【新着】組織内での共有・無制限視聴OK!「情報セキュリティ研修」動画パッケージ販売中 >

DDoS攻撃の事例から学ぶ!企業が備えるべき対策とインシデント体制のポイント

インシデント・事例

「自社のシステム規模なら、大規模なサイバー攻撃の標的にはならないだろう」

「DDoS攻撃を受けると、具体的にどのようなビジネス上の被害が発生するのだろうか」

Webサイトやクラウドサービスが企業の営業活動・サービス提供のインフラとなった現代において、サービスの停止は避けるべき重大な経営リスクです。

サービスの可用性(正常に使い続けられる状態)を直接脅かす「DDoS(分散型サービス拒否)攻撃」は、年々巧妙化を続けています。

DDoS攻撃の脅威は、特定の巨大企業だけにとどまりません。現在は、規模を問わずさまざまな組織が攻撃対象となっています。

本記事では、客観的なDDoS攻撃の被害事例をもとに、そこから得られる教訓と、企業がガバナンスとして備えるべき技術的・組織的な防衛ポイントをわかりやすく解説します。

1. 事例から学ぶDDoS攻撃の脅威と手口

DDoS攻撃の具体的な脅威を理解するために、セキュリティシーンで発生した代表的な攻撃のフォーマットと、その被害の広がりを客観的実例から見ていきましょう。

事例①:Miraiによる大規模DDoS攻撃

2016年に大きなニュースとなったのが、マルウェア「Mirai(ミライ)」によるDDoS攻撃です。

ハッカーは、セキュリティの脆弱な防犯カメラやルーターなどの「IoT機器」に次々と感染して乗っ取り、巨大な「ボットネット(攻撃軍団)」を形成しました。

このボットネットが、米国の主要なDNS(ドメイン名システム)サービス事業者である「Dyn(ダイン)社」を襲った結果、同社のサービスを利用していたTwitter(当時)、Netflix、Reddit、Spotifyなどの大手有名Webサイトやクラウドサービスが数時間にわたり断続的にアクセス不能、または接続遅延に陥りました。

  • 教訓:自社サーバーの性能だけでは、大量の通信による負荷を防ぎきれない場合があります。そのため、CDNやDDoS対策サービスを組み合わせた多層的な対策が重要です。

事例②:身代金を要求する「ランサムDDoS(RDDoS)」の発生

特定のハッカー集団が、国内外の金融機関、ECサイト、航空会社などに対して「指定口座に暗号資産を振り込まなければ、システム繁忙期に大規模なDDoS攻撃を仕掛けてビジネスを停止させる」という恐喝メールを送りつける事例が発生しています。

国内でもJPCERT/CCなどが注意喚起を行ってきました。

攻撃者の要求を拒否した結果、一時的にWebサイトや公開サーバーがダウンし、サービス停止による機会損失や企業の信用低下につながるおそれがあります。

事例③:別の攻撃と組み合わせて行われるケース

DDoS攻撃は、単独で実施されるだけでなく、不正アクセスなど別の攻撃と組み合わせて行われるケースもあります。

例えば、攻撃者が裏側で機密データの窃取やマルウェアの侵入を計画している際、表舞台であるコーポレートサイトや顧客向けログイン画面に派手なDDoS攻撃を仕掛けることがあります。

システムの管理担当者がDDoS攻撃の復旧対応に追われている隙を突き、別の脆弱性から静かに侵入して重要な情報を盗み出すというハイブリッドな手口です。

2. 事例から導き出す「企業が備えるべき3つの防壁」

これらの事例や手口を踏まえ、企業が取るべき実効性の高い対策(多層防御ルーティン)は大きく分けて3つあります。

1.CDN(コンテンツ配信ネットワーク)サービスの活用:通信負荷の軽減。

自社のオリジンサーバー(本尊)の手前に、CDNサービス(例:Cloudflareなど)を配置します。

世界中に分散されたキャッシュサーバーが通信を受け止めるため、攻撃トラフィックを分散・吸収し、サーバーへの負荷軽減が期待できます。

2.WAF(Webアプリケーションファイアウォール)の導入:特定レイヤーの保護。

Webサイトのお問い合わせフォームの連打など、アプリケーション層を狙う一部の攻撃への対策としてWAFの導入が有効です。

ボット特有の不自然なリクエストパターンを検知し、自動的にブロックします。

3.CSIRT(インシデント対応チーム)の初動プレイブック作成:組織体制の整備。

「アクセス障害が発生した際、それがシステム負荷なのかサイバー攻撃(DDoS)なのか」を迅速に判断し、回線事業者やセキュリティベンダーと連携して通信制限などをかけるワークフロー(プレイブック)を事前に定めておきます。

3. 組織のレジリエンス(回復力)を高めるためのガバナンス

DDoS攻撃の事例が教える最大の教訓は、技術的な対策を入れるだけでなく、有事における組織の動き方をあらかじめデザインしておくことの大切さです。

もしDDoS攻撃を疑う事象が発生した場合、以下のガバナンス(防衛マインド)が徹底されているかで被害の規模が変わります。

① 別の不正アクセスの可能性も並行して警戒する

前述の通り、DDoS攻撃は情報漏えいなどを隠す煙幕として悪用されるケースがあります。

「サイトが重い」というトラブルへの対応にリソースを割いている最中であっても、必要に応じてセキュリティベンダーやSOC(セキュリティオペレーションセンター)と連携しながら、機密データが保管されているサーバーのアクセスログや特権アカウントの動きを同時に、別ラインで監視し続けるルーティンが推奨されます。

② 対外的な広報(アナウンス)のタイムラインを決めておく

システムが停止した際、カスタマーサポートや広報部門が「何が起きているか分からない」状態だと、顧客の不安を煽り、二次的なクレーム対応で組織がさらに混乱します。

「第一報は障害検知から〇分以内に出す」「サイバー攻撃の可能性がある場合の表現マニュアル」などを事前に準備しておくことが、企業の社会的信用を守る盾となります。

まとめ:過去の事例を自社の「明日の盾」に変える

DDoS攻撃は、かつてのような愉快犯の嫌がらせだけでなく、経済的利益の要求や、より致命的な不正アクセスを隠蔽するための手段としても用いられています。

  • 大量の通信による負荷は、自社サーバーの性能だけでは防ぎきれない場合がある。
  • DDoSの裏で別の不正アクセスが動いていないか、多角的に監視・連携できる体制が必要。
  • CDNやWAFによる技術的防御と、CSIRTを中心とした有事の初動体制(プレイブック)の整備という「両輪」を整えることが重要。

過去に発生した被害の客観的事実を自社の教訓とし、サイバー脅威に脅かされない強固なビジネス基盤をデザインしていきましょう。

情報セキュリティ研修をご検討中の方へ

当サイトでは、企業・自治体向けに以下のサービスをご提供しています。

  • 研修動画パッケージ(買い切り型)
  • 講師派遣による対面・オンライン研修
  • 社内啓発に活用できる無料「情報セキュリティ10箇条」ポスター

動画研修には、スライド一式・理解度確認テスト・研修実施報告書テンプレート・社内掲示用ポスターも付属しており、研修担当者の負担軽減にも役立ちます。

料金やカリキュラムの詳細は、[情報セキュリティ研修サービス一覧] をご覧ください。

タイトルとURLをコピーしました