DDoS攻撃の増加と対策――IoTボットネット、ランサムDDoS、攻撃代行サービスの実像──情報セキュリティ白書2025の概要（第6回）

はじめに

分散型サービス拒否攻撃（Distributed Denial of Service：DDoS）は、複数のコンピューターやIoT機器を悪用して特定のサーバーやネットワークに大量のトラフィックを送り付け、サービスを機能不全に陥れる攻撃である。近年、国家間の緊張や政治的イベントに伴う抗議運動に乗じて DDoS 攻撃が急増している。2024年度には、ランサムウェアに加えてDDoS攻撃も多発し、重要インフラや企業のオンラインサービスを停止させた。オリンピック関連サイトや選挙インフラ、航空会社や銀行など、公共の安全や生活基盤に直結するサービスが標的となり、社会への影響が大きかった。

情報処理安全確保支援士として本記事では、DDoS攻撃の手口と国内外の最新事例を分析し、IoTボットネットやランサムDDoS、攻撃代行サービスの台頭など多面的な動向を整理する。さらに、平時の準備と発生時の対応、攻撃に加担しないための対策まで含め、組織と個人がとるべき具体策を示す。

1. 2024年度におけるDDoS攻撃の動向

1.1 政治イベントを狙った攻撃の増加

2024年は世界各国で重要な選挙が相次ぎ、選挙運動や政党、選挙インフラを標的とする DDoS 攻撃が観測された。7月・8月にはオリンピック関連のスポンサーやパートナー企業のウェブサイトに対して攻撃が行われ、日本ではNATOとのパートナーシップ強化を巡る抗議活動や日米共同統合演習に対する抗議活動としてのDDoS攻撃が発生した。これらの攻撃は公共の安全や秩序を乱し、サプライチェーン全体に影響を及ぼすことから、国家レベルでの監視と国際協調が必要とされる。

1.2 ランサムDDoSの増加

Cloudflare社のレポートによれば、2024年第4四半期にランサムDDoS攻撃が急増し、同社ユーザーの12%がDDoS攻撃と脅迫を受けた。ランサムDDoS攻撃では、攻撃者がDDoS攻撃の停止と引き換えに金銭を要求する。報告によると、DDoS攻撃による脅迫は前四半期比78%増、前年同期比25%増だった。攻撃の敷居が低下し、攻撃者が金銭目的で手軽に攻撃を繰り返す傾向が強まっている。

1.3 国内における年末年始の攻撃事例

国内では、2024年末から2025年初頭にかけて航空会社や金融機関、通信会社へのDDoS攻撃が相次いだ。表1‑2‑2にまとめられている通り、日本航空では国内線・国際線の航空券販売や一部サービスが停止し、三菱UFJ銀行やりそな銀行ではオンラインバンキングの利用が困難になる事象が発生した。みずほ銀行では年末のオンラインバンキングに影響が出ており、年明けにはNTTドコモのポータルサイトや日本気象協会、三井住友カードの会員向けサービスにも影響が及んだ。これらの攻撃は短期間に集中し、多くの利用者の生活に影響を与えた。

トレンドマイクロ社は、2024年末から大規模な活動を行うIoTボットネットを観測したと報告し、このボットネットのC&Cサーバーが DDoS 攻撃コマンドを発信していたことを確認した。同ボットネットはMiraiおよびBashlite（Gafgyt）系のマルウェアに由来していると考えられ、攻撃対象のIPアドレスには日本だけでなくアジア・北米・南米・欧州の広範な地域が含まれていた。

2. ボットネットによるDDoS攻撃とIoTの課題

2.1 ボットネットの仕組み

DDoS攻撃の多くは、攻撃者が構築したボットネットを利用する。ボットネットは、マルウェアに感染させたコンピューターやIoT機器が攻撃者のC&Cサーバーの指示に従うネットワークであり、大規模なものでは数百万台のボットで構成される。攻撃の流れは以下のとおりである。

1. ボットネット構築
   • 家庭用ルーターやネットワークカメラなどインターネットに接続された機器にマルウェアを感染させ、攻撃インフラを形成する。
2. 攻撃コマンド送信
   • C&CサーバーからボットネットにDDoS攻撃コマンドを送信する。
3. 攻撃実行
   • 指示を受けたボットネットが一斉に攻撃対象へ大量のトラフィックを送信し、サーバーやネットワーク機器に過負荷を与える。

この仕組みを理解することで、攻撃者がどのように侵攻インフラを組織し、攻撃を開始するかが分かる。

2.2 IoT機器がボットネットに組み込まれる理由

IoT機器は安価で導入が容易な反面、セキュリティが軽視されがちである。ボットネットに組み込まれやすい要因として、以下の三点が挙げられている。

1. 推測されやすい管理パスワード
   • 初期設定のまま変更されていないパスワードや簡単なパスワードが使用されていると、不正アクセスが容易になる。
2. ファームウェアのアップデート未実施
   • 最新のファームウェアに更新していない場合、既知の脆弱性が放置され、攻撃に無防備になる。
3. 脆弱な設定の放置
   • 不要なサービスやどこからでもアクセスできる管理画面などの設定が残っていると、攻撃者に悪用されやすい。

これらの問題により、家庭や企業のIoT機器が攻撃者の踏み台になり、知らないうちに他者への攻撃に加担してしまう恐れがある。IoT機器のユーザーは、初期パスワードを強固なものに変更し、定期的なファームウェア更新や不要なサービスの停止を行うことでボットネット化を防げる。

3. DDoS攻撃の新たな潮流

3.1 攻撃代行サービスとIPストレッサー

DDoS攻撃を行うハードルが下がっている要因のひとつに、攻撃代行サービスの存在がある。警察庁が2024年8月に海外の DDoS 攻撃代行サービスの利用者を特定・逮捕した事案では、月額1,000円程度の低料金で攻撃が実行できる仕組みが提供されていた。このようなサービスは、専門的な知識がなくても攻撃を行えるため、悪質な犯罪の温床となっている。警察はDDoS攻撃への関与に対して強く警告しており、法的責任の重大さを理解する必要がある。

また、海外の「IPストレッサー」と呼ばれるネットサービスを利用して国内外の企業や学校にDDoS攻撃を仕掛けたとして、中学生が書類送検される事件も発生した。この事例は、若者が手軽に攻撃に手を染める危険性を示しており、教育現場での啓発が不可欠である。

3.2 ランサムDDoSとマルチベクトル攻撃

従来のDDoS攻撃は主にボリューム型（トラフィック量による攻撃）が中心だったが、近年はアプリケーション層やプロトコル層の脆弱性を突く多様な攻撃が組み合わされることが多い。ランサムDDoS攻撃では複数の攻撃ベクトルを組み合わせ、攻撃をより効果的にするためにアプリケーション層攻撃やランダムサブドメイン攻撃などが併用される。これにより、従来型の帯域拡張だけでは防ぎ切れないケースが増えている。国内外の報道では、CDNベンダーが提供するDDoS防御サービスが標的となった事例や、DNSサービスを狙った攻撃が確認されており、インターネット全体のサービス基盤を標的にする傾向が見える。生成AIによる攻撃自動化も懸念されており、攻撃者がAIを用いて多数のサブドメインを自動生成し、検知を回避する可能性が指摘されている。これらの新しい脅威に対しては、アプリケーション層防御や脅威インテリジェンスの活用が不可欠である。

4. DDoS攻撃への対策

DDoS攻撃への対策は、平時の準備、攻撃発生時の対処、攻撃に加担しないための対策の三つの観点から構築する必要がある。

4.1 平時の対策

1. 重要度に応じたサービス分類
   • 攻撃を受けた場合に継続すべきサービスと一時停止を許容できるサービスを選別し、重要なサービスには重点的に対策を実施する。顧客情報などを保管するシステムを他のシステムから分離し、アプリケーションやデータベースサーバーへの攻撃経路を限定する。
2. BCP/マニュアル整備と連絡先一覧
   • 攻撃発生時に迅速な対応ができるよう、社内外の連絡先や対応手順をまとめたマニュアルや事業継続計画（BCP）を策定する。ISP、クラウドプロバイダー、警察、関係省庁への連絡ルートを明確にする。
3. 通知手段の準備
   • 自社サイトが攻撃で閲覧できなくなった場合に備えて、SNSや別サーバーに設置した「ソーリーページ」で利用者に状況を通知する手段を準備する。
4. 防御サービス・機器の導入
   • DDoS防御サービスや専用アプライアンス、ISPが提供する対策サービスの利用を検討する。WAF、IDS/IPS、UTMなど複数の装置を組み合わせ、多層防御を構築する。また、サーバーやネットワーク機器の性能強化や回線の冗長化、CDNの利用を検討し、ランダムサブドメイン攻撃に備える。
5. オリジンサーバーの保護
   • CDN導入時はオリジンサーバーへのアクセスをCDNのみに制限し、IPアドレスの露出を避ける。過去に利用していたIPアドレスを変更し、第三者に特定されないようにする。

4.2 攻撃発生時の対処

1. 攻撃の監視と特定
   • アクセスログや通信ログを確認し、攻撃の発信元IPアドレスや攻撃方法を特定できる場合は、そのIPアドレスからのアクセスを遮断する。国外からのアクセスが必要ない場合は、一時的に海外IPアドレスをブロックすることも検討する。
2. ISPとの連携と警察への通報
   • 大規模または執拗な攻撃に対しては、組織内で対処しきれないため、ISP事業者やセキュリティベンダーと連携し、必要に応じて警察に通報する。警察や国家組織との連携は、攻撃者の特定や法的措置にもつながる。
3. トラフィックエンジニアリングとブラックホールルーティング
   • 攻撃トラフィックを分散したり無効化したりするため、BGPブラックホールルーティングや流量制御装置を活用する。ISPやクラウドプロバイダーと調整し、攻撃トラフィックを上流で遮断する仕組みを整える。
4. 被害報告と対策のアップデート
   • 攻撃発生時には、顧客や関係者への情報提供を迅速に行い、混乱を最小限に抑える。攻撃手口や防御効果を記録し、対策の強化に反映する。

4.3 攻撃に加担しないための対策

ボットネットの踏み台にならないためには、自組織の機器や個人所有の機器のセキュリティを強化する必要がある。具体的には以下の点が挙げられる。

1. パスワードの強化
   • 初期設定のままのパスワードがないか確認し、適切な複雑さのあるパスワードに変更する。
2. ソフトウェアの更新
   • ネットワーク機器やIoT機器のファームウェアやサービスが最新バージョンで運用されているか確認し、脆弱性を含むバージョンの使用を避ける。
3. 不要なサービスの無効化
   • 未使用のポートやサービスを無効化し、管理画面へのアクセスを制限する。特に機器の管理機能をインターネット側から利用する場合はアクセス元を絞り込む。
4. 内部ネットワークのセグメンテーション
   • 外部に直接接続されていない機器でもマルウェアに感染する可能性があるため、ネットワークを分割し感染拡大を防ぐ。
5. 通信監視と異常検知
   • 自組織の機器からインターネットへの通信を監視し、異常なトラフィックを早期に検知する。異常が見つかった場合はネットワークから隔離し、マルウェア感染の有無を調査する。

5. まとめと今後の展望

2024年度は、政治イベントに絡むDDoS攻撃やランサムDDoSの増加、IoTボットネットの大規模化、攻撃代行サービスの拡大など、DDoS脅威の多様化が顕著となった。年末年始に国内で相次いだ攻撃は、航空、金融、通信など社会基盤に大きな影響を与え、企業や利用者の間で危機意識を高める契機となった。攻撃者は安価で技術的ハードルの低いサービスを利用して攻撃を行い、IoT機器の脆弱性を悪用してボットネットを構築するなど、より効率的かつ広範囲に攻撃を仕掛けている。

防御策としては、重要サービスの分類とネットワーク分離、BCPの整備、DDoS防御サービスや多層防御製品の導入、オリジンサーバーの保護など平時の準備を怠らないことが重要である。攻撃発生時にはログ分析と遮断、ISPとの連携、警察への通報など迅速な対応が求められる。さらに、自組織や個人がボットネット攻撃に加担しないよう、機器のパスワード管理やアップデート、不要サービスの停止、通信監視を徹底する。

今後もDDoS攻撃は進化を続ける。AIや自動化ツールを利用した攻撃の高度化や、5G/6G時代におけるモバイルインフラへの新たな脅威が予想される。組織や個人は、最新の脅威情報を収集し、官民連携や国際協力を通じて共有しながら、柔軟に防御態勢を更新していく必要がある。情報処理安全確保支援士としては、こうした動向を踏まえた啓発や技術支援を行い、安全なデジタル社会の実現に貢献していくことが求められる。