今回の一連のDDoS攻撃を誰が実行したのか、何の狙いがあって攻撃が行われたかについて、決め手となる手がかりは得られていないとしています（参照*1）。

攻撃者の特定が困難であることは、DDoS攻撃の仕組みと目的を考えるうえで見逃せない特徴です。自組織で被害を受けた場合に備え、ログの保全方法や報告先のリストをあらかじめ整備しておくことで、事後の分析と復旧を円滑に進められます。

グローバルの攻撃規模・対象業界・攻撃ベクトルの動向

海外ではDDoS攻撃の規模が記録的な水準に達しています。2023年第1四半期には、最大で毎秒7,100万リクエストを超えるハイパーボリュームDDoS攻撃が観測されました。これはGoogleが以前記録した毎秒4,600万リクエストの世界記録を55%上回る数値です（参照*5）。

同じく2023年第1四半期には、南米の通信事業者を標的とした1.3Tbps（テラビット毎秒）のDDoS攻撃も確認されています。攻撃はわずか1分間でしたが、DNSとUDPの攻撃トラフィックを組み合わせた多ベクトル攻撃でした。この攻撃は2万台規模のMirai系ボットネットから発生した複数のテラビット級攻撃キャンペーンの一部です。

さらに遡ると、2016年10月にはDNSプロバイダーを標的とした攻撃で、主に米国と欧州の80以上のWebサイトが影響を受け、一般利用者がアクセスできなくなりました。攻撃にはブーターサービスが使われ、ルーター、デジタルビデオレコーダー、Webカメラなど感染したIoT機器が動員されています。このDNSプロバイダーは攻撃後に約8%の顧客を失ったと推定されています（参照*6）。攻撃規模の拡大と手法の多様化を踏まえ、自組織のサービスがどの攻撃ベクトルに対して脆弱かを定期的に評価することが欠かせません。

DDoS攻撃の検知方法と実践的な防御・緩和策

攻撃を示す兆候と早期検知のポイント

DDoS攻撃の兆候をいち早くつかむには、よくあるサインを把握しておくことがポイントです。主な兆候として以下の3つが挙げられます。

• 特定の場所やIPアドレスからの急激で予期しないWebトラフィックの増加。多くの場合、これらの接続要求は完了できません。実際のIPパケットの送信元が隠されているためです。
• Webサイトの読み込みが遅くなるなど、遅延や不規則なネットワーク性能の低下。攻撃者がサーバーを過剰なリクエスト数で圧倒することでシステムの低下が起きます。
• 説明のつかないサーバーエラーメッセージやタイムアウト、Webサイトへアクセスできない状態。サーバーが過負荷になると503「Service Unavailable」エラーが発生します。

（参照*2）

これらの兆候を見逃さないためには、通常時のトラフィック量やレスポンス時間のベースラインをあらかじめ記録しておくことが前提になります。監視ツールでベースラインからの逸脱を即座に検知できるよう、アラートの閾値を設定してください。

WAF・CDN・レート制限・ブラックホールルーティングなどの技術的対策

DDoS攻撃の仕組みに対抗する技術的対策は複数あります。まず、DDoS攻撃の影響を排除または低減するための専用の対策装置やサービスの導入です。具体的には、Webアプリケーションファイアウォール（WAF：Web Application Firewall）、IDS/IPS（不正侵入検知/防止システム）、UTM（複数のセキュリティ対策を統合した脅威管理システム：Unified Threat Management）が挙げられています（参照*1）。

次に有効なのがCDN（コンテンツ・デリバリー・ネットワーク）の利用です。CDNは分散配置されたキャッシュサーバーにWebコンテンツを保存し、閲覧者に最も近いサーバーからデータを配信する仕組みです。DDoS攻撃を受けてもその負荷はキャッシュサーバーが引き受けるため、自社のオリジンサーバーが被害を受ける可能性を減らせます。

レート制限も実践的な手法です。一例として、WAFのレートベースルールでは5分間のスライディングウィンドウ内に受信したリクエスト数が定義した閾値を超えた場合、自動的にそのIPアドレスをブロックします。違反したIPアドレスには403 Forbiddenレスポンスが返され、リクエストレートが閾値を下回るまでブロックが維持されます（参照*8）。自組織のサービス特性に合わせて、WAF・CDN・レート制限のどれを優先するか、組み合わせるかを検討してください。

対応計画の策定とコスト・リスクバランスの考え方

DDoS攻撃に備えるには、攻撃の特定・緩和・回復のための明確な手順を含む対応計画を事前に用意しておくことが欠かせません。この計画は、攻撃時の作業を最小化し、ビジネスの運用を中断させないことを目的として策定します（参照*2）。

一方で、対策にかけるコストと得られる効果のバランスは慎重に見極める必要があります。DDoS対策と呼ばれる対策の多くはユーザー側では実施できなかったり、その効果とコストの面で導入判断が難しいものが多くあります。ユーザー側やインフラ提供側での対策コスト負担を過剰に求め始めればきりがありません。DDoS攻撃の脅威を過剰に伝えてしまうことや、過度な対策をユーザー側などに強いることは、社会全体のコスト負担を考えたときにDDoS攻撃対処として効率的ではないという指摘もあります（参照*7）。

対応計画を策定する際は、自組織が運用するサービスの停止がどの程度の影響を生むのかを定量的に評価し、それに見合った投資範囲を決めることが出発点になります。防御レベルを上げるほどコストは増えるため、守るべき対象の優先順位を明確にし、段階的に対策を拡充する方法を取ると、限られた予算でも実効性のある計画に仕上がります。

おわりに：過大評価せず、過小評価せず――合理的なDDoS対策のために

DDoS攻撃の仕組みと目的を理解したうえで、自組織にとって本当に必要な対策は何かを見極めることが求められます。自組織で運用するWebサイトやオンラインサービスの価値に対して、DDoS攻撃による停止の影響がどこまで許容されうるのか、組織自身でのリスク評価が欠かせません。専門組織をはじめ周囲の関係者が攻撃の影響を過大評価してしまっていないか、常に見直す姿勢が必要です（参照*7）。

この記事で取り上げた攻撃タイプの分類、攻撃インフラの実態、検知の兆候、そしてコストとリスクのバランスという4つの観点を自組織の状況に当てはめ、過不足のない防御体制を構築してください。

お知らせ

DDoS攻撃の仕組みや目的を正しく理解することは、ITエンジニアにとって、案件選びや求められるスキルを読み解く際の助けになります。業務範囲や必須スキルを確認し、フリーランス向けの最新案件情報も参考にしましょう。
cyseekではフリーランスのITエンジニア向けの案件をご紹介しています。
案件に関する新着情報は、以下のリンクからご覧いただけます。

参照

• (*1) 2024年末～2025年始にDDoS攻撃が頻発。その手口と対策とは
• (*2) Canadian Centre for Cyber Security – Defending against distributed denial of service (DDoS) attacks – ITSM.80.110
• (*3) Cybersecurity and Infrastructure Security Agency CISA – Understanding and Responding to Distributed Denial-Of-Service Attacks
• (*4) Denial of Service
• (*5) The Cloudflare Blog – DDoS threat report for 2023 Q1
• (*6) Booter and Stresser Services Increase the Scale and Frequency of Distributed Denial of Service Attacks
• (*7) JPCERT / CC Eyes – 注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー – JPCERT / CC Eyes
• (*8) AWS WAF – Rate-based rules