目次 [ close ]
  1. 対象試験と出題頻度
  2. 用語の定義
  3. 解説:攻撃の流れと代表的な手口
    1. 攻撃フローの全体像
    2. 代表的な手口3パターン
    3. SYNフラッドの仕組み
    4. DoS / DDoS攻撃への主な対策
  4. 試験ではこう出る!
  5. 受験生が間違えやすい落とし穴
    1. 落とし穴①:DoS攻撃=「情報漏えい」と思い込む
    2. 落とし穴②:DoSとDDoSを逆に覚える
  6. 【確認テスト】理解度チェック
  7. よくある質問(FAQ)
  8. あわせて読みたい関連用語

対象試験と出題頻度

「DoS攻撃とDDoS攻撃の違いは何?」「SYNフラッドとかスマーフとか種類が多すぎて覚えられない」

セキュリティ分野を勉強していると、この2つの攻撃で手が止まる人は多いです。

結論から言うと、DoSとDDoSは「攻撃元が1台か複数台か」の違いだけです。

この1点を軸に据えれば、手口の分類も試験の選択肢も整理できます。

対象試験と出題頻度を確認する
対象試験:
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
出題頻度:
★★★★★
ランクS(超重要)絶対に覚える必要あり

用語の定義

DoS攻撃(Denial of Service attack)とは、一言で言うと

 「標的のサーバやネットワークに大量のリクエストを送りつけ、サービスを利用不能にする攻撃

のことです。「Denial of Service」は「サービス拒否」を意味し、正規の利用者がサービスを使えなくなる状態を意図的に作り出します。

DDoS攻撃(Distributed Denial of Service attack)は、このDoS攻撃を多数の端末から同時に仕掛ける分散型の手口です。

イメージとしては、飲食店への大量の無言電話です。

1つの電話番号から何度もかけ続けるのがDoS攻撃。数百人が一斉にかけて回線をパンクさせるのがDDoS攻撃。どちらも本物のお客さんが電話できなくなる点は同じです。

DoS攻撃 / DDoS攻撃の基本情報

項目 DoS攻撃 DDoS攻撃
正式名称 Denial of Service attack Distributed Denial of Service attack
攻撃元 単一の端末 多数の端末(ボットネット等)
目的 サービスの妨害・停止(情報窃取ではない)
損なわれるCIA 可用性(Availability)

解説:攻撃の流れと代表的な手口

サイバー攻撃の中でも、DoS / DDoS攻撃は「情報を盗む」のではなく「サービスを止める」ことに特化している点が独特です。

攻撃者の狙いは、競合企業への妨害、政治的抗議(ハクティビズム)、身代金要求の前段階など多岐にわたります。

攻撃フローの全体像

DDoS攻撃が成立するまでの流れを順番に整理します。

DDoS攻撃の流れ(5ステップ)

1

マルウェア配布:攻撃者がインターネット上のPCやIoT機器にボット(遠隔操作用マルウェア)を感染させる

2

ボットネット構築:感染端末の集合体(ボットネット)が形成される。端末の所有者は感染に気づいていない

3

C&Cサーバから指令:攻撃者がC&C(Command and Control)サーバを通じて、全ボットに攻撃命令を送信

4

一斉攻撃:数百〜数十万台の端末が標的サーバに大量のパケットを同時送信

5

サービス停止:標的サーバの処理能力・帯域が限界を超え、正規利用者がアクセス不能になる

ポイントは、ステップ2の「ボットネット」です。感染端末の所有者は自分が加害者になっていることに気づいていません。

IoT機器(ネットワークカメラや家庭用ルーターなど)が踏み台にされるケースが近年急増しています。

代表的な手口3パターン

DoS / DDoS攻撃には複数の手口がありますが、午前問題で問われるのは主に以下の3つです。

手口 仕組み 悪用するプロトコル
SYNフラッド TCP 3ウェイハンドシェイクの接続要求(SYN)だけを大量に送り、サーバに半開き接続を蓄積させて処理能力を食い潰す TCP
Smurf攻撃 送信元IPを標的に偽装したICMPエコー要求をブロードキャストアドレスに送信し、大量の応答を標的に集中させる ICMP
DNSリフレクション 送信元IPを標的に偽装したDNS問い合わせを公開DNSサーバに送信し、元の問い合わせより遥かに大きな応答パケットを標的に送りつける(増幅攻撃) DNS(UDP)

SYNフラッドの仕組み

SYNフラッドは、TCPの3ウェイハンドシェイクを悪用する手口です。

正常な接続と攻撃時の違いを図で比較します。

正常な3ウェイハンドシェイク

クライアント
① SYN(接続したい)→
サーバ
← ② SYN+ACK(OK、どうぞ)
③ ACK(了解!)→
✔ 接続確立 — 通信開始

SYNフラッド攻撃

攻撃者
(偽のIP)
① SYN(接続したい)→
サーバ
← ② SYN+ACK(OK、どうぞ)
⚠ SYN+ACKの送り先は偽のIP → 誰も受け取らない
③のACKが永遠に返ってこない
③ ACK(了解!)→
← 来ない
これを何万回も繰り返す(大量のSYN送信)
✗ 半開き接続が溜まり続け、サーバの資源が枯渇 → サービス停止

なぜサーバは止まるのか:サーバは②のSYN+ACKを送った後、相手からのACK(③)を待つために接続情報をメモリ上に保持します。偽IPからのSYNが大量に来ると、この「待ち行列」がメモリを食い潰し、正規の利用者からの接続も受け付けられなくなります。

DoS / DDoS攻撃への主な対策

対策 内容
CDN(コンテンツデリバリネットワーク) 世界中のサーバにコンテンツを分散配置し、1台への集中を回避する
DDoS緩和サービス 専用のサービスが異常なトラフィックをフィルタリングし、正常な通信だけを通す
IPアドレスによるアクセス制限 DoS攻撃のように送信元が単一の場合、該当IPを遮断する(DDoSには効きにくい)
SYN cookies SYNフラッド対策として、接続テーブルにエントリを作らずにSYN+ACKを返す方式

覚えるのはここだけ

・DoS攻撃は1台から、DDoS攻撃は多数の端末(ボットネット)から仕掛ける「サービス妨害」
・損なわれるのは可用性(Availability)。情報漏えいではない
・SYNフラッドはTCPの3ウェイハンドシェイクを悪用する代表的手口

試験ではこう出る!

DoS / DDoS攻撃は全試験区分で繰り返し出題されており、IPAシラバスの「情報セキュリティ」分野の定番テーマです。

過去問での出題実績

試験回 出題内容 問われたポイント
IP R元年秋
問100		 脆弱性のあるIoT機器を踏み台にして、Webサイトを攻撃不能にする手口を選ぶ問題 ・「複数台のIoT機器」「サービス停止」→ DDoS攻撃が正解
・XSS・辞書攻撃・ソーシャルエンジニアリングがひっかけ
IP R7年度
問97		 可用性が損なわれた事象を選ぶ問題。「DoS攻撃で電子決済システムの処理ができなくなった」が選択肢に含まれる ・DoS攻撃は可用性を損なう攻撃であることの理解が必要
・誤った内容の運用(完全性)や情報漏えい(機密性)との区別
IP R4年度
問72		 DDoS攻撃でWebサイトがダウンした事象と、CIA三要素の対応付けを選ぶ問題 ・DDoS → 可用性、入力ミス → 完全性、マルウェア感染で漏えい → 機密性
FE H28年秋
午前 問37		 「完全性を脅かす攻撃」を選ぶ問題で、DoS攻撃が不正解の選択肢として登場 ・DoS攻撃は可用性を脅かすもので完全性ではない
・正解は「Webページの改ざん」(完全性)
AP R4年秋
午後 問1		 外部DNSサーバをDDoSの踏み台にする攻撃(DNSリフレクション)への対策を問う長文問題 ・DNSキャッシュサーバの設定が踏み台化の原因
・応用では手口の名前だけでなく対策の仕組みまで問われる

出題パターンの傾向

パターン1:CIAとの対応付け
「DDoS攻撃でサービスが停止した → 損なわれたのは何か?」と聞かれたら、答えは可用性。IP・SG・FEすべてで繰り返し出ている鉄板パターンです。ここだけは確実に押さえてください。

パターン2:攻撃手口の説明文から名前を選ぶ
「複数のコンピュータから大量のパケットを一斉に送りつけてサービスを停止させる」→ DDoS攻撃。「1台から」と書かれていればDoS攻撃。IPAは「単一 vs 分散」の区別を頻繁に問います。

パターン3(AP向け):具体的な手口と対策
応用情報では「SYNフラッド」「DNSリフレクション」のように具体的手口の名称と仕組みが問われます。午前対策はパターン1・2で十分ですが、APの午後を受ける人はSYNフラッドの3ウェイハンドシェイクの悪用手順まで説明できる状態が得点ラインです。

受験生が間違えやすい落とし穴

過去問を分析すると、DoS / DDoS攻撃で受験生が失点するのは主に次の2つのパターンです。

落とし穴①:DoS攻撃=「情報漏えい」と思い込む

DoS攻撃の目的は「サービスを止める」ことであり、データを盗み出す攻撃ではありません。そのため、CIAで損なわれるのは「可用性」であって「機密性」ではない。FE H28秋 問37のように、DoS攻撃を「完全性を脅かす」選択肢に混ぜてくるひっかけがあるため、「DoS=可用性」の結びつきは即答できるようにしておく必要があります。

落とし穴②:DoSとDDoSを逆に覚える

「Distributed(分散)が付くかどうか」だけの違いですが、試験本番の緊張下では混同しがちです。「D」が付いたら「Distributed=分散=複数台から」と頭文字で判断する癖をつけてください。IP R元年秋 問100のように「IoT機器が多数」と書かれていたらDDoS、と機械的に判定できます。

【確認テスト】理解度チェック

Q. 多数の端末から一斉に大量のパケットを送り付け、標的のサーバを利用不能にする攻撃として、最も適切なものはどれか。

  • A. 入力フォームに不正なSQL文を送り込み、データベースの情報を不正に取得する攻撃。
  • B. ボットネットなどの多数の端末から一斉に大量のリクエストを送信し、標的のサービスを停止させる攻撃。
  • C. 正規のWebサイトを装った偽サイトに利用者を誘導し、IDやパスワードを入力させて窃取する攻撃。

正解と解説を見る

正解:B

解説:
DDoS攻撃(Distributed Denial of Service attack)は、多数の端末から標的サーバに大量のパケットを集中送信し、サービスを利用不能にする攻撃です。「多数の端末」「サービス停止」がキーワードになります。

選択肢AはSQLインジェクションの説明です。SQLインジェクションはWebアプリの脆弱性を突いてデータベースを不正操作する攻撃であり、サービス停止が目的ではありません。選択肢Cはフィッシングの説明です。フィッシングは人をだまして認証情報を盗む攻撃であり、サーバに大量の通信を送りつけるものではありません。

よくある質問(FAQ)

Q. DoS攻撃を受けた場合、攻撃者を特定できますか?

DoS攻撃は送信元が1台なので、IPアドレスから発信元を追跡できる可能性はあります。ただし、攻撃者はIPアドレスを偽装(IPスプーフィング)していることが多く、特定は容易ではありません。DDoS攻撃の場合は送信元が数千〜数十万台に分散しているため、すべての踏み台を追跡するのは現実的に困難です。攻撃元の端末はマルウェアに感染した一般ユーザーの機器であることが多く、真の攻撃者(指令を出した人物)と踏み台の所有者は別人です。

Q. EDoS攻撃とは何ですか?DDoS攻撃とどう違いますか?

EDoS攻撃(Economic Denial of Service attack)は、クラウドサービスの自動スケーリング機能を悪用する手口です。DDoS攻撃がサーバを停止させることを目的とするのに対し、EDoS攻撃はサービス自体を止めないまま意図的に負荷を増やし、クラウドの従量課金を膨張させて経済的な損害を与えることを目的とします。SG H30秋 午前 問23で出題実績があり、クラウド分野の問題として今後も狙われる可能性があります。

Q. 自社のWebサイトがDDoS攻撃を受けたらまず何をすべきですか?

実務では、まずISP(インターネットサービスプロバイダ)やクラウド事業者に連絡して異常トラフィックの遮断・緩和措置を依頼します。並行して、自社のファイアウォールやロードバランサーで特定パターンのパケットをフィルタリングし、被害の拡大を抑えます。攻撃が大規模な場合は、JPCERT/CCや警察への通報も必要です。サービス復旧後は、攻撃のログを保全して原因分析を行います。

Q. WAF(Web Application Firewall)でDDoS攻撃を防げますか?

WAFはHTTPレベルの攻撃(SQLインジェクションやXSSなど)を防ぐことに特化した製品のため、ネットワーク層の大量パケットを送りつけるDDoS攻撃への対処には限界があります。HTTP Floodのようにアプリケーション層で行われるDDoS攻撃にはある程度有効ですが、SYNフラッドやDNSリフレクションといったネットワーク層の攻撃はWAFの守備範囲外です。DDoS対策にはCDNや専用の緩和サービスを組み合わせるのが基本です。

あわせて読みたい関連用語

【前提知識】 TCP/IP / 3ウェイハンドシェイク / ボットネット

【関連用語】 サイバー攻撃の種類と分類 / マルウェア / C&Cサーバ / 可用性(Availability)

【発展】 EDoS攻撃 / CDN / IDS・IPS