国内でも活発化するDDoS攻撃の事例を解説～攻撃者の目的や対策は？～

活発化するDDoS攻撃

警察庁は2024年12月、ユーロポール主導の国際共同捜査「Operation Powe Off」によって、DDoS攻撃を代行する27のITインフラを機能停止させたことを発表しました。また、これに関連した国内での日本警察の対応として、DDoS攻撃実行者の逮捕やDDoSサービス利用者の任意送致及びを児童相談所への通告についても報告されています。

参考記事：DDoS攻撃とは？～DoS攻撃との違い～

上記発表とも関連しますが、2024年8月には、警察庁サイバー特別捜査部が大分県の配管工の男をDDoS攻撃の実行犯の疑いで逮捕したことが報じられました。また、同年11月にも京都市に住む中国籍の夫婦を、京都府警が電子計算機損壊等業務妨害の疑いで逮捕したことが報じられるなどDDoS攻撃に関連した事件の動きが活発です。

サイバー空間では、実質的にDDoS攻撃を代行するサービスが存在し、一定の金額を支払い、攻撃先を指定するだけでDDoS攻撃が実行されるため、技術的な知識を持たない人物であっても特定のサーバを攻撃することが可能な状況になっています。

ただし、実際に摘発が実施されていることからもわかる通り、これらのサービスの利用は企業側に大きな被害をもたらす可能性のある犯罪行為であり、いたずら半分などで実行した場合も懲役等に処される可能性があることについて警察庁からも注意喚起が出されています。

本稿では、DDoS攻撃が法人組織に行われた事例や様々な目的について解説します。

DDoS攻撃の事例

トレンドマイクロでは、独自に国内組織が公表したインシデント情報を集計しています。2024年にDDoS攻撃の被害を公表した法人組織として下記3つが挙げられます。

公表時期	被害組織	DDoS攻撃の影響
2024年2月	モイ株式会社	ライブ配信サービス「ツイキャス」にアクセスしづらくなる、ライブ配信を視聴しづらくなる、トップページが表示されなくなる
2024年2月	横須賀市	横須賀市のホームページが閲覧できなくなる
2024年6月	株式会社ヒナプロジェクト	小説家になろうトップページ及び小説投稿ページの表示が通常より遅い、応答が返ってこないといった事象が発生

また、上記以外にも公表情報ではありませんが、2024年5月には東日本旅客鉄道株式会社において「通常とは異なる多数のアクセスを受けた」として「モバイルSuica」に電子マネーをチャージできない障害が発生したことなども報じられています。

DDoS攻撃は長年にわたり使用されてきた古典的なサイバー攻撃手法の1つですが、いまでもなお法人組織に被害をもたらす攻撃の1つであることがこれらの事例からわかります。

また、多数のユーザを抱える、または人々の生活基盤となるサービスが影響を受けていることからも、その被害が対象企業だけにとどまらず広い範囲に影響をもたらすことも特徴の1つです。

昨今政府にて議論がなされている能動的サイバー防御でも、攻撃者サーバの無力化について言及されていますが、こうした人々の生活に影響を与えるようなDDoS攻撃のインフラ（サーバ）も、無力化の対象となる可能性があります。

DDoS攻撃の狙い

現在でも、多くの被害が発生しているDDoS攻撃ですが、その目的は攻撃者により様々です。よりDDoS攻撃のリスクを正確に把握するためには、攻撃者の目的を把握することも重要です。

具体的にDDoS攻撃の狙いとして、どのようなものがあるかいくつか例示します。

いたずら・好奇心

DDoS攻撃は代行サイトなどにより、専門的な知識なしで攻撃が実現できてしまうため、いわゆる興味本位やいたずら心を刺激されることで、実行される場合があります。

冒頭の警察庁の発表でも言及されていた通り、2024年10月には中学生が書類送検や児童相談所に通告される事態が発生しましたが、その動機として「YouTubeでDDoS攻撃の動画を見て、かっこいいと思った」ことやDDoS攻撃のことを知り「外国に攻撃してみたいと思った」などと語っていたことが報じられました。

こうした明確な悪意を持たない興味本位での行動によっても、DDoS攻撃が発生してしまうということに組織の側においては注意が必要です。また、同時に社会全体でこの行為が犯罪であることを周知していくことも必要な取り組みであると言えます。

私怨や個人的不満

こちらも興味本位などと同様に、誰でもDDoS攻撃が実行可能な状況が整ってしまっているがゆえに、攻撃対象のサイトやサーバに対する何かしらの不満や、特定の個人的な感情に起因して、DDoS攻撃が行われる可能性があります。

例えば冒頭で紹介した2024年8月の配管工の男性によるDDoS攻撃の動機は、「ストレス発散だった」ことが報じられています。同様に、同年11月の中国人夫婦によるDDoS攻撃の動機は「被害組織に対する資金提供などの依頼を断られた」ことであったことが報じられています。

このように一般人による個人的感情に起因する形で、無差別的または集中的なDDoS攻撃が行われた事例が存在しています。この場合攻撃の発生要因が、必ずしも自社と特定個人の関係性に起因しなかったり、合理的な判断によるものではないことから、攻撃の発生を予測することは難しい側面があります。

組織のセキュリティ担当者はDDoS攻撃の発生確率が0にならないことを理解し、必要なセキュリティ対策を施すとともに、素早く警察への被害届を出すなど、官民で連携して攻撃者を摘発する活動が重要です。

地政学的な意図による妨害

地政学的な紛争や国際関係のもつれに起因して、政治的混乱や攻撃対象国における国民生活の妨害などを意図してDDoS攻撃が実行される場合があります。

2023年2月から3月にかけて、政府機関や重要インフラ事業者等を含む複数の組織・団体等のウェブサイトにおいて閲覧障害が断続的に発生したことを警察庁が報告しています。この一部の事案については、ＳＮＳ上でハクティビスト（政治的あるいは社会的な主張・目的のためにサイバー攻撃を行う活動家や集団）や親ロシア派ハッカー集団からの犯行をほのめかす投稿が確認されたことも合わせて報告されています。

また同年5月にはＧ７広島サミット開催期間中に、広島市ウェブサイトにおいてDDoS攻撃によるものとみられる閲覧障害が発生したことも同報告書に記載されています。

これらの活動は、必ずしもハクティビストやハッカー集団が行ったものかどうか定かではなく、時世に乗じた愉快犯等である可能性もありますが、注目すべき点は国際的な摩擦や運動が活発化する際に、DDoS攻撃も合わせて活発化する可能性があるという点です。

特に公的または国家と関連する事業を取り扱う組織においては、こうした影響が自社に及ぶ可能性を含めてDDoS攻撃のリスクを見積もっておくべきと言えます。

金銭目的

複数のランサムウェアを用いた攻撃者がファイルの可用性を人質に取った脅迫を行うだけでなく、盗み出した情報を暴露・公開する意思を示すことで、その機密性をも人質に取る「二重脅迫」の形式を採用していることは、現在周知の事実です。

ただし、さらなる攻撃者の狡猾な手口としてDDoS攻撃をその脅迫材料に盛り込む「三重脅迫」を用いるグループが存在することに注意が必要です。これはランサムウェアの被害組織に残存するWebサイトなどの資産に対しても、その可用性を人質に取ることでさらに被害者を追い込み、身代金支払い圧力を高める手法です。

実際に、2021年に米国のコロニアルパイプラインにランサムウェア攻撃を仕掛け、米国東海岸の都市に大きな影響をもたらしたサイバー犯罪グループ「DarkSide」は3段階目の脅迫材料として、DDoS攻撃の選択肢を提供するRaaSグループです。

ランサムウェアの被害を懸念する組織においては、暗号化を免れたシステムであっても、DDoS攻撃による脅迫が攻撃者によって選択される可能性があることを踏まえて、侵害シナリオを想定しておく必要があります。

ここに例示した以外にも、特定の組織が競合となる組織の不利益を望むような場合、DDoS攻撃を実行するケースも考えられます。その際、特定の個人に金銭報酬や扇動材料を提示して、代行サービスに依頼させるようなシナリオも想定でき、DDoS攻撃の首謀者の目的は、今後より特定が難しくなっていくと予想できます。

DDoS攻撃への対策

DDoS攻撃への対策についても、ランサムウェアなどのサイバー攻撃対策同様、複数の対策を組み合わせて実施することでリスクを低減することができます。

まず、基本的な対策として、そもそものITインフラ環境を強化することが挙げられます。これは通常よりも大きいトラフィックに対応できる帯域幅の確保、ロードバランサ―やCDN（コンテンツデリバリーネットワーク、世界各地に分散配置されたキャッシュサーバ群からコンテンツを配信することで、ユーザに高速かつ安定したコンテンツ配信を提供する技術）を活用してトラフィックを分散、影響を緩和することを指します。

次に、不要なサービスやポートを無効化しておくなどのネットワーク制御が挙げられます。関連してアクセス可能なIPアドレスや同一IPアドレスからのアクセス回数を制限するなども対策の一つです。サイトやサービスの性質上、接続する必要がないIPアドレス（例えば国外向けには提供していない）との通信は接続拒否しておくことも有効です。ただし、DDoS攻撃は複数のIPアドレスを併用し、またアドレスを偽装する場合もあることから、これだけで高い安全性にはつながりません、

これらに加えて、WAF（ウェブアプリケーションファイアウォール）やネットワーク監視ソリューションを併用することで、不審または異常なトラフィックをフィルタリングまたは素早く検知することで、より安全性を高めることが可能です。

さらに安全性に懸念がある場合は、専門ベンダが提供するDDoS攻撃対策サービスを活用することを推奨します。これらのサービスではDDoS攻撃の検知やトラフィックの緩和といった機能が提供されており、素早い対処や強靭性の向上を図ることが可能です。

セキュリティチームにおいては、どのような組織もDDoS攻撃を受ける可能性があることを認識し、実際に攻撃を受けた場合にどのように対処するか、事前にシナリオを検討し、計画を立てておくことも対応策の一つと言えます。

関連記事：
・いまさら聞けないNDRの有効性～EDRとはどう違う？
・ハクティビストとは？日本を標的とした最新のサイバー攻撃を解説