タグ: マルウェア

Security NEWS TOPに戻る
バックナンバー TOPに戻る

Webサイトやオンラインサービスでアクセスが急増した場合、その原因が通常の利用増加なのか、DoS攻撃などによる異常な負荷なのかを早期に見極めることが重要です。判断を誤ると、サービス停止や業務影響につながるおそれがあります。

本記事では、アクセス急増時に確認すべきポイントを整理し、DoS攻撃による停止リスクが高まる状況の見分け方や、企業が優先して実施すべきDoS攻撃対策の考え方を解説します。用語解説にとどまらず、脆弱性管理や初動対応など実務で役立つ判断軸を中心にまとめています。

アクセス急増が起きたときに最初に考えるべきこと

アクセス数や通信量が増えること自体は、必ずしも問題ではありません。キャンペーンやメディア露出など、正当な理由でトラフィックが増加するケースも多くあります。

一方で、原因を確認しないまま放置すると、サーバやネットワークに過剰な負荷がかかり、応答遅延やエラーの多発、最悪の場合はサービス停止に発展します。重要なのは「増えている」という事実そのものではなく、なぜ増えているのかを切り分けることです。

最初の15分で確認すべき初動対応のポイント

アクセス急増を検知した直後は、次の観点を優先的に確認します。

• いつから増え始め、どの程度の時間継続しているか
• 影響が出ているのはどこか（ネットワーク、ロードバランサ、アプリケーション、DBなど）
• 帯域・リクエスト数・エラー率のどれが増えているか
• 直近で行ったリリースや設定変更の有無

この初動判断が、DoS攻撃か通常のアクセス増加かを見極める第一歩になります。

サービス停止につながる代表的な原因

アクセス急増や負荷増大の原因には、いくつかのパターンがあります。

一時的な正規アクセス集中

特定の時間帯やイベントをきっかけに利用が集中するケースです。多くの場合、時間の経過とともに自然に収束します。

設定不備・設計上の問題

アクセス制限やリソース管理が適切でないと、通常利用でも過剰な負荷がかかり、サービス停止を招くことがあります。

悪意ある大量リクエスト（DoS攻撃・DDoS攻撃）

意図的に大量の通信や処理を発生させ、サービスを利用不能にするケースです。一般にDoS攻撃やDDoS攻撃と呼ばれるものは、この原因の一つとして位置づけられます。

重要なのは、最初から攻撃と決めつけず、原因を整理して順序立てて切り分けることです。

DoS攻撃とは何か・DDos攻撃との違い

「DoS（Denial of Service）攻撃」とは、サーバやネットワークに過剰な負荷をかけることで、サービスを正常に利用できなくする攻撃手法です。単一の攻撃元から行われる場合もあれば、複数の端末を利用して分散的に行われるケースもあります。複数の分散した（Distributed）拠点から同時に行われるものは、「DDoS（Distributed Denial of Service）攻撃」と呼ばれます。

DDos攻撃について、SQAT.jpでは以下の記事でも解説しています。こちらもあわせてぜひご覧ください。
「記録破りのDDoS攻撃！サイバー脅威の拡大と企業が取るべき対策とは？」
「【徹底解説】 日本航空のDDoS攻撃被害の実態と復旧プロセス」

企業のWebサービスは外部公開されている性質上、DoS攻撃の影響を受けやすく、特に処理能力に余裕がない構成や設定不備がある環境では、比較的少ない負荷でもサービス停止に至ることがあります。DoS攻撃は「特別な脅威」ではなく、サービス停止リスクの一因として日常的に考慮すべきものです。

DoS攻撃 / DDoS攻撃の特徴

攻撃難易度の低さ

DoS攻撃/DDoS攻撃の特徴のひとつが攻撃の難易度の低さです。

多くの場合、コンピュータプログラムを書いてマルウェアを開発するような技術力は不要で、APTのような組織・資金・技術力もいりません。

インターネット上には、多数のDoS攻撃ツールが存在します。また、ストレステスト等の正規ツールを悪用してDoS攻撃を行う場合もあります。そればかりか、クレジットカードさえあればすぐに利用できる「DDoS攻撃を請け負う違法サービス」すら存在しています。

DoS攻撃/DDoS攻撃によるサービス停止は機会損失を生み、ブランド毀損は通常のサイバー攻撃より大きい場合もあります。また、直接攻撃対象とならなくても、攻撃の踏み台にされることで間接的な加害者となる危険性もあります。

社会・政治的動機

DoS攻撃、特にDDoS攻撃の特徴を示すキーワードが「社会・政治」です。

2010年、米大手決済サービスが、国際的な内部告発サイトが運営のために支援者から寄付を集める際に利用していた口座を、規約にしたがって凍結したことに対し、ハッカー集団がDDoS攻撃を実施、米大手決済サービスのサービスが一部停止する事態に陥りました。

このように、実施のハードルが低いDoS攻撃/DDoS攻撃は、人々が自身のさまざまな意思を表明するために、あたかもデモ行進のように実施されることがあります。かつては、DDoS攻撃をデモ活動同様の市民の権利として認めるべきであるという議論がまじめに行われていたこともありました。しかし、実際には「気に食わない」だけでもDDoS攻撃は行われ得るのです。社会課題の解決、ナショナリズム、倫理などを標榜していたとしても、端から見るとヘイトや嫌がらせと変わらないことがあります。

このような背景があるため、単に技術的な負荷として片付けられない場合もある点に留意が必要です。

ブランド毀損など、DoS攻撃/DDoS攻撃を受けた場合の被害が大きい

政治的、社会的、あるいは倫理的文脈から批判が集中した企業やサービスなどに対して、一度DoS攻撃/DDoS攻撃がはじまると、その趣旨に共感した人々が次々と参加し、ときに雪だるま式に拡大することがあるのもこの攻撃の特徴です。

また、DoS攻撃/DDoS攻撃は、攻撃が起こっていることが外部からもわかるという点で、外部に公表するまでは事故の発生がわからない情報漏えいのようなタイプのサイバー攻撃とは異なります。「広く一般に知られる」ことが容易に起こりうるため、ブランドへの負のインパクトが発生する可能性も大きいといえます。

DoS攻撃/DDoS攻撃の発生に気づくのが難しい

そもそもWebサービスは、その性質上外部に公開されるものです。そのためDoS攻撃やDDoS攻撃を完全に防ぐことは容易ではありません。特に多数の機器を踏み台として巻き込むDDoS攻撃の標的となった場合には、気づく間もなくあっという間にサービス拒否状態に陥る可能性が高いでしょう。

DoS攻撃による企業への影響とリスク

DoS攻撃による影響は、単なる一時的な停止にとどまりません。

• Webサイトやサービスが利用できなくなることによる機会損失
• 業務システム停止による業務遅延
• 顧客満足度の低下や信用・ブランドへの影響

特にBtoBサービスの場合、短時間の停止であっても取引先への影響が大きく、事後対応に多くの工数を要するケースがあります。

関連記事：「DoS攻撃/DDoS攻撃の脅威と対策」

DoS攻撃かどうかを見分けるための確認ポイント

アクセス急増時には、いくつかの観点から状況を確認することで、異常かどうかを判断しやすくなります。

タイミングと継続時間

増加のタイミングと継続時間です。特定の時間帯だけ集中しているのか、長時間にわたって負荷が続いているのかによって、想定される原因は異なります。

アクセス元・リクエスト内容

同じ操作やURLへのリクエストが繰り返されていないか、特定のIP帯や地域に偏っていないかを見ることで、通常利用との違いが見えてきます。

ログ・監視データから見る攻撃兆候

エラー発生状況やレスポンス時間の変化を確認することで、単なるアクセス増加なのか、処理を圧迫する挙動なのかを把握できます。

これらを総合的に確認することで、「様子見でよいケース」か「早急な対応が必要なケース」かを判断できます。

企業が優先して実施すべきDoS攻撃対策

DoS攻撃対策は、すべてを一度に実施する必要はありません。優先順位を付けて、自社環境に合った対策を選択することが重要です。

DoS攻撃/DDoS攻撃にも有効な3つの基本的対策

DoS攻撃、特にDDoS攻撃の対策としては、CDN（Content Delivery Networks）の利用、DDoS攻撃対策専用アプライアンス、WAF（Webアプリケーションファイアウォール）などが威力を発揮します。

そして、これらの対策を適用する際には、同時に、セキュリティ対策の基本ともいえる以下の3点に対応できているかどうかも確認しましょう。

1．必要のないサービス・プロセス・ポートは停止する
2．DoS攻撃/DDoS攻撃の端緒になりうる各種の不備を見つけて直す
3．脆弱性対策が施されたパッチを適用する

いずれもセキュリティ対策の「基本中の基本」といえるものばかりですが、防御可能なタイプのDoS攻撃を回避し、システムがDDoS攻撃の踏み台にされることを防ぐためにきわめて有効です。

DoS攻撃対策でよくある誤解と見落とし

DoS攻撃対策というと、高価な専用製品を導入しなければ防げないと考えられがちですが、それだけで十分とは限りません。「対策しているつもり」になっている状態や、運用面の確認が不十分なケースも多く見られます。日常的な設定確認や運用の見直しが、結果としてリスク低減につながります。

自社だけでの対応が難しい場合の考え方

アクセス急増の原因が複雑で判断が難しい場合や、継続的な運用に不安がある場合は、第三者の視点を取り入れることも有効です。定期的なセキュリティ診断や評価を通じて、自社では気づきにくいリスクを把握することができます。

脆弱性や設定不備を狙ったDoS攻撃は防ぐことができる

DoS攻撃/DDoS攻撃は攻撃の発生に気づくのが難しいという話を前段で述べましたが、一方で、防ぐことができるタイプの攻撃も存在します。

一部のWebサイトでは、「長大な文字列を受け入れてしまう」「ファイルの容量を制限しない」など、DoS攻撃につけ込まれてしまう問題が存在することがあります。また、ネットワーク関連の設定の不備によってDoS攻撃を受ける可能性も存在します。しかし、こうした脆弱性は、修正による回避が可能です。

また、あなたの企業が直接DoS攻撃の攻撃対象とならなくても、上述のような脆弱性を放置しておくとDDoS攻撃の踏み台にされることもあります。その対策としては、各種機器・OS・ソフトウェアの脆弱性管理を適切に行うことや、脆弱性診断等のセキュリティ診断を定期的に実施して未知のリスクを把握し、対処することが重要です。

診断会社あるある「すわ、DoS攻撃？」

ここで余談ではありますが、診断実施に伴う「あるある」エピソードを。

セキュリティ診断を行う際には、必ず、実施の年月日や時間帯を関連する部署に周知しなくてはなりません。

実は、診断実施に伴って事業部門等が「DoS攻撃が発生した！」と勘違いすることが、しばしばあるのです。もちろん、一般にインターネット上に公開しているシステムの場合には業務に差し支えるような検査の仕方をしないというのが大前提ですが、それでも、大量の問合せ等が発生すると何も知らされていない担当部署はサイバー攻撃と勘違いすることがあります。ついでにこの際に抜き打ちで社内のサイバー訓練を・・・と目論みたい気持ちが出たとしても、それを実行に移すのは大変危険です。訓練は訓練させる側にきちんとした検証シナリオがあってこそ効果を発揮します。まずは関係各所との連携を徹底するところから始めましょう。

まとめ

DoS攻撃は、特別なケースではなく、サービス停止リスクの一因として日常的に考慮すべきものです。

• アクセス急増時はまず原因を切り分ける
• DoS攻撃の影響と兆候を理解する
• 見分け方を把握し、初動対応を誤らない
• 優先順位を付けて対策・運用を進める
• 必要のないサービス・プロセス・ポートの停止、などの基本的対策が有効
• 脆弱性を突いて行われるDoS攻撃は、脆弱性診断などで発見し対策できる

これまで述べたように、DoS攻撃/DDoS攻撃は、機会損失やブランド毀損など事業継続性を損なうダメージをもたらし得るサイバー攻撃です。DDoS攻撃の踏み台となれば社会的責任が問われることもあるでしょう。経営課題のひとつとして認識し、対処することが大切です。

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

---

---