Okta & Auth0のデモ動画を多数掲載 - コンテンツライブラリ Okta & Auth0のデモ動画を多数掲載 - コンテンツライブラリ 一覧を見る →
検索

DDOS攻撃: A guide to distributed denial-of-service attacks

更新済み: 2025年04月28日 読了目安時間: ~

トピック

Threat Detection, Cybersecurity, Data Security, Security, IoT

目次

 

この記事は機械翻訳されました。

 

分散型サービス拒否(DDOS攻撃)は、複数の漏洩/侵害システムが連携して、ターゲットのネットワーク、サーバー、またはアプリケーション(アプリケーション)に悪意のあるトラフィックを氾濫させ、システムリソースを使い果たし、正当なユーザーがサービスにアクセスできないようにする場合に発生します。

重要なポイント:

  • DDOS攻撃は、悪意のあるトラフィックでシステムを圧倒することにより、サービスの可用性を脅かします。
  • 最新の攻撃は、複数のベクトルを組み合わせ、モノのインターネット(IoT)ボットネットを活用します。
  • 効果的な防御には、階層化された保護と迅速な対応能力が必要です。
  • 予防戦略は、常に新たな脅威とともに進化しなければなりません。

 

DDOS攻撃とは?

レストランの予約システムが、さまざまな電話番号から何千もの偽の予約で溢れかえっていると想像してみてください。スタッフは偽のリクエストに圧倒され、正当な顧客はテーブルを予約したり注文したりすることができませんでした。同様に、DDOS攻撃では、サイバー犯罪者はボットネット(漏洩/侵害デバイスのネットワーク)を使用して大量の偽のリクエストを送信し、ターゲットシステムを麻痺させ、実際のユーザーがITにアクセスするのを防ぎます。

IoTの脅威

よく知られている Miraiボットネット攻撃 は、 IoT デバイスがいかに脆弱であるかをDDOS攻撃で強力な武器にすることを示しました。 このケースでは、数十万台のデバイスがデフォルトで漏洩/侵害され、単純な総当たり攻撃攻撃が行われました。

 

脆弱なデバイス:

  • 防犯カメラとDVR
  • ホームルーターとモデム
  • スマートホームデバイス(サーモスタット、ドアベル、音声アシスタント)
  • ネットワーク接続ストレージ (NAS) デバイス
  • プリンターとプリント サーバー

 

重大なセキュリティの弱点:

  • デフォルトまたはハードコードされた認証情報
  • 自動セキュリティ更新プログラムの欠如
  • 安全でないネットワークプロトコル
  • 暗号化の実装が不十分

 

進行中のDDOS攻撃を見つけるのは必ずしも簡単ではありません。 そして、ハッカーがITを起動すると、被害のクリーンアップは困難です。 予防に投資することで、リスクを下げることができます。

DDOS攻撃メカニズムの理解

感染したデバイスは機能 し続けることが多いため、ユーザーは問題に気付かない可能性があります。また、感染したデバイスのクリーンアップは、特にユーザーがソフトウェアを更新したり、セキュリティパッチをダウンロードしたりすることを考えない場合、困難です。

 

ボットの発見も、ネットワーク管理者にとって難しい場合があります。それぞれに個別のIPアドレスがあり、正当に見えます。問題が発生したとき、ITはITがどこから発生しているのかを把握するのが困難です。

現代のDDOS攻撃の進化

  • 攻撃の洗練度
    • 防御メカニズムにリアルタイムで適応するAIを活用した攻撃
    • Application(アプリケーション)、プロトコル、およびボリューム測定法を組み合わせたマルチベクトル攻撃
    • 正当なユーザーの行動を模倣する高度な回避技術
    • プロトコルやアプリケーション(アプリケーション)のゼロデイ脆弱性を狙った攻撃
       
  • インフラストラクチャの変更
    • 正規のプラットフォームを使用したクラウドサービスの悪用
    • マイクロサービスアーキテクチャを標的としたAPIに焦点を当てた攻撃
    • CDNの脆弱性によるネットワーク操作Edge
    • 分散型攻撃のためのサーバーレス機能の悪用
       
  • ボットネットの進化
    • IoT デバイス活用
    • 悪意のあるアプリによるモバイルデバイス 漏洩/侵害
    • クラウドでホストされるボットネットインフラストラクチャ
    • AI/MLを使用したボットネットの自動調整
       
  • 防御回避
    • 動的トラフィックパターンの生成
    • 検出を回避するための正当なトラフィックの混合
    • 地域ブロックを回避するための地理的分布
    • シグネチャ検出を回避するためのプロトコル変異

DDOS攻撃の仕組みは?

インターネットに接続されたすべてのシステムは、処理能力からメモリ、ネットワーク容量まで、リソースの制限を受けます。DDOS攻撃は、処理しきれないほど多くのリクエストをシステムに殺到させることで、これらの制限を悪用します。

3大DDOS攻撃(by OSI 積み重ねる)

最新のDDOS攻撃は、ネットワークスタックの異なる積み重ねる対象となります。

  1. 積み重ねる 3/4

    • 大量のトラフィックでネットワーク容量を圧倒
    • : DNS 増幅、NTP リフレクション
    • 一般的な指標:帯域幅の飽和、地理的な異常
       

  2. プロトコール攻撃 (積み重ねる 4/5)

    • ネットワークプロトコルの弱点を悪用する
    • : SYN フラッド、ICMP フラッド、SSL/TLS 攻撃
    • 一般的な指標: 不完全な接続が大量にある
       

  3. Application (アプリケーション) 積み重ねる attacks (積み重ねる 7)

    • 対象 Web アプリケーション (アプリケーション) とサービス
    • : HTTP フラッド、API の悪用、Slowloris
    • 一般的な指標: 特定のエンドポイントでの高いリソース使用率

特筆すべきDDOS攻撃の種類別例

カテゴリ別の名前付きDDoSベクトルには、次のものがあります。

Application (アプリケーション) 積み重ねる attacks

  • Slowloris: 最小限の帯域幅を使用して、部分的なHTTPリクエストを送信することで接続を開いたままにする精密攻撃
  • RUDY (R-U-Dead-Yet): データを非常に遅く送信することでフォームフィールドを悪用し、サーバーリソースが使い果たされるまで接続をアクティブに保ちます
  • HTTP 低速読み取り: 応答を非常にゆっくりと読み取ることで多くの接続を維持し、サーバーの接続プールを枯渇させます

プロトコル攻撃

  • SACKパニック:TCP選択的確認応答(SACK)を悪用して、Linuxシステムでカーネルパニックを引き起こします
  • TCPリセット:なりすましRSTパケットを送信してTCPを悪用し、正当な接続を終了させます
  • Ping of Death: 不正な形式の ICMP パケットを送信し、再アセンブル時にシステムをクラッシュさせます
  • クリスマスツリー攻撃:TCPパケットにすべてのフラグを設定し、パケットごとに余分な処理能力を消費します

ボリューム型攻撃

  • memcached増幅:誤って構成されたmemcachedサーバーを悪用して、最大51,000倍の増幅要因を達成します
  • DrDoS(Distributed Reflection DoS):被害者のIPアドレスをなりすまし、正規のサーバーを増幅器として利用します
  • NTP増幅:Network Time Protocolサーバーを悪用して、小さなリクエストに対して大きな応答を生成します
  • CLDAPリフレクション:コネクションレスLDAPを悪用して増幅要因を約56倍に

高度な攻撃/ハイブリッド攻撃

  • 絨毯爆撃:同じネットワーク範囲内の複数のIPアドレスを同時に標的にします
  • Advanced Persistent DoS(APDoS):複数の攻撃ベクトルと永続化メカニズムを組み合わせて、長期的なプレッシャーを維持します
  • パルス波:大量の攻撃バーストと静かな期間を交互に繰り返し、緩和策を回避します
  • マルチベクトル:複数の攻撃タイプを同時に組み合わせ、多くの場合、防御を回避するためにベクトルを切り替えます

DDOS攻撃の対応と緩和

システムが攻撃を受けている場合、時間が重要です。ここでは、組織が効果的に行動する方法をご紹介します。

即時のアクション

  • トラフィック分析: 攻撃パターンを特定し、トラフィックの量と種類を測定します
  • コミュニケーション:社内のITチーム、サービスプロバイダー、ステークホルダーに通知します
  • アクションプランニング: 明確な優先順位を設定し、タスクをチームメンバーに委任する

アクティブな緩和戦略

  • トラフィックスクラビングを有効にする:サードパーティプロバイダーまたは社内のスクラビングツールをデプロイして、悪意のあるトラフィックをフィルタリングします
  • フィルタリングルールの実装:ファイアウォールと侵入防止システム(IPS)を設定して、特定された攻撃パターンをブロックします
  • リソースのスケーリング:クラウドリソースを使用してサーバー容量を拡張し、帯域幅消費型攻撃を吸収します

実証済みの緩和手法

  • ブラックホールフィルタリング:IT部門が保護されたシステムに到達する前に、悪意のあるネットワークトラフィックをルーティングレベルで破棄します
  • トラフィックスクラビング:専用のツールやサービスを使用して正当なトラフィックを保持しながら、悪意のあるリクエストを削除します
  • 負荷分散: コンテンツ配信ネットワーク (CDN) またはロードバランサーを使用して、複数のサーバーにトラフィックを分散します
  • シグネチャの適応:SnortやSuricataなどのツールを使用して検出ルールをリアルタイムで変更し、攻撃パターンの変化に対応
  • トラフィック分析のための ML: 異常検出モデルを使用して新たな脅威を特定し、静的ルールへの依存を減らします
  • 対応の自動化:自動化ツールを既存のセキュリティインフラストラクチャと統合します

アイデンティティレイヤー protection

  • アイデンティティインフラストラクチャは、デジタルリソースへの重要なゲートウェイとして機能します。 DDOS攻撃中は、認証サービスの可用性を維持することが不可欠です。 ユーザーが認証できない場合、システムが動作していても、システムにアクセスできません。組織のネットワークインフラストラクチャに使用されるのと同じ堅牢なDDoS軽減戦略でアイデンティティサービスを保護することで、攻撃者はこの単一エラーポイントを悪用するのを防ぐことができます。

     

DDOS攻撃 prevention ベストプラクティス

DDOS攻撃の防止には、防御に対する多層的なアプローチが含まれます。

コア保護メカニズム

  • レート制限:ソースの動作と履歴パターンに基づいてリクエスト頻度を動的に調整する高度なトラフィック制御システム
    (例:APIレート制御)
  • Web Application (アプリケーション) ファイアウォール (WAF): 行動ベースの分析を使用して、アプリケーション(アプリケーション)-積み重ねるトラフィックをインテリジェントにフィルタリング
  • プロトコル検証:正当な接続試行とプロトコルの適合性を確保するためのディープパケットインスペクション

高度なネットワークアーキテクチャ防御

  1. エニーキャストネットワークアーキテクチャ
    • トラフィックを複数のグローバル ロケーションに分散
    • ボリュームアタックに対する耐性が本来備わっている
    • 自動フェイルオーバー機能を提供
       
  2. BGP フロースペック
    • 動的ルーティング ポリシーの配布を有効にします
    • 攻撃トラフィックへの迅速な対応が可能
    • ネットワークエッジでのきめ細かなトラフィック制御を提供
       
  3. ハイブリッド保護
    • オンプレミスとクラウドベースの防御を組み合わせ
    • マルチベクトル攻撃に対する多層防御を提供
    • さまざまな攻撃タイプに柔軟に対応可能

最新の防衛アーキテクチャ

DDoS 防御には、コア防御メカニズムに加えて、次のものが必要です。
 

  • マルチ積み重ねるトラフィック分析:ネットワークを横断して一斉に監視し、総合的な可視化を実現
  • クラウドネイティブのスクラビングサービス:分散したスクラビングセンターを活用して、地理的に分散した攻撃を軽減
  • 自動応答システム:セキュリティ情報およびイベント管理(SIEM)プラットフォームを組み込んで、一元化された自動化された緩和を実現します
  • 機械学習 パターン recognition: アダプティブ アルゴリズムで新たな脅威を特定し、これに対抗
  • 高度なレート制限手法: 攻撃シナリオ中に動的に応答するためのアダプティブしきい値を実装します

 

業界固有のDDoS攻撃対策

さまざまなセクターには、独自の脆弱性と要件に基づいた特定の保護戦略が必要です。

 

業種

主なターゲット

一般的な方法

重要な保護

金融サービス

取引プラットフォーム、支払いシステム

積み重ねる 7 ピーク時の攻撃

超低遅延、コンプライアンス対応の防御

メディア&エンターテイメント

ストリーミングサービス、ライブイベント

ビデオ配信の中断、CDNフラッド

Edge キャッシング、アダプティブビットレート保護

ヘルスケア

患者ポータル、遠隔医療プラットフォーム

サービスの中断、認証のフラッド

サービスの優先順位付け、重要なシステムの分離

 

DDoS 保護の規制コンプライアンス

SECの要件

  • Major インシデント報告: Report significant DDOS攻撃 that disrupt operations or services
  • ドキュメント: DDoS 軽減制御と対応手順の記録を保持する
  • 定期的な更新: 脅威情勢の変化に応じて、開示ドキュメントを最新の状態に保ちます

GDPR に関する考慮事項

  • サービスの可用性:データアクセスの中断から保護
  • 技術的な制御:適切なDDoS防止対策を実施します
  • 財務上の影響: サービスの中断を防げなかった場合、組織は罰則を受ける

重要インフラの保護

  • セクタールール:業界ごとに独自のDDoS保護要件があります
  • CISAコンプライアンス:米国の事業者は特定の緩和プロトコルに従う必要があります
  • EU NIS2 標準: 欧州のプロバイダーは、ベースラインのセキュリティ対策を講じる必要がある

国境を越えたデータ要件

  • 場所の制限: DDoS 軽減戦略では、データ所在地のルールを尊重する必要があります
  • ベンダーの選択:準拠したデータセンターの場所を持つスクラビングサービスを選択します
  • データルーティング:DDoS軽減中のトラフィックルーティングを監視します

現在の動向と将来の見通し

DDOS攻撃は、より高度な手法で進化しています。

  • AIで強化された攻撃:高度なパターン生成と自動ターゲット選択
  • IoTセキュリティの課題:コネクテッドデバイスの脆弱性を悪用してボットネットを作成
  • 高度な保護:機械学習、振る舞い分析、予測型DDoS防御戦略を実装して、進化する脅威に対抗する

DDOS攻撃に関するよくある質問

Q: DDOS攻撃を受けているかどうかはどうすればわかりますか?

ある: DDOS攻撃の基本的な指標には、突然のトラフィックの急増、サービスの速度低下、サーバーログの異常なパターンなどがあります。 組織は、地理的なソース、リクエスト率、およびリソース使用量を監視して、早期警告の兆候を確認する必要があります。

Q:DoS攻撃とDDOS攻撃の違いは何ですか?

ある: DoS攻撃は、トラフィックやリソースを消費するリクエストでターゲットをフラッディングしようとする1つのソースから発生します。この攻撃は、多くの場合、悪意のある人物がターゲットを利用できなくしたり、サービスや資産へのユーザーアクセスを拒否したりすることを目的とした1台または少数のコンピューターから行われます。DDOS攻撃は、一般的に、多くの漏洩/侵害コンピュータやデバイスがボットネットをフォームし、協調的な攻撃を起動した場合に発生します。 ボットネットがトラフィックやリクエストを標的システムに同時にフラッディングするように誘導することで、分散型攻撃に対する防御がより困難になります。

Q: IoT デバイス攻撃とは何ですか?

ある: IoT デバイス攻撃は、インターネットに接続されたデバイスの脆弱性を悪用しようとする悪意のある試みです。デバイスのセキュリティプロトコルやファームウェアの弱点を悪用することで、悪意のある人物は、スマートホームアプライアンスから医療用デバイスや産業用制御システムまで、あらゆるものを取り込み、不正アクセスを取得したり、機密データを悪用したり、DDOS攻撃中のボットネットなどの大規模なサイバー攻撃の一部としてデバイスを使用したりできます。

Q.DDOS攻撃はどのくらい持続しますか?

ある。 通常、 DDOS攻撃の持続時間は10分未満ですが、適切な保護がなければ、DDOS攻撃は数分から数日の範囲になります。

OktaでDDOS攻撃から身を守るための対策を講じる

トラフィック監視、自動脅威検知、スケーラブルな緩和機能を含む包括的なアイデンティティベースのセキュリティ戦略により、攻撃対象領域を削減します。

詳細を見る

アイデンティティ施策を推進

今すぐ無料トライアルをご利用いただけます。個別のご要望については、お気軽にお問い合わせください。

今すぐ始める
見積もりなどのお問い合わせ