ICMPフラッド攻撃(ピンフラッド攻撃とも呼ばれる)は、ICMP Echo Requestパケットを大量に送信してターゲットを圧倒するDDoS攻撃の一種です。本ガイドでは、これらの攻撃の仕組み、ネットワークパフォーマンスへの潜在的な影響、そして緩和策について解説します。
攻撃者が使用するツールや手法、そしてこれらの脅威からネットワークを保護する方法について学びます。ICMPフラッド攻撃を理解することは、ネットワークのセキュリティと可用性を維持する上で重要です。

ICMPフラッド(ピンフラッド)DDoS攻撃とは?
ICMPフラッド(ピンフラッド)は、インターネット制御メッセージプロトコル(ICMP)を利用して、ターゲットに大量のネットワークトラフィックを送りつけるDDoS攻撃の一種です。攻撃者はこの手法を用いてターゲットのオンラインサービスを妨害し、正規ユーザーが利用できない状態にします。
- インターネット制御メッセージプロトコル(ICMP) – ICMPは、ルーターやスイッチなどのネットワーク機器がエラーメッセージや運用情報を通信するために使用するネットワーク層プロトコルです。「宛先到達不能」や「時間超過」などのICMPメッセージは、ネットワーク管理者がネットワークの問題を特定・解決するのに役立ちます。
- ICMP Echo RequestとEcho Reply – ICMP Echo Requestは、一般的に「ping」として知られ、あるデバイスから別のデバイスにネットワーク接続をテストするために送信されるメッセージです。受信側のデバイスは、ICMP Echo Replyメッセージで応答し、ネットワーク上での存在を確認します。
ICMPフラッド(ピンフラッド)DDoS攻撃の仕組み
ICMPフラッド攻撃では、攻撃者がターゲットに大量のICMP Echo Requestメッセージを送信し、ネットワークリソースや帯域幅を圧迫します。その結果、ターゲットは正規のリクエストを処理できなくなり、サービスの中断や停止が発生します。
- IPアドレスのなりすまし – 攻撃者はICMPフラッド攻撃で検知や追跡を回避するために、しばしばIPアドレスを偽装します。この手法により、攻撃元の特定や対策が困難になります。
- ボットネット – 攻撃者は、ボットネット(マルウェアに感染した複数のデバイスからなるネットワーク)を利用して、大規模なICMPフラッド攻撃を実行することもあります。複数のデバイスを同時に使用することで、攻撃の影響を増幅し、緩和を困難にします。
ICMPフラッド(ピンフラッド)DDoS攻撃の緩和技術
ICMPフラッド攻撃を緩和し、クラウドインフラストラクチャを保護するための技術や戦略はいくつかあります:
- トラフィックフィルタリング – トラフィックフィルタリングルールを実装することで、不正なICMPトラフィックを識別・遮断し、正規のリクエストのみを通過させることができます。
- レート制限 – レート制限を用いることで、ネットワークが受信するICMP Echo Requestメッセージの数を制御し、ICMPフラッド攻撃の影響を軽減できます。
- 異常検知 – 異常検知システムはネットワークトラフィックのパターンを監視し、ICMPトラフィックの急増など、ICMPフラッド攻撃の兆候となる異常な活動を検出します。
SentinelOne Singularity XDRでクラウドインフラストラクチャを保護
SentinelOne Singularity XDRは、クラウドインフラストラクチャを保護するための高度なサイバーセキュリティプラットフォームです。
• AI駆動の脅威検知 – SentinelOne Singularity XDRは、人工知能と機械学習を活用してリアルタイムで脅威を検知・対応します。この先進技術により、ICMPフラッド攻撃やその他の悪意ある活動を特定し、迅速な対応と緩和が可能です。
• ネットワークトラフィック分析 – ネットワークトラフィックを継続的に分析することで、SentinelOne Singularity XDRはICMPフラッド攻撃の兆候となる異常なパターンや挙動を検出できます。
• 統合エンドポイントおよびクラウドセキュリティ – SentinelOne Singularity XDRは、エンドポイントとクラウドの統合セキュリティプラットフォームを提供し、ICMPフラッド攻撃やその他のサイバー脅威からインフラストラクチャを包括的に保護します。
• 自動対応と修復 – SentinelOne Singularity XDRは、検知した脅威に自動で対応し、ICMPフラッド攻撃の影響を緩和して組織のダウンタイムを最小限に抑えます。
AIによるエンドポイント検知と対応。
まとめ
ICMPフラッド(ピンフラッド)DDoS攻撃は、オンライン業務を深刻に妨害し、クラウドインフラストラクチャのセキュリティを損なう可能性があります。これらの攻撃の特性を理解し、効果的な緩和策を導入することで、組織への影響を最小限に抑えることができます。ICMPフラッド攻撃やその他のサイバー脅威に対して高度な保護を導入することで、重要なシステムやデータの継続的なセキュリティと可用性を確保できます。
堅牢なサイバーセキュリティソリューションへの投資で、サイバー脅威に一歩先んじましょう。ご相談が必要な場合は、SentinelOneまでお問い合わせください。
ICMPフラッドに関するFAQ
ICMPフラッド攻撃は、ターゲットに大量のping(ICMP Echo Request)パケットを送信し、応答能力を圧倒します。被害者に各pingを処理・応答させることで、攻撃者はネットワーク帯域やシステムリソースを枯渇させます。フラッドが十分に大規模な場合、正規のトラフィックがドロップされ、サービスが遅延または停止します。すべてのドアを大きな音でノックされ、どれも正常に開けなくなる状況に例えられます。
攻撃者はターゲットのIPに対して高速かつ連続的にICMP Echo Requestメッセージを送信します。各リクエストはEcho Replyを要求するため、被害者は応答にCPUサイクルと帯域を消費します。リクエストがホストの処理能力を大きく上回ると、ネットワークスタックが過負荷となります。パケットがキューに溜まり、ルーターは新たなトラフィックをドロップし、応答時間が急増します。フラッドは攻撃者が停止するか、防御策が作動するまで継続します。
攻撃の影響を高めるため、攻撃者は被害者のIPを偽装し、第三者ホストにICMPリクエストを送信して偽装アドレスに返信させます。各返信が被害者をフラッドします。これはICMP増幅攻撃と呼ばれます。フィルタリングが不十分なルーターやサーバーは、より大きな返信パケットで応答し、トラフィックが増加します。多数のリフレクターを同時に利用することで、攻撃者は自分のネットワーク負荷を増やさずにフラッドを拡大できます。
受信ICMPトラフィックの急激な増加が見られます—多くの場合、毎秒数万パケットに達します。ネットワーク監視ツールは、対応する送信フローがないリンクで高い利用率を報告することがあります。攻撃を受けているサーバーは、ping処理によるCPU使用率の上昇、パケットキューの増加、パケットのドロップが発生します。ユーザーは遅延やタイムアウトに気付きます。フラッドはフィルタリングや制限が行われるまで継続することが一般的です。
フラッド発生中は、帯域が悪意のあるpingで占有され、正規のリクエストが通りにくくなります。ルーターやスイッチのバッファが埋まり、遅延が増加します。WebやVoIPなどの重要なサービスがタイムアウトや障害を起こすことがあります。ターゲットのCPUは各エコー処理で急増し、アプリケーションプロセスが遅くなります。対策を講じなければ、パケットロスが100%に達し、システムが事実上オフラインとなる可能性があります。
ルーターやファイアウォールでICMPレートを制限し、1秒あたりのエコーリクエスト通過数を上限設定できます。インバウンド・アウトバウンドフィルタリング(BCP 38)を構成し、偽装された送信元IPをブロックします。ネットワークACLやDDoS対策サービスを利用し、コア到達前に過剰なpingをドロップします。クラウド環境ではボリューメトリック攻撃防御を有効化します。最後に、ICMPの傾向を監視し、しきい値アラートを設定して迅速に対応できるようにします。

