DDoS攻撃とは ― 中小企業のWebサイト・業務システムを守るための対策ガイド
ある朝、出社すると自社のWebサイトが表示されない。ECサイトの注文が処理できない。SaaSの業務システムにログインできない。サーバーは動いているのに、なぜかアクセスできない。
これがDDoS攻撃(Distributed Denial of Service: 分散型サービス妨害攻撃)の被害です。IPAの「情報セキュリティ10大脅威 2026」でも8位にランクインしているこの脅威は、技術的に高度な攻撃ではないにもかかわらず、防御が難しいという厄介な特徴を持っています。
DDoS攻撃とは
DDoS攻撃は、大量のアクセスやデータを対象のサーバーやネットワークに送りつけて、正常なサービス提供を妨害する攻撃です。
身近な例でたとえると
人気コンサートのチケット販売開始時に、アクセスが殺到してサイトがダウンする現象を想像してください。DDoS攻撃は、この状態を意図的に作り出す攻撃です。
正規のユーザーのアクセスと攻撃トラフィックを区別しにくいため、単純にアクセスをブロックすると正規のユーザーも締め出してしまいます。
DoSとDDoSの違い
| 項目 | DoS攻撃 | DDoS攻撃 |
|---|---|---|
| 攻撃元 | 1台のマシン | 数千〜数百万台のマシン |
| トラフィック量 | 小〜中 | 大〜超大規模 |
| 遮断の容易さ | 攻撃元IPをブロック | 困難(多数のIPから分散) |
| 攻撃コスト | 低い | 低い(ボットネットが安価で利用可能) |
攻撃の規模感
2025年に観測されたDDoS攻撃の最大規模は 5.6 Tbps に達しています。一般的な中小企業のインターネット回線は1 Gbps程度ですから、回線容量の5,000倍以上のトラフィックが押し寄せるイメージです。
DDoS攻撃の種類
1. ボリューム型攻撃
ネットワーク帯域を大量のトラフィックで埋め尽くす攻撃です。
代表的な手法:
- UDP Flood: 大量のUDPパケットを送りつけてネットワーク帯域を消費する
- DNS Amplification: 小さなDNSクエリを送信し、大きなDNS応答をターゲットに向ける(増幅攻撃)
- NTP Amplification: NTPサーバーを悪用して、ターゲットに大量のデータを送りつける
特徴: トラフィック量が膨大で、回線そのものがパンクする。ISP(インターネットサービスプロバイダ)レベルでの対応が必要。
2. プロトコル型攻撃
サーバーやネットワーク機器のリソース(接続テーブル、メモリ等)を枯渇させる攻撃です。
代表的な手法:
- SYN Flood: TCP接続の確立過程(3ウェイハンドシェイク)を悪用し、大量の未完了接続でサーバーのリソースを消費する
- Ping of Death: 規格外のサイズのICMPパケットを送信してシステムをクラッシュさせる
特徴: トラフィック量は比較的小さいが、サーバーやファイアウォールの処理能力を超えさせる。
3. アプリケーション層攻撃
WebアプリケーションのHTTPリクエストを大量に送信して、Webサーバーのリソースを枯渇させる攻撃です。
代表的な手法:
- HTTP Flood: 正常に見えるHTTPリクエストを大量に送信する
- Slowloris: HTTPリクエストを極端にゆっくり送信し、サーバーの接続枠を占有する
- API Abuse: APIエンドポイントに大量のリクエストを送信する
特徴: 正規のアクセスと見分けがつきにくい。WAF(Web Application Firewall)での対策が有効。
中小企業への影響
直接的な被害
- Webサイトのダウン: 企業の顔であるWebサイトが表示されなくなる
- ECサイトの売上損失: オンラインショップが利用できず、注文処理が停止する
- メール・業務システムの停止: クラウドサービスへのアクセスが不能になる
- 顧客対応の停止: 問い合わせフォームや予約システムが使えなくなる
間接的な被害
- 信用の低下: 「あの会社のサイト、よく落ちる」という評判
- SEOへの影響: サイトダウンが長引くと検索順位に影響
- ランサムDDoS: 「攻撃を止めてほしければ身代金を払え」という脅迫
- 本命攻撃の隠れ蓑: DDoS攻撃で運用チームの注意を逸らしている間に、別の経路で侵入する
被害額の目安
業種やビジネスモデルによりますが、以下が参考値です。
| 被害項目 | 概算 |
|---|---|
| Webサイト停止(1時間) | 機会損失 + 復旧対応コスト |
| ECサイト停止(1時間) | 売上の直接損失(業種により数万〜数百万円) |
| 業務システム停止(1時間) | 従業員の生産性損失(従業員数 × 時給) |
| 信用回復コスト | 顧客対応、説明、再発防止策の公表 |
対策
予防策
1. CDN(Content Delivery Network)の導入
CDNは世界中に分散したサーバーにコンテンツをキャッシュし、ユーザーに最も近いサーバーからコンテンツを配信する仕組みです。DDoS攻撃のトラフィックがCDN側で吸収されるため、オリジンサーバーへの負荷を大幅に軽減できます。
中小企業向けCDNサービス:
| サービス | 特徴 | 費用感 |
|---|---|---|
| Cloudflare Free | 基本的なDDoS防御が無料 | 無料〜 |
| Cloudflare Pro | WAF + 高度なDDoS防御 | 月額約$20 |
| AWS CloudFront + Shield | AWS利用者向け | 従量課金 |
| Azure Front Door | Azure利用者向け | 従量課金 |
特にCloudflareの無料プランは、中小企業のDDoS対策の第一歩として強く推奨します。 無料でも基本的なDDoS防御が提供されます。
2. WAF(Web Application Firewall)の導入
アプリケーション層のDDoS攻撃を検知・ブロックします。
- リクエストのパターンを分析して、攻撃と正規のアクセスを区別
- レートリミット(一定時間内のリクエスト数制限)を設定
- 特定の国やIPレンジからのアクセスをブロック
3. レートリミットの設定
APIやログインページなど、特定のエンドポイントへのリクエスト数を制限します。
# Nginx での設定例
limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;
server {
location /api/ {
limit_req zone=api burst=20 nodelay;
}
}4. ISPとの連携
自社のインターネット回線を提供しているISPに、DDoS対策サービスがあるか確認します。多くのISPがオプションでDDoS緩和サービスを提供しています。
5. 冗長化
- Webサーバーを複数台構成にする
- DNSを複数のプロバイダに分散する
- 重要なサービスは複数のリージョンにデプロイする
クラウドサービス利用企業の対策
自社でWebサーバーを運用していない場合でも、以下の対策が必要です。
Azure Static Web Apps / Azure App Service
- Azure DDoS Protection Basic: 自動的に適用済み(追加費用なし)
- Azure Front Door: CDN + WAF + DDoS防御を統合的に提供
- Azure DDoS Protection Standard: 大規模攻撃向けの高度な防御(月額約$3,000〜)
AWS
- AWS Shield Standard: 自動適用(無料)
- AWS Shield Advanced: 高度な防御 + 専門家サポート(月額$3,000)
- AWS WAF: アプリケーション層の防御
SaaS利用企業
Microsoft 365やGoogle Workspaceなどを利用している場合、DDoS防御はサービス提供者側の責任です。ただし、自社のインターネット回線が攻撃を受けた場合は、クラウドサービスに限らず全ての通信が影響を受けます。
攻撃を受けた場合の対応
初動対応
- 攻撃の確認: サーバー監視ツールやアクセスログで、トラフィックの異常な増加を確認する
- ISPへの連絡: 回線提供元のISPに連絡し、上流でのフィルタリングを依頼する
- CDN/WAFの確認: CDNやWAFが正常に動作しているか確認する
- 関係者への連絡: 経営層、顧客対応チーム、必要に応じて取引先に状況を共有する
攻撃中の対応
- 攻撃元の分析: アクセスログから攻撃元のIPレンジや攻撃パターンを特定する
- フィルタリングルールの追加: 攻撃パターンに合わせたブロックルールを適用する
- サービスの優先順位付け: 全サービスの復旧が困難な場合、重要度の高いサービスを優先する
攻撃後の対応
- ログの保全: 攻撃時のアクセスログ、サーバーログ、ネットワークログを保存する
- 原因分析: 攻撃の種類、規模、持続時間を分析する
- 再発防止策: CDN導入、WAF設定の見直し、ISPとの連携強化など
- 報告: 経営層への報告、必要に応じて警察への届出
- 脅迫がある場合: ランサムDDoSの場合、身代金を払わず、警察に相談する
ランサムDDoSへの対応
「DDoS攻撃を止めてほしければビットコインで○○を支払え」という脅迫メールが届くケースが増えています。
対応方針:
- 身代金を払わない: 支払っても攻撃が止まる保証はなく、再度の脅迫を招く
- 証拠を保全する: 脅迫メールを保存する
- 警察に届出する: 脅迫は犯罪であり、サイバー警察局に相談する
- 防御を強化する: CDN/WAFの導入、ISPとの連携で攻撃の影響を最小化する
コスト別の対策マトリクス
| 対策 | コスト | 効果 | 優先度 |
|---|---|---|---|
| Cloudflare Free導入 | 無料 | 基本的なDDoS防御 | ★★★ |
| レートリミット設定 | 無料(自社対応) | API/ログイン保護 | ★★★ |
| ISP DDoS対策オプション | 月額数千〜数万円 | 回線レベルの防御 | ★★☆ |
| CDN有料プラン | 月額$20〜 | 高度な防御 + WAF | ★★☆ |
| Azure/AWS DDoS Protection | 月額$3,000〜 | エンタープライズ級防御 | ★☆☆ |
まとめ
DDoS攻撃は「技術的に防ぐのが難しいが、影響を緩和することは可能」な脅威です。中小企業がまず取るべきステップは以下の3つです。
- Cloudflare等のCDNを導入する(無料プランでも効果あり)
- ISPのDDoS対策オプションを確認する
- 攻撃を受けた場合の対応手順を決めておく
DDoS攻撃は「起きるかどうか」ではなく「いつ起きるか」の問題です。事前の準備が被害を最小限に抑える鍵です。
DDoS対策やWebセキュリティでお困りの方は、情シス365の無料相談をご利用ください。