DoS攻撃とは？ わかりやすく解説

「DoS」はこの項目へ転送されています。コンピュータのオペレーティングシステムについては「DOS (OS)」を、その他の用法については「DOS」をご覧ください。

DoS攻撃（ドスこうげき、英: denial-of-service attack）は、情報セキュリティにおける可用性を侵害する攻撃手法のひとつ。

ウェブサービスを稼働しているサーバやネットワークなどのリソース（資源）に意図的に過剰な負荷をかけたり脆弱性をついたりすることでサービスを妨害する。

DoS攻撃には2種類の類型があり、第一の類型はウェブサービスに大量のリクエストや巨大なデータを送りつけるなどしてサービスを利用不能にするフラッド攻撃（Flood＝「洪水」）であり、第二の類型はサービスの脆弱性を利用する事でサービスに例外処理をさせるなどしてサービスを利用不能にする攻撃である^[1][2]。

DoS攻撃の主な目的はサービスの可用性を侵害する事にあり、具体的な被害としては、トラフィックの増大によるネットワークの遅延、サーバやサイトへのアクセス不能といったものがあげられる^[3]。

しかしDoS攻撃は被害者に経済的ダメージを負わせる事を目的として行われる場合もあり、EDoS攻撃 (Economic DoS Attack) と呼ばれる。たとえば、クラウド上で従量課金されているサービスにDoS攻撃を仕掛ければ、サービスの運営者に高額な課金を発生させることができる^[4]。

フラッド型のDoS攻撃には、大量のマシンから1つのサービスに、一斉にDoS攻撃を仕掛けるDDoS攻撃（ディードスこうげき、分散型サービス妨害攻撃、英: Distributed Denial of Service attack）という類型がある。

DDoS攻撃は、複数のシステムを使用して、サーバー、ネットワークデバイス、またはトラフィックとリンクして、利用可能なリソースを圧倒し、正当なユーザーに応答できないようにする攻撃である^[5]。

DDoS攻撃の類型は2つあり、第一のものは攻撃者が大量のマシン（踏み台）を不正に乗っ取った上で、それらのマシンから一斉にDoS攻撃を仕掛ける協調分散型DoS攻撃である。

第二の類型は、DRDoS攻撃（Distributed Reflective Denial of Service attack。DoSリフレクション攻撃、分散反射型DoS攻撃）^[6][7] と呼ばれる。DRDoS攻撃では、攻撃者が攻撃対象のマシンになりすまして大量のマシンに何らかのリクエストを一斉に送信する。するとリクエストを受け取ったマシン達は攻撃対象のマシンに向かって一斉に返答を返すことになるので、攻撃対象のマシンには大量の返答が集中し、高負荷がかかることになる^[8]。DRDoS攻撃は協調分散型DDoS攻撃と異なりマルウェアなどで踏み台を乗っ取らなくても実行可能なため攻撃が発覚しづらい。

主なDRDoS攻撃として、Domain Name Systemを利用したDNSアンプ攻撃（DNS amplification attacks。DNS amp攻撃、DNSリフレクター攻撃、DNSリフレクション攻撃とも）^[8] や ICMP echo を利用したSmurf攻撃などがある。

DRDoS攻撃に使える主なプロトコルとして、TCPのSYN、ACK、DATA、NULL、ICMPのECHO Request、Time Stamp Request、Address Mask Request、およびUDP、IP pkt (low TTL)、DNS query がある^[9]。

NetBIOSネームサーバやRPCポートマップなどへのリクエストを利用する攻撃も観測されている^[10]。 協調分散型DDoS攻撃とDRDoS攻撃が組み合わされることもある^[11]。

フラッド型のDoS攻撃は、ウェブ上に公開されている様々なサービスに対して行うことができるので、攻撃対象となるサービスごとにフラッド攻撃が存在する。

TCPの3ウェイ・ハンドシェイクでは2つのマシンA,BがTCP接続をする際、Aが通信要求SYNパケットを送信し、BがSYN/ACKパケットを送信し、最後にAがACKパケットを送るという手順をたどる。 SYNフラッド攻撃では攻撃者が攻撃対象のマシンに対しSYNパケットを大量に送りつけ、それらすべてに対するSYN/ACKパケットを攻撃対象に発行させる。しかし攻撃者はそれらのSYN/ACKパケットに対しACKパケットを返信しない。 これにより攻撃対象はタイムアウトになるまでいつまでもACKパケットを待ち続けることとなり、リソースを食いつぶされてしまう。 対策としてはRFC 4987にファイアーウォールやプロキシの利用といった一般的手法の他、SYN cookies、TCP half-open（英語版）、SYN Cacheといった手法が記載されている。

ICMPやUDPのようなコネクションレスのサービスでは発信元の偽装が容易なので、DoS攻撃を行う攻撃者にとって身元がわかりにくいという利点がある。

ICMPを利用したものにはICMP echo request (を利用したping)を攻撃対象に大量に送り続けるICMP echoフラッド攻撃（pingフラッド攻撃）や、踏み台にICMP echo requestをブロードキャストする事でICMP echo replyを攻撃対象に集めるDRDDoS攻撃であるSmurf攻撃がある。

他にも規格外の大きなサイズのICMPパケットを送りつける事で攻撃対象をクラッシュさせるping of deathという攻撃がかつてあったが、1996年に発見されて以降この脆弱性は防がれているため、この手法はほぼ通用しなくなっている。

UDPに対してもUDPポートに対して大量のトラフィックを送信するUDPフラッド攻撃（英語版）があり、UDPを利用したDRDDoS攻撃をUDPベース増幅攻撃（UDP-Based Amplification Attack）と呼ぶ。

UDPベース増幅攻撃の中でもNTPの実装であるntpdのmonlistコマンドを使った攻撃は増幅率が高く、19倍から206倍の増幅率に達する^[12]。このコマンドはNTPサーバが過去にやり取りしたアドレスを最大で600件返すものであり、ntpdにおけるコマンドを利用した攻撃が2013年に観測されている^[13][14]。なおntpdのバージョン4.2.7p26以降はこのコマンドを悪用できないよう修正されている^[13]。

この他にもSSDPやRIPv1を利用したUDPベース増幅攻撃がある^[15][16]。

ウェブブラウザに備わっているページの再読み込み機能を使用し、Webサーバに大量にリクエストを送りつける攻撃はF5アタック（F5攻撃）と呼ばれることがある。この名称は、「F5キーを連打する攻撃」であることに由来する。

Windows上で動作するウェブブラウザでは、F5キーが更新機能に割り当てられていることが多いため、F5キーを押下するたびにWebサーバにリクエストが送られることになる。

なお、Ctrl＋RでもF5アタックと同じリクエストを送ることができる。

• スローなHTTP系：長時間にわたってWebサーバがコネクションを維持してくれることを悪用して能力を浪費する^[17]。次の攻撃がある^[18]。
  • Slow HTTP Headers（Slowloris）
  • Slow HTTP POST（RUDY：R-U-Dead-Yet?）
  • Slow Read DoS
• メールボム：サイズの大きいメールや大量のメールを送り付ける手法。
• HTTP GET/POSTフラッド：HTTPの規格には準拠しているが負荷のかかるリクエストを大量にWebサーバー宛てに送る。
• TeardropおよびLand攻撃：かつてTCP/IP実装にあった脆弱性^[19] を利用した攻撃。前者は分割されたIPパケットを再統合する際パケットの重複をうまく扱えない実装上の問題を利用した攻撃、後者は攻撃者が送り主と送信先を一致させたパケットを送りつけると無限ループにはまるなどの脆弱性を利用した攻撃^[19]。
• WinNuke（英語版） かつてMicrosoft Windowsの「NetBIOS over TCP/IP」に在った脆弱性が攻略された。

• 荒らしプログラムとは、主にWeb掲示板を荒らすために作られたプログラムを指すが、内容としてはHTMLの解析やHTMLFORMの送信機能を備え、連続投稿を可能としたHTTPクライアントで、DoS攻撃プログラムに準じている。F5アタックがWebブラウザからのGETメソッドによるHTTPアクセスしか出来ないのに対し荒らしプログラムは様々なメソッドにおいてのアクセスを可能としている。また前述したDDoSに準じ、踏み台となったサーバからの一斉攻撃を行うものもある。少しHTMLの知識があれば使える物や、アドレスを入力するだけで使えるようになる(自動解析)ツールも存在する。主にPerlによって記述されるが、これも踏み台とされたサーバでの利便性を考えたものである。コマンドで、ping -n ○○（回数）-l (1~65500) IPアドレス と入力することで、多少の負荷はかけられるが、大した攻撃にはならない。
• LOICは、アノニマスの常套手段となっていた。例えば2010年ペイバック作戦においても使われた。
• HOIC（High Orbit IonCanon）は、LOICの後継として2010年ペイバック作戦の時期に開発された。
• Slowlorisは、Slow HTTP Headers攻撃を再現する。
• Stacheldraht（独：「有刺鉄線」の意）は図に示すように、踏み台側のエージェントと、エージェントを操るハンドラーと、攻撃者がハンドラーを操るクライアントから成るDDoS攻撃ツールである。
• イギリスのGCHQは、'PREDATORS FACE'と'ROLLING THUNDER'というDDoS攻撃ツールをもっている^[20] といわれている。
• 田代砲はhttpリクエストを連続送信するスクリプトを組み込んだ極めて単純な攻撃ツールの一例である。メガ粒子田代砲や連装田代砲などのより攻撃的な亜種も多数開発された。
• :loop ping IPaddress -l 65500 -w 1 -n 1 goto :loop
• MHDDoSは、現在ITエンジニアやハッカーの間では有名なDDoSツールである^[21]。フォークが多く、数々の拡張版も存在する。更新が2年前ということで対策がされていることも多い。同様のツールとして、"Karma-DDoS"が存在する。
• 上記の派生版として、ウクライナIT軍が作った"MHDDoS-Proxy"^[22]や、北朝鮮などの東側勢力や宗教勢力が攻撃対象の反西洋主義者DDoSツールがある。いずれもプロキシの自動更新や他のDDoSツールの攻撃手法を組み込むなどして、防御手段を巧みに回避している。
• 　他のツールとしては、バングラデシュのハッカー集団が使っている"Raven Storm"や他の攻撃ツールをパッケージにした"UFONet"といったツールも存在する。ウクライナIT軍が使用している"db1000"が存在する。

この節の加筆が望まれています。 （2015年12月）

• 侵入防止システム（IPS： Intrusion Prevention System）には、シグニチャに基づく防御機能と閾値に基づく防御機能が実装されている。シグネチャに基づく防御機能は、Smurf攻撃やLand攻撃のように特徴あるパケットに対して有効であったが、プロトコル実装側の脆弱性もすでに解消されている。
• SYNクッキーは、SYNフラッド等への対策として各OSごとに開発され、それぞれのプロトコルスタックに実装されている。
• WAF（Web Application Firewall）には、スローなHTTP系の攻撃に対する設定を行える。WebサーバについてはQoSやタイムアウトについての設定も見直す価値がある。

• イングレスフィルタリング：送信元IPアドレスを偽ったパケットをフィルタリングすることによって攻撃元とならないようにする。^[23]
• 代理応答^[24]
• 帯域制御
• ブラックホール
• OpenFlow

コンピュータネットワークセキュリティでは、スプーフィングされたDoS攻撃の副作用としてバックスキャッターが発生する。この種の攻撃では、攻撃者は被害者に送信されたIPパケットの送信元アドレスをスプーフィング (偽造)する。一般に、被害者のマシンはなりすましパケットと正当なパケットを区別できないため、被害者は通常どおりになりすましパケットに応答するが、この応答がバックスキャッターと呼ばれる^[25]。

攻撃者が送信元アドレスをランダムにスプーフィングしている場合、被害者からのバックスキャッター応答パケットはランダムな宛先に送信される。バックスキャッターの観測は、DoS攻撃の間接的な証拠となる。

「バックスキャッター分析」とは、IPアドレス空間の統計的に有意な部分に到着するバックスキャッターパケットを観察して、DoS攻撃と被害者の特性を判断することである。

MafiaBoy

→「MafiaBoy」も参照

2000年2月にカナダ人の15歳の少年が6日間にわたってボットネットでYahoo!やCNNやAmazon.comなどの人気が非常に高いサイトに対してDDoS攻撃を行い、ターゲットにしたサイトをサービス不能状態に陥らせ、自身の行動をインターネット上のIRCチャットルームで吹聴し、逮捕された。この事件は国際的に大きく取り上げられた。

米国 Yahoo!

パソコンを利用した踏み台は、一台当たりの計算・通信能力は低いが、膨大な数が利用される事から、従来のサーバを利用したDDoS攻撃よりも甚大な被害を発生させやすい。有名なものとして2002年2月に米国のYahoo!がこの攻撃を受け、アクセス不能になるという被害を受けている。また特に大規模な感染事件を引き起こすコンピュータウイルスのなかには、当初よりDDoS攻撃を意図して設計されたと推察されるものも見られ、2002年頃から活動が確認されているコンピュータウイルスによって形成された攻撃用パソコンネットワークにより、企業脅迫事件の発生が危惧されている。

コスタリカ ブックメーカー等

2004年前後には、ブックメーカー（公的な賭けを取りまとめている企業・団体等）のサイトが攻撃をうけ業務を妨害され、脅迫された事件^[26] や、英国の大学生が学費の捻出に一案を講じて莫大な利益を生んだMillion Dollar Home Pageが脅迫を受けたケースも報じられている。

ニコニコ動画(β)

2007年2月20日からDDoSによる攻撃を受けて正常に運営できる状態ではなくなり、同年2月22日からサービスを一時停止する事態となった^[27][28]。

2ちゃんねる（現・5ちゃんねる）

→詳細は「韓国ドメインからの2ちゃんねるへのサイバーテロ事件」を参照

同掲示板サイトは度々DoS攻撃の標的にされており、中でも大規模なものが2010年3月、バンクーバーオリンピックの時期に起きている。韓国語ネットコミュニティ「ネイバー」や「ダウム」上から2ちゃんねるに対して攻撃が呼びかけられ、これにより一部のサーバーがダウンの後故障し、データが失われた。2chのサーバーが設置されている米国カリフォルニア州のデータセンター運営企業（Pacific Internet Exchange）は「米国公的機関に対し、米国企業に対するサイバーテロとして調査依頼する準備をしている」^[29]と発表した。

岡崎市立中央図書館事件

→詳細は「岡崎市立中央図書館事件」を参照

DoS攻撃とは到底呼べないような通常の「常識的」で「礼儀正しい」設計のクローラが原因であっても、極端に脆弱なシステムにおいては問題を引き起こす場合がある。2010年5月のこの事件はその代表的な例であり、三菱電機インフォメーションシステムズの致命的な不具合をもつシステム、その不具合を認めない岡崎市立中央図書館、警察担当者の無知および自白の強要が重なり、逮捕勾留に至る^[30] 結果となった。この事例の法的な見解については、2010年7月時点では未だ議論の対象^[31] となっている。

アノニマスによるペイバック作戦

→詳細は「2010年ペイバック作戦」を参照

2010年9月にアノニマスによって、インターネット上の不正コピー行為に対応する団体等に対してDDoS攻撃が行われた。引き続いて2010年12月、アノニマスは、ウィキリークスへの寄付受付を停止した銀行やクレジットカード決済会社のWebサイトに対してDDoS攻撃を実行した（作戦名：アサンジの復讐作戦）^[32]。

ソニーのプレイステーションネットワーク

2011年4月、アノニマスはソニーのインターネット配信サービス「PlayStation Network」のサーバに対してもDDoS攻撃を放った^[33]。

Dynサイバーアタック

→詳細は「en:2016 Dyn cyberattack」を参照

2016年10月21日、大手ウェブサイトなどのドメイン管理システムを運営しているインターネット管理企業Dyn (企業)（英語版）に対して、断続的なDDoS攻撃が行われた。結果、Amazon.com、Paypal、NetflixやTwitter、Reddit、Spotify、Gov.UK（英国政府ウェブサイト）、ニューヨーク・タイムズ、ウォール・ストリート・ジャーナルなど多くのウェブサイトサービスがオフラインになるなどの支障が出ていた^[34][35]。セキュリティー企業などによると、今回の攻撃はセキュリティの弱い監視カメラ、ルーター、プリンターなどのIoT機器を乗っ取るマルウェアMiraiによって引き起こされ、1.2テラビット毎秒の通信負荷がかけられたものとみている^[35][36]。

GitHub

2018年3月1日、GitHubに対して、最高1.35テラビット毎秒の断続的な攻撃が行われたが、AkamaiのDDoS軽減サービスを使用することによって、無効化することに成功した^[37]。

• HOIC（英語版）
• PDoS攻撃
• LOIC
• ボットネット
• ネットワーク中立性
• J-NSC
• 通信妨害

• DDoS攻撃 - トレンドマイクロ
• “Report: Distributed Denial of Service Attacks Against Independent Media and Human Rights Sites”. Berkman Center for Internet & Society (2010年12月20日). 2015年12月26日閲覧。
• https://komainu.kakurezato.com/tasiro.html田代砲保管庫
• https://news.mynavi.jp/techplus/article/20160614-a423/ping攻撃サンプルコード

表 話 編 歴 嫌がらせ
暴力・破壊	私刑 体罰 校内暴力 家庭内暴力 ジェンダーバイオレンス デートDV ドメスティックバイオレンス 言葉の暴力 暴言・やじ 数の暴力 ストーカー ぶつかり男 アシッドアタック 破壊行為 落書き バイトテロ 日勤教育
虐待	児童虐待 兄弟姉妹間の虐待 高齢者虐待 障害者虐待 動物虐待 身体的虐待 心理的虐待 ヤングケアラー ガスライティング 過干渉 ネグレクト 経済的虐待
いじめ	職場いじめ 性的いじめ しかと 村八分 共同絶交 吊し上げ 悪口 誹謗中傷 自粛警察 人物破壊 ほめ殺し 私刑 連座
差別	人種差別 身長差別 言語差別 年齢差別 性差別 女性差別 男性差別 障害者差別 部落差別 職業差別 性風俗産業に対する差別 学歴差別 迫害 えこひいき（ひいき） ヘイトスピーチ（憎悪表現） ルッキズム 侮蔑
ハラスメント	パワーハラスメント セクシャルハラスメント マタニティハラスメント モラルハラスメント レイシャルハラスメント SOGIハラスメント アルコールハラスメント スモークハラスメント アカデミックハラスメント ドクターハラスメント ブラッドタイプ・ハラスメント エレクトロニック・ハラスメント ソーシャルメディア・ハラスメント スメルハラスメント ヌードルハラスメント ロジカルハラスメント オワハラ マルハラ カスタマーハラスメント エイジハラスメント
ネット	ネットいじめ ネットリンチ サイバーストーカー DoS攻撃 サイバーテロ サイバー暴力 チェーンメール スパム（迷惑メール） 荒らし 晒し 炎上 いじめ動画 ハッピー・スラッピング リベンジポルノ グーグル八分 クラッキング スワッティング Kiwi Farms 破産者マップ
交通	あおり運転 当たり屋 幅寄せ 割り込み 共同危険行為 マンスプレッディング
表現・思想	同調圧力 村社会 ネガティブ・キャンペーン モラル・パニック 宗教的迫害 洗脳
その他	愉快犯 悪戯 情報漏洩 嘘 風説の流布 迷惑電話 偽装 コインテルプロ ムービング・ゴールポスト ブラック企業 トナラー
被害	死亡 創傷 心的外傷（トラウマ） 心的外傷後ストレス障害（PTSD） 急性ストレス障害（ASD） 複雑性PTSD 適応障害 被虐待症候群 共依存 引きこもり 8050問題 ストックホルム症候群 リマ症候群 報道被害 風評被害 片親引き離し症候群 冤罪 人質司法 倒産・廃業・破産 解雇・失業
罪	暴行罪 傷害罪 殺人罪 放火罪 脅迫罪 恐喝罪 強要罪 逮捕・監禁罪 信用毀損罪・業務妨害罪 詐欺罪 窃盗罪 名誉毀損罪 侮辱罪 器物損壊罪 自殺教唆罪 住居侵入罪 性犯罪 不同意性交等罪 不同意わいせつ罪 偽証罪 虚偽告訴罪 組織犯罪 憎悪犯罪（ヘイトクライム） 少年犯罪 盗撮 盗聴 不法投棄 ポイ捨て
法律	治安維持法 組織的な犯罪の処罰及び犯罪収益の規制等に関する法律（組織犯罪処罰法） 軽犯罪法 児童虐待の防止等に関する法律（児童虐待防止法） いじめ防止対策推進法 暴力団員による不当な行為の防止等に関する法律（暴力団対策法） 破壊活動防止法 国会議事堂等周辺地域及び外国公館等周辺地域の静穏の保持に関する法律（静穏保持法） 騒音規制法 公衆等脅迫目的の犯罪行為のための資金等の提供等の処罰に関する法律（テロ資金提供処罰法） 配偶者からの暴力の防止及び被害者の保護等に関する法律（DV防止法） ストーカー行為等の規制等に関する法律 酒に酔つて公衆に迷惑をかける行為の防止等に関する法律（酩酊防止法） 高齢者の虐待の防止、高齢者の養護者に対する支援等に関する法律（高齢者虐待防止法） 障害者虐待の防止、障害者の養護者に対する支援等に関する法律（障害者虐待防止法） 性的な姿態を撮影する行為等の処罰及び押収物に記録された性的な姿態の影像に係る電磁的記録の消去等に関する法律（性的姿態撮影等処罰法）
条例	公安条例 迷惑防止条例 暴力団排除条例 暴走族追放条例 拡声機暴騒音規制条例 いじめ防止条例
条約	仕事の世界における暴力及びハラスメントの撤廃に関する条約（ハラスメント禁止条約）
Category:暴力・Category:人権侵害