DDoS攻撃とは？中小企業でもできる被害防止策・事例・緊急時対応を徹底解説

自社のWebサイトがある日突然ダウンし、サービスが停止する原因の一つが「DDoS攻撃」です。かつては大手企業が標的でしたが、今や企業規模を問わず、すべての中小企業にとって深刻な経営リスクとなっています。

「うちは大丈夫」という油断が、売上機会の損失や顧客の信頼失墜に直結しかねません。

この記事では、DDoS攻撃の基本から、中小企業が今すぐ始められる具体的な対策、そして万が一攻撃を受けた際の冷静な対処法までを網羅的に解説します。

「情報漏洩」 も、DDoS攻撃と同様に、企業の信頼を揺るがす重大なリスクです。DDoS攻撃への対策とあわせて、もう一つの脅威である情報漏洩対策も万全にしておきましょう。以下の資料で、情報漏洩の原因から対策までを解説しています。ぜひご活用ください。

DDoS攻撃とは何か？

Webサイトやサーバーが突然ダウンし、サービスが提供できなくなるといったトラブルの原因の一つに「DDoS攻撃」があります。

参考）総務省サイバーセキュリティ統括官室「DDoS攻撃の傾向と対策について」

DDoS攻撃の読み方と基本的な意味

DDoS攻撃は「ディードスこうげき」と読みます。正式名称は「Distributed Denial of Service attack」で、日本語では「分散型サービス妨害攻撃」と訳されます。

これを簡単に例えるなら、お店への悪質な集団嫌がらせです。

例えば、お店に100人のクレーマーが一斉に電話をかけ続け、回線をパンクさせると、本当に商品を注文したいお客様からの電話がまったくつながらなくなってしまいます。

DDoS攻撃は、これと同じことをインターネット上でおこないます。

DDoS攻撃とDoS攻撃の違いとは？

DDoS攻撃とDoS攻撃の大きな違いは、攻撃元の数です。DDoS攻撃は多数のコンピューターから一斉に攻撃するため、DoS攻撃よりも大規模で、防御が非常に困難になります。

比較項目	DoS攻撃	DDoS攻撃
正式名称	サービス妨害攻撃	分散型サービス妨害攻撃
攻撃元の数	単一 (1台)	複数・分散 (多数)
攻撃の規模	比較的、小規模	大規模
検知・防御	比較的、容易（攻撃元IPを特定し遮断）	非常に困難（攻撃元が多数で特定が難しい）
例えるなら	1人からの"いたずら電話"	大勢からの"集団迷惑電話"

なぜDDoS攻撃はおこなわれるのか？その目的と動機

なぜ、わざわざこのようなDDoS攻撃がおこなわれるのでしょうか。その目的や動機はさまざまですが、主に以下のようなものが挙げられます。

• 金銭の要求（身代金）
• 競合他社への妨害
• 思想的な主張・抗議活動
• 個人的な恨みや愉快犯

このように、DDoS攻撃はさまざまな動機からおこなわれ、企業規模の大小を問わず、あらゆる組織がターゲットになり得るのです。

中小企業も無関係ではない！DDoS攻撃の脅威と最新ニュース

現代のサイバー攻撃において、DDoS攻撃は企業規模を問わず、すべての組織にとって深刻な脅威となっています。

DDoS攻撃がもたらす深刻な経営リスク

DDoS攻撃による被害は、単にWebサイトが一時的に見られなくなるだけでは済みません。企業の存続にも関わる、以下のような深刻な経営リスクを内包しています。

• 直接的な売上機会の損失
  • ECサイトや予約サイトが停止すれば、その間の売上はゼロに
  • 復旧が長引くほど、失われる利益は雪だるま式に増えていく

• 顧客離れと信用の失墜
  • 「いざという時に使えない」「セキュリティが甘い」という印象は、顧客の信頼を大きく損なう
  • 一度離れた顧客を取り戻すのは容易ではなく、長期的なブランドイメージの低下につながる

• 想定外の復旧・対策コスト
  • サーバーの復旧作業や原因調査、再発防止策の導入には多額のコストが発生
  • 従量課金制のクラウドサービスを利用している場合、攻撃によって発生した膨大なアクセス量に対して高額な請求が発生

• ほかのサイバー攻撃の隠れ蓑にされる
  • DDoS攻撃への対応に追われている裏で、実は機密情報や個人情報を盗み出すための本格的なハッキングがおこなわれている可能性
  • DDoS攻撃は、より深刻な被害を隠すための「陽動」として使われることがある

狙われやすい企業の特徴と背景

「うちは有名企業ではないから大丈夫」という考えは通用しません。近年のDDoS攻撃では、以下のような特徴を持つ中小企業がターゲットになるケースが増えています。

• セキュリティ対策が手薄な企業
• 大手企業の取引先（サプライチェーン）になっている企業
• 狙われやすい業界・サービスを展開している企業

DDoS攻撃者は必ずしも「有名な企業」を狙っているわけではありません。攻撃が成功しそうな脆弱な相手を探しており、その対象として中小企業が選ばれることが少なくないのです。

最近のDDoS攻撃ニュースから見る、巧妙化・大規模化する手口

総務省が公開している近年のDDoS攻撃事例を見ると、その手口が急速に巧妙化・大規模化していることがわかります。

参考）総務省サイバーセキュリティ統括官室「DDoS攻撃の傾向と対策について」p.7

• 観測史上最大規模の攻撃が多発
  2023年にはGoogle社やCloudflare社が、それぞれ過去最大規模となる毎秒数億リクエストというとてつもない量のDDoS攻撃を観測したと報告しています。
  
  
• 新しい技術の弱点を突く巧妙な手口
  HTTP/2という新しい通信技術の弱点を悪用した「ラピッドリセット攻撃」のような、これまでの防御手法が効きにくい新種の攻撃が確認されています。
  
  
• 身近なIoT機器が攻撃に悪用される
  国内のWi-Fiルーターや監視カメラといった、私たちの身近にあるIoT機器がウイルスに感染させられ、DDoS攻撃の踏み台（ボットネット）として悪用される事例が報告されていることです。
  
  
• 標的は大手IT企業から重要インフラまで
  攻撃対象は、Microsoftのような大手IT企業だけでなく、日本の政府機関サイト（e-Gov）やポーランドの鉄道システム、ウクライナの通信事業者など、国の重要インフラにまで及んでいます。
  
  

参考記事：情報セキュリティの3要素とは？中小企業が気を付けるべきことも解説

知っておくべきDDoS攻撃の主な種類

DDoS攻撃は、攻撃の対象となるレイヤー（階層）によって、その種類が異なります。ここでは、中小企業が知っておくべき代表的な3つの攻撃手法について解説します。

TCP（SYN）フラッド

SYNフラッド攻撃は、Webサイトへのアクセス要求が大量に送られることで、サーバーの処理能力を超過させてダウンさせる手法です。

Webサイトへの通常のアクセスは、以下の「3ウェイ・ハンドシェイク」という手順でおこなわれます。

1. アクセス要求（SYN）：ユーザーからサーバーに「アクセスしたいです」という要求
2. 応答（SYN-ACK）：サーバーは「いいですよ」と承諾
3. 接続確立（ACK）：ユーザーが「ありがとう」と返信することで、接続が確立

SYNフラッド攻撃は、この手順の1番目「アクセス要求（SYN）」を大量に送りつけるDDoS攻撃です。

HTTP フラッド

HTTPフラッド攻撃は、Webサイトへのアクセスに用いられるHTTPプロトコルを悪用した攻撃です。

通常のアクセスでは、ユーザーがWebサイトのページを閲覧したり、画像を読み込んだりする際にHTTPリクエストが送られます。しかし、HTTPフラッド攻撃では、大量のHTTPリクエストを短時間に繰り返し送ることで、サーバーに過剰な負荷をかけます。

UDP フラッド

UDPフラッド攻撃は、DNSやNTPといった特定のプロトコルを悪用したDDoS攻撃です。これらのプロトコルは、Webサイトのドメイン名をIPアドレスに変換したり、時刻同期をおこなったりするために利用されます。

UDPは、TCPと異なり、通信相手との接続確認をおこなわない「コネクションレス型」のプロトコルです。この特徴を悪用し、攻撃者は大量の偽装されたUDPパケットをサーバーに送りつけます。

【中小企業向け】今すぐ始められるDDoS攻撃の具体的な対策

専門的な知識や高額な費用がなくても、今すぐ始められるDDoS攻撃対策は数多くあります。

ここでは、内閣サイバーセキュリティセンター（NISC）も推奨する基本的な対策4つをご紹介します。

参考）内閣サイバーセキュリティセンター「DDoS 攻撃への対策について（注意喚起）」

推測されにくいパスワードへの変更と定期的な見直し

弱いパスワードは、DDoS攻撃者によって簡単に破られ、機器を乗っ取られてしまいます。

対策のポイント

• 英大文字、小文字、数字、記号を組み合わせ、10文字以上の長く複雑なパスワードを設定する。
• ほかのサービスとの使い回しは避ける。
• サーバーや機器の管理者アカウントだけでなく、利用するすべての従業員のアカウントで徹底する。

利用中のレンタルサーバーが提供する無料のDDoS対策機能を確認・有効化する

契約しているサーバー会社の公式サイトや管理画面を確認し、「DDoS保護サービス」「WAF（Web Application Firewall）標準装備」といった記載があれば、基本的な攻撃はサーバー側である程度防いでくれる可能性があります。

対策のポイント

• レンタルサーバーの管理画面にログインし、セキュリティ関連の設定項目を確認する。
• 不明な点があれば、サポートデスクにDDoS攻撃への標準対策があるか問い合わせてみる。
• 無料で有効化できる機能があれば、すぐに設定をONにする。

追加コストをかけずに、今ある環境を最大限活用することが重要です。

【ビジネスに影響がない場合】海外からのIPアドレスアクセスを制限する

DDoS攻撃の多くは海外のサーバーを踏み台にしておこなわれるため、海外からのアクセスを遮断するだけで、攻撃を受けるリスクを大幅に減らせます。

多くのレンタルサーバーでは、管理画面から簡単に国単位でのアクセス制限設定が可能です。

対策のポイント

• 自社のWebサイトが、海外の顧客や取引先からのアクセスを必要とするかを確認する。
• 影響がないと判断できれば、サーバーの管理画面にある「IPアドレス制限」「海外IPブロック」などの機能を探して設定する。

この設定は、DDoS攻撃だけでなく、海外からの不正ログインやスパムなどの迷惑行為を防ぐ効果も期待できます。

専門サービスの導入で安心を手に入れる

Webサイトが事業の根幹を担っている、あるいは個人情報のような重要なデータを扱っている場合は、DDoS攻撃に備えてより高度な専門サービスの導入が必要となるかもしれません。

• WAF (Web Application Firewall)
  Webサイトの手前に立つ「用心棒」のようなものです。DDoS攻撃だけでなく、Webサイトの脆弱性を狙ったさまざまな攻撃から守ってくれます。
  
  
• CDN (Content Delivery Network)
  世界中に身代わりとなるサーバー（キャッシュサーバー）を配置し、アクセスを分散させる仕組みです。大量のアクセスが来ても、本体のサーバーがダウンしにくくなります。
  
  

これらのサービスは、以前は高価なものが中心でしたが、現在は中小企業でも導入しやすい安価なプランが増えています。

万が一DDoS攻撃を受けたら？慌てないための対処フロー

大切なのは、DDoS攻撃を受けた際にパニックにならず、冷静に、順序立てて行動することです。ここでは、万が一の事態に備えるための3つのステップをご紹介します。

ステップ1：攻撃の検知と影響範囲の確認

「本当にDDoS攻撃なのか」「どこまで影響が出ているのか」を客観的に把握することが重要です。

• 異常の検知
  以下のような症状が発生していないか確認します。
  • Webサイトがまったく表示されない、または表示が極端に遅い。
  • サーバーの管理画面で、CPU使用率やネットワーク転送量が異常な数値を示している。
  • 顧客や外部から「サイトが見られない」という問い合わせが急増している。

• 状況の切り分け
  サイトが表示されない原因は、DDoS攻撃だけとは限りません。プログラムの不具合やサーバーの物理的な故障の可能性もあります。
  
  サーバーのアクセスログを確認し、不自然に大量のアクセスが、特定の、あるいは無数のIPアドレスから発生していないかを確認します。これが確認できれば、DDoS攻撃である可能性が濃厚です。
  
  
• 影響範囲の確認
  Webサイトだけでなく、メールの送受信や、連携しているほかのシステムにまで影響が及んでいないかを確認します。
  
  

ステップ2：社内と外部関係者への迅速な連絡

DDoS攻撃の状況がある程度把握できたら、関係各所へ迅速に情報を共有し、混乱を最小限に抑えます。

• 社内への連絡
  自社の経営層、情報システム部門に、DDoS攻撃を受けている可能性について、簡潔に事実を報告します。また、問い合わせが増えることを見越して、顧客対応部門にも状況を共有しておくことが重要です。
  
  
• 外部（顧客・取引先）へのお知らせ
  Webサイトが閲覧できない場合、SNS（X（旧Twitter）など）の公式アカウントや、契約しているサーバー会社が提供する障害情報ページなどを通じて、状況を正直に、かつ簡潔に知らせます。
  
  （例文）
  「ただいま、弊社Webサイトにアクセスしにくい状況が発生しております。原因を調査し、復旧に全力を尽くしております。ご迷惑をおかけし大変申し訳ございませんが、今しばらくお待ちください。」
  
  

憶測で原因を断定せず、まずは事実と復旧に努めている姿勢を伝えることが信頼の維持につながります。

ステップ3：契約しているサーバー会社や専門家への相談

DDoS攻撃は、自社だけで解決しようとせず、速やかに専門家の助けを借りることが、早期復旧への一番の近道です。

• 契約サーバー会社への連絡
  最優先しておこなうべき行動です。契約しているレンタルサーバーやクラウドサービスのサポートデスクに緊急連絡を入れ、DDoS攻撃を受けている可能性があることを伝えます。
  
  
• セキュリティ専門家への相談
  サーバー会社で対応しきれない大規模・巧妙な攻撃の場合や、自社に専門知識を持つ担当者がいない場合は、セキュリティ専門会社への相談も視野に入れます。事前に緊急連絡先をリストアップしておくと、いざという時にスムーズです。
  
  
• 公的機関への届け出
  DDoS攻撃は悪質な犯罪行為です。状況が落ち着いたら、最寄りの都道府県警察のサイバー犯罪相談窓口や、IPA（情報処理推進機構）などの公的機関に被害を報告・相談することも重要です。
  
  

参考）国家サイバー統括室「インシデント報告様式の統一について」

まとめ

この記事では、DDoS攻撃の基本から具体的な対策、緊急時の対処法までを解説しました。

DDoS攻撃は、もはや「他人事」ではなく、ビジネスの存続を脅かす身近なサイバー攻撃です。しかし、その脅威は事前の「備え」によって大きく軽減できます。

まずは、パスワードの強化や利用中サーバーのセキュリティ機能の確認といった、コストをかけずに今すぐできることから始めてみましょう。

一つひとつの地道な対策が、会社の信用とビジネスを守る大きな力となります。今日の対策が、未来の安心につながるのです。