これまでに記録された最大の DDoS 攻撃は何ですか?

Cloudflare は 2025 年 5 月に 7.3 Tbps の DDoS 攻撃を軽減したことを公に報告しました。これは公開された史上最大のものです。それ以前に記録されたピークには、2024 年 10 月に Cloudflare が軽減した 3.8 Tbps 攻撃と、2020 年以降 Microsoft Azure と Google Cloud によって報告されたいくつかの 2 Tbps 以上の攻撃が含まれます。

DDoS 保護はサイトを遅くしますか?

常時オンスクラビングは定常状態で 1〜5 ms のレイテンシを追加し、オンデマンド軽減は定常状態で何も追加しませんがアクティベーション中に露出し、Cloudflare や Fastly のようなエッジプロキシネットワークは、近くのプレゼンスポイントから提供することで、しばしばレイテンシを改善します。

CDN は専用の DDoS 保護を置き換えることができますか?

HTTP/HTTPS ワークロードの場合、はい — 現代の CDN (Cloudflare、Fastly、Akamai) は、デフォルトで層 3、4、7 にわたる DDoS 保護を含み、エニーキャストの背後にオリジン IP を隠します。非 HTTP ワークロード (ゲームサーバー、メール、生の TCP/UDP) の場合、専用のネットワーク層保護が依然として必要です。

SYN フラッドとは何ですか?

SYN フラッドは、スプーフィングされたソースアドレスから TCP 接続を開きますが、3 ウェイハンドシェイクを完了せず、サーバーの接続テーブルを枯渇させる層 4 攻撃です。軽減には SYN クッキー (RFC 4987)、ファイアウォールでの接続レート制限、ネットワークエッジでのステートフルフィルタリングが含まれます。

増幅とは何ですか?

増幅は、UDP ベースのサービス (DNS、NTP、memcached、CLDAP) を悪用し、小さなクエリがはるかに大きな応答を生成します。攻撃者は被害者の IP をソースとしてスプーフィングするため、応答が被害者をフラッドします。記録上の最大の増幅係数は memcached の約 51,000 倍です。

DDoS 保護は法的に必要ですか?

直接的にはいいえ。ただし、下流の規制 — カードプロセッサ向け PCI-DSS、ヘルスケア向け HIPAA、ほとんどの管轄区域の金融サービスルール — は、可用性とインシデント対応機能を義務付けており、DDoS 軽減なしでは実現不可能であるため、事実上それを要求します。

DDoS 保護の仕組み — 2026 年実用ガイド

層 3、層 4、層 7 攻撃

層 3 攻撃はネットワーク層 (IP、ICMP) をターゲットにします — 例は ICMP フラッドと IP フラグメンテーション攻撃です。層 4 攻撃はトランスポート層 (TCP、UDP) をターゲットにします — 例は SYN フラッド、UDP 増幅、DNS 増幅です。層 7 攻撃はアプリケーション層 (HTTP、HTTPS) をターゲットにします — 例は HTTP GET/POST フラッドと Slowloris です。各層は異なる軽減を必要とします。

層 3 と 4 でのボリューム攻撃は、ネットワークパイプ自体を飽和させようとします。最大の公開された攻撃は、テラビット毎秒の閾値を超えています — Cloudflare は 2025 年 5 月に 7.3 Tbps の攻撃を軽減したと報告し、AWS Shield は 2020 年 2 月にすでに 2.3 Tbps の攻撃を報告しました。これらの攻撃が機能するのは、増幅プロトコル (DNS、NTP、memcached、CLDAP) によって、小さなスプーフィングされたクエリが被害者に送信されるはるかに大きな応答をトリガーできるためです — DNS で 50 倍、NTP で 200 倍、memcached で 50,000 倍の増幅係数が文書化されています。層 4 でのプロトコル攻撃 — SYN フラッド、ACK フラッド、フラグメント化されたパケット攻撃 — は、帯域幅を飽和させるのではなく、ファイアウォールとロードバランサーで接続追跡状態を枯渇させます。層 7 攻撃はバイト単位では最小ですが、最もフィルタリングが困難です: 100,000 ノードのボットネットからの HTTP フラッドはビット単位で実際のユーザーのように見え、アプリケーション認識ロジックのみがそれらを区別できます。

BGP ブラックホールとリモートトリガーブラックホール (RTBH)

BGP ブラックホールは、最後の手段の残忍だが効果的な軽減です: ネットワーク事業者は、攻撃された IP の /32 ルートを特別な「ブラックホール」BGP コミュニティにアドバタイズし、すべての上流ピアにその IP へのトラフィックを完全に破棄するように指示します。ターゲットはオフラインのままですが、ネットワークの残りは稼働し続けます。RTBH は RFC 5635 で標準化されており、すべての Tier 1 キャリアでサポートされています。

RTBH は RFC 5635 (2009 年 8 月) で文書化されており、上流のピアが「このプレフィックス宛てのすべてのトラフィックを破棄する」と解釈するコミュニティ属性でルートをタグ付けすることで機能します。軽減は完全です — 保護された IP は、正当なユーザーを含むインターネット全体から到達できなくなります — が、顧客フリートの残りを巻き添え被害から保護します。RTBH は鈍いため、単一の IP が数百ギガビットの攻撃で飽和し、より広範な停止のコストがその 1 つの IP をオンラインに保つことよりも重要な場合に適切です。多くの低ティアの「DDoS 保護」VPS プランは、実際には正確にこれを意味します: プロバイダーは攻撃下のあなたの IP を null-route して、フリートの残りを安全に保ちます。それは定義上のサービス拒否軽減ですが、保護されているリソースはあなたのものではなく、プロバイダーのネットワークです。

スクラビングセンターとトラフィック迂回

スクラビングセンターは、攻撃トラフィックがフィルタリングされ、クリーンなトラフィックがオリジンに転送される強化されたネットワークサイトです。トラフィックは BGP アナウンス (常時オンまたはオンデマンド) または DNS ポインティングを介してそこに迂回されます。Tbps あたりのスクラビング容量が見出しの指標です — 最大のプロバイダーは 200 Tbps 以上の集約スクラビングを運用しており、専門ホスティングプロバイダーは通常 1〜10 Tbps を宣伝しています。

スクラビングセンターは、すべてのパケットを検査し、良性と悪意のあるパターンを分類し、クリーンな部分のみをオリジンに転送する専用アプライアンス — Arbor TMS、Radware DefensePro、A10 Thunder、NSFOCUS ADS、または大規模なカスタム Linux/DPDK パイプライン — を実行します。迂回は通常 BGP によって行われます: 顧客のプレフィックスは攻撃中にスクラビングプロバイダーのエニーキャストネットワークからアナウンスされ、すべてのトラフィックを最も近いスクラビングサイトに引き寄せます。クリーニング後、トラフィックはトンネル (GRE、IPSec、専用クロスコネクト、または直接ピアリング) を介してオリジンサーバーに戻されます。スクラビングレイテンシは通常リージョン内で 1〜3 ms で、迂回が追加するパスもあります。常時オンスクラビングは迂回を永続的に保ち、軽減開始時間を排除しますが、定常的なレイテンシ税のコストがかかります。オンデマンドスクラビングは検出された攻撃中にのみ迂回するため安価ですが、攻撃が着地する 30〜180 秒のアクティベーションウィンドウが導入されます。

常時オン対オンデマンド軽減

常時オン軽減は、すべてのトラフィックを 24 時間 365 日スクラビング層を通してルーティングします — アクティベーション遅延ゼロですが、すべてのパケットは小さなレイテンシ税を支払います (典型的には 1〜5 ms)。オンデマンド軽減は攻撃が検出された場合にのみアクティブになり、定常的なレイテンシを排除しますが、アクティベーションウィンドウ (典型的には 30〜180 秒) 中にオリジンを露出します。ハイブリッドセットアップは両方を組み合わせます: HTTP/HTTPS には常時オン、生の IP トラフィックにはオンデマンド。

常時オンとオンデマンドの選択は、定常的なレイテンシと攻撃ウィンドウの脆弱性のトレードオフです。レイテンシに敏感なサービス — マルチプレイヤーゲームサーバー、低レイテンシトレーディング、音声/ビデオ — は、定常的な RTT のすべてのミリ秒がコストになるため、通常オンデマンドを選択し、アクティベーションギャップを受け入れます。公開ウェブサービス、API、SaaS アプリは通常、常時オンまたはオリジン IP が公に知られていない完全にプロキシされた CDN ライクなトポロジーを選択し、攻撃ウィンドウを完全に排除します。現代のクラウドエッジプロバイダー (Cloudflare、Fastly、AWS Shield Advanced、Google Cloud Armor) は、ネットワークがすでに数百のエッジロケーションでトラフィックを終端しており、「迂回」が本質的にゼロであるため、デフォルトで常時オンに傾いています。

レート制限、WAF、アプリケーション層防御

レート制限は、ソース IP ごと、セッションごと、または URL ごとのリクエストを制限し、正当なトラフィックに影響を与えずに層 7 フラッドを抑制します。Web アプリケーションファイアウォール (WAF) は、HTTP リクエストをルールに対して検査します — OWASP トップ 10 保護、カスタムレートルール、ジオブロッキング、JS チャレンジ、CAPTCHA。一緒に、ボリュームスクラビングだけでは処理できない層 7 攻撃を処理します。

ボリュームスクラビングは IP とポートの境界で停止します。実際の Chrome トラフィックのように見える HTTP フラッドを停止するには、URL、ヘッダー、Cookie、動作で動作するルールが必要です。レート制限は最も簡単で効果的な層 7 制御です: たとえば、/login 上で単一の IP を 1 分あたり 60 リクエストに制限し、残りを破棄します。WAF はコンテンツ認識ルールでさらに進みます: SQL インジェクションパターン、異常なユーザーエージェント、不足しているリファラー、サービスエリア外の地理的起源、または正当な範囲外のペイロードサイズを持つリクエストをブロックします。現代の WAF (AWS WAF、Cloudflare WAF、Fastly Next-Gen WAF、OWASP コアルールセット付き ModSecurity) は、JavaScript チャレンジ、hCaptcha、ボットフィンガープリントヒューリスティックも実行し、実際のブラウザに不便をかけずにボットネットのヒット率を 99% 以上下げます。

ホスティングプロバイダーが通常含めるもの対追加で課金されるもの

無料または含まれるティアは通常、基本的なレート制限と BGP ブラックホールを使用して、固定ギガビット毎秒の上限 (多くの場合 10〜100 Gbps) までの層 3-4 のボリューム攻撃をカバーします。有料アドオンには通常、常時オンスクラビング、WAF、層 7 軽減、カスタムルール作成、SLA でサポートされた軽減保証が含まれます。契約を読んでください — 「無制限の DDoS 保護」は、多くの場合「X Gbps を超えるとあなたを null-route します」を意味します。

ホスティングプロバイダーの DDoS マーケティングは大きく異なります。本当に有用な保護には 3 つのことが含まれます: (1) Gbps または Tbps での明確に明示された容量、(2) HTTP フラッド軽減を含む層 3 から層 7 のカバレッジ、(3) 軽減開始時間とトラフィック損失のコミットメントを含む書面による SLA。あまり有用でない保護は、容量番号のない単一の「DDoS 保護」バッジで、通常は BGP ブラックホールのみを意味します — あなたの IP は攻撃下で null-route され、その期間オフラインになります。評価する際に尋ねてください: IP ごとの明示された容量はいくらですか? 常時オンですかオンデマンドですか? 層 7 をカバーしますか? 軽減アクティベーション時間 SLA は何ですか? 攻撃がティアの上限を超えた後に何が起こりますか? 答えは、本当の保護を購入しているかマーケティングラベルを購入しているかを明らかにします。

DDoS 保護の実際の仕組み