※本ブログは米国時間2025年7月31日に公開されたA10本社ブログの日本語訳です。原文はこちらからご覧ください。
A10 ネットワークスが最近発表したDDoS攻撃対策レポートでは、1,230万台に及ぶボットとアンプリファイアの地理的・組織的集中について解説しています。ボットとアンプリファイアは、世界中のあらゆる組織やサービスプロバイダに対し、より大規模で複雑かつ検知困難なDDoS攻撃を仕掛けるためにサイバー犯罪者が使用する武器です。AIツールと自動化技術は、サイバー攻撃の有効性を高めると同時に、これらの武器を使用するサイバー犯罪者のコストとリスクも低減しています。企業やサービスプロバイダにとって、ネットワーク、ウェブサイト、API、その他のデジタル資産に対するDDoS攻撃対策は、事業継続のために不可欠です。セキュリティチームは、サイバー犯罪の脅威が高度化する中で、サイバーセキュリティに必要な予算やリソースを維持するために絶えず奮闘しています。
今日では、数テラビット/秒(Tbps)を超えるボリューム型攻撃は珍しくなく、世界中に散在する1,200万台以上のアンプリファイアのいずれかを利用してIPアドレスを偽装し、攻撃元の検出を困難にしています。例えば、2025年4月には、6.5Tbps、48億パケット/秒というハイパーボリューム型マルチベクトル攻撃が報告されました。この攻撃では、147か国から3万以上のユニークなIPアドレス(DDoS武器)が使用され、SYNフラッド攻撃、Miraiボットネット、SSDPアンプ攻撃、CLDAP、ESPリフレクション/アンプ攻撃など、複数の攻撃ベクトルが使用されました。
本レポートに記載のように、アンプリファイアは、セキュリティ保護が不十分なIoTデバイスや、インターネット上で「公開」されているためサイバー侵入に対して脆弱な、設定ミスのあるネットワークエレメントから作成されます。これらの武器を保有する組織は、多くの場合、疑うことを知らない被害者であり、自分のデバイスが侵害され、攻撃に利用されていることに気づいていません。DDoS攻撃に悪用される「DDoS武器」は、接続デバイスが集中している中国や米国といった国々に多く存在します。しかし、これらの武器は世界中どこからでも利用され、DDoS攻撃に用いられる可能性があります。
ボットはDDoS攻撃にも関与しており、数百万ものアンプリファイアの取り込みと起動を担っています。レポートで取り上げた2025年の例では、A10によって151か国、数百の組織に分布する12万台以上のボットが特定されました。地域別で見ると、世界で追跡されているDDoSボットの89%がアジアに集中しており、世界のボットの80%が中国とインドに集中しています。Miraiなどのボットネットは進化と成長を続けており、現在では100以上の亜種が確認されています。
国家の支援を受けた攻撃者や、草の根のハクティビストたちは、DDoS武器を利用してネットワーク層への攻撃を仕掛けます。こうした攻撃は、重要インフラや政府機関のサービスを停止させることを目的とし、ウクライナでの戦争や2024年の米国、台湾、インド、英国の国政選挙といった出来事から、政治的な動機で実行されることが多くなっています。
企業が標的となるのは、金銭的利益を得るため、あるいは貴重な顧客認証情報を取得するためであることが多くあります。大規模なネットワーク層DDoS攻撃が依然として注目を集める一方で、高度かつ巧妙なアプリケーションレイヤ(レイヤ7)攻撃は、組織にとってより大きなセキュリティ上の課題となりえます。これらの攻撃は、APIゲートウェイ、DNS、Web、HTTPサービスのアプリケーションリソース(CPU、メモリ、スレッド)を枯渇させ、検知のための閾値を下回ることも少なくありません。
ここまでは、これまで発生したDDoS攻撃の中でも特に有名なものについて詳しく解説しました。ここからは、2025年のDDoS武器レポートに基づき、DDoS攻撃がどのように着実に進化してきたかを要約してご紹介します。
- 2025年 - クレデンシャルスタッフィングによるアプリケーションレイヤへのDDoS攻撃:
A10 ThreatXチームは、ある大規模な金融サービス組織に対するAPI攻撃を緩和しました。この攻撃は大量のHTTP/2リクエストを生成し、正規のモバイルアプリケーションを偽装したユーザエージェント文字列を偽装していました。攻撃には、121か国、1万3千以上のIPアドレスから198の顧客ウェブサイトに4万9千件のリクエストが行われていました。この攻撃の緩和には44種類のルールが使用されました。この攻撃は、サイバー犯罪者がDDoS攻撃と他の攻撃ベクトルを組み合わせる戦術を進化させていること、そして緩和にはより高度な技術が求められることを示しています。
- 2023年 - HTTP/2 Rapid Reset攻撃:
AWS、Google、Cloudflareに対する記録的なDDoS攻撃では、これまでよりもはるかに小規模なボットネットが使用されました。この攻撃は、RST_STREAMフレームを用いた迅速なリクエストキャンセルを可能にするHTTP/2の機能を悪用しました。この機能は、ストリームの開閉を継続的に行うことでサーバを圧倒し、リソース枯渇につながる可能性があります。
- 2020年10月 - Googleへの2.5Tbps攻撃:
攻撃者は複数のネットワークを利用し、公開されている18万台のCLDAP、DNS、SMTPサーバに対して167 Mppsの攻撃を仕掛けました。これは、十分なリソースを持つ攻撃者がいかに大規模な攻撃を仕掛けられるかを示しています。これは、1年前にMiraiボットネットが記録した623 Gbpsの攻撃の4倍に相当します。
- 2020年2月 - AWSへの2.3Tbps攻撃:
CLDAPリフレクションを用いて、身元不明のAWS顧客を標的とした攻撃でした。この手法は、脆弱なサードパーティのCLDAPサーバを利用し、被害者のIPアドレスに送信されるデータ量を56~70倍に増幅します。この攻撃は3日間続きました。
- 2018年2月 - GitHubへの1.35Tbps攻撃:
GitHubは20分間にわたりDDoS攻撃を受けました。GitHubによると、トラフィックは「数千もの異なる自律システム(ASN)にまたがる、数万のユニークなエンドポイント」から発信されたことが特定されています。
- 2016年9月~10月 - 620Gbps - 1.1Tbps、Miraiによる複数攻撃:
2016年のピーク時には、IPカメラ、ルータ、ビデオプレーヤーといった60万台以上のIoT機器がマルウェア「Mirai」に感染し、ボットネットを形成していました。
- 2016年9月: Brian Krebsサイバーセキュリティブログへの攻撃
- 2016年10月: OVHへの1.1Tbpsの攻撃
- 2016年10月: DNSプロバイダDynへの1.5Tbpsの攻撃
- Miraiエコシステムは現在、数百のボットネットに細分化されており、新たなIoTの脆弱性を悪用し続けています。
A10の2025年版DDoS武器レポートでは、サイバー犯罪者が利用可能な1,230万という膨大な数のDDoS武器について詳しく分析しています。これらの武器は、大規模な攻撃だけでなく、より複雑で巧妙なキャンペーンにも利用されています。もはや単にトラフィック量を軽減するだけの対策では不十分であり、企業はより高いレベルの警戒とセキュリティ投資が求められるでしょう。
※A10 ロゴ、A10 Networks、A10 Thunderは米国およびその他各国におけるA10 Networks, Inc. の商標または登録商標です。
※その他上記の全ての商品およびサービスの名称はそれら各社の商標です。
