2024年12月下旬から25年1月上旬にかけて、DDoS攻撃が複数の国内企業を襲った。標的となったのは、大手航空会社や金融機関など。攻撃によってサービスの提供ができない状況となり、日本の社会は大きな影響を受けた。DDoS攻撃の大規模化、巧妙化が進む背景には、「ボット」と呼ばれるマルウェアの存在など、さまざまな原因がある。激しさを増すDDoS攻撃に、企業はどう対峙すべきか。
（取材・文／岩田晃久）
 

拡大するボットネット

　Webサーバーなどに対して大量の通信を行いサービスの提供を妨げる「DoS（Denial of Service、サービス拒否）攻撃」。このDoS攻撃を、分散された（Distributed）複数のコンピューターから大量に行うのがDDoS攻撃となる。DDoS攻撃を受けた場合、Webサイトにアクセスできなくなったり、通信が遅延したりするため、組織には経済的な被害に加え信頼面でも大きな影響を及ぼす。

　DDoS攻撃を行う攻撃者は、政治的あるいは社会的な主張や目的のために攻撃を行うハクティビスト、企業への嫌がらせや金銭要求を目的とする者、愉快犯などだ。そのため、政府機関、大企業などさまざまな組織が標的とされる。ダークウェブでは、DDoS攻撃の代行サービスが売買されており、専門的な技術や機器を持つ攻撃者でなくても容易にDDoS攻撃を実施できる状況になっていることにも注意したい。

　近年のDDoS攻撃は大規模化が進んでいる。その原因は、コンピューターを外部から遠隔操作するための不正プログラムであるボットの存在だ。近年増加しているIoTデバイスや、サーバーなどのぜい弱性を突いてボットに感染させることで、それらのIT機器はDDoS攻撃のツールとなる。代表的なボットウイルスが「Mirai」だが、最近はMiraiの亜種のウイルスも確認されており、ボットに感染するデバイスや機器は増大している。デバイスがボットに感染すると、ネットワークを介してほかの端末にも広がり、それらの端末が組み合わさるかたちで「ボットネット」を構成することで、攻撃者はC＆Cサーバー（攻撃の指令を送るサーバー）から多くの感染機器を一括で簡単に操作し、DDoS攻撃が行える。

　また、「DNSアンプ攻撃」「DNS増幅攻撃」などと呼ばれる、DNSサーバーが踏み台となる手法もDDoS攻撃では用いられる。攻撃者は発信元のIPアドレスを偽装してDNSサーバーにIPアドレス要求パケットを送信し、DNSサーバーは、偽装された発信元のIPアドレスに大量の応答パケットを送る。DNSの特性上、送信時よりも応答時の方がパケットサイズが大きくなるため、標的となったサーバーには大きな負荷がかかることから、Webサービスにとって大きな脅威となる。
 
　ADC（アプリケーション配信コントローラー）やDDoS対策製品などを手掛ける米A10 Networks（A10ネットワークス）日本法人の高木真吾・ビジネス開発本部長兼エバンジェリストは「攻撃を受けるリスクと攻撃に加担するリスクの両方があるため、自組織の内部と外部の“DDoS武器”を把握する必要がある」と解説する。

　情報通信研究機構のセキュリティー組織であるサイバーセキュリティネクサスが発行した「NICTER観測レポート2023」では、DDoS攻撃の一種として、インターネット上のDNSやNTPなどのサーバーを悪用して攻撃対象に大量のパケットを送付し、攻撃対象のネットワーク帯域を圧迫する「DRDoS攻撃」が、22年の3465万件から23年は5561万件へ大幅に増加したとし、DDoS攻撃が活発化していることを明らかにしている。