要点
- DoSは単一の発信元から行われるシステム対システムの攻撃です。DDoSは複数のシステムが関与し、攻撃が複数の発信元から行われることを意味します。
- DoSでは、攻撃者は過剰なトラフィックで標的をあふれさせ、脆弱性を悪用してサービス障害を引き起こします。DDoSでは、攻撃者はより広い規模に攻撃を分散し、異なる地理的場所から攻撃を仕掛けます。
- DDoS攻撃はDoSよりもはるかに強力で、さらに複雑です。すべてのDDoSはDoSですが、すべてのDoS攻撃がDDoSというわけではありません。DDoS攻撃者はボットネットを使ってDoS攻撃の威力を増幅します。
- 単純なDoS攻撃はDNSサーバーを停止させる程度ですが、DDoSはブルートフォースを用いるため、単なる暗号化や入力検証だけでは防御できません。
Ubuntuは最近、DDoS攻撃を受けて障害に見舞われました。公開向けインフラは完全に停止しました。Blueskyもサーバー障害の原因としてDDoS攻撃を挙げています。こうした大企業だけの問題ではなく、スタートアップや中小企業でさえ、事業継続性を確保するために世界中で苦戦しています。評判が傷つき、サービスが停止すると、顧客は信頼を失い、離れていきます。こうした脅威を軽減するには、正しい方法と誤った方法があります。DDoSはDoS攻撃と多くの類似点もあるため、この分野に不慣れな人はこの2つの手法を混同しがちです。
DoS攻撃とDDoS攻撃の違いがわからない場合は、このガイドが役立ちます。法的な複雑さや、そのほか知っておくべき事項についても説明します。
DoS攻撃とは何ですか?
サービス拒否(DoS)攻撃は、マシン、ネットワーク、またはWebサイトをユーザーが利用できない状態にするために行われるサイバー攻撃です。過剰なトラフィックやリクエストで圧倒し、サイトやシステムの速度低下、クラッシュ、応答不能を引き起こします。
ここでは、把握しておくべき主なDoS攻撃の種類を紹介します。
DoS攻撃の種類
DoS攻撃は常に単一のシステムから発生します。その単一の発信元が悪意のあるトラフィックで標的を飽和させるか、プロトコルの弱点を悪用して、サービスが応答しなくなるまで攻撃します。攻撃者はこれを実行するためにいくつかの手法を使います。最もよく見られるのは次の4つです。
Teardrop攻撃
Teardrop攻撃はIPパケットを断片化し、その後、標的が再構成できない重複した不正なフラグメントを送信します。古いオペレーティングシステムは、これらのパケットに遭遇するとクラッシュまたは再起動します。最新のシステムは通常これらを拒否しますが、ネットワーク内の保護されていないレガシーサーバーは依然として魅力的な標的です。
フラッディング攻撃
フラッディング攻撃は、大量のトラフィックをサーバー、ネットワークリンク、またはアプリケーションに向けます。攻撃者はICMPエコー要求(ping flood)、UDPパケット、またはHTTPリクエストを使用できます。トラフィックは利用可能な帯域幅またはサーバーリソースをすべて消費します。1台のマシンが継続的にHTTP GETリクエストを送信するだけで、設定不備のあるWebサーバーを数分で枯渇させる可能性があります。
IPフラグメンテーション攻撃
これらの攻撃は、ネットワーク機器が断片化されたIPパケットを再構成する仕組みを悪用します。攻撃者は、オフセットが重複するフラグメントや不完全なシーケンスを含むフラグメントを送信します。フラグメントを再構成するためにそれらをバッファリングするルーターやファイアウォールはメモリ不足に陥り、正当なトラフィックを遮断します。フラグメンテーション攻撃は、検査エンジンが部分的なデータしか見られないため、パケット検査を回避することがよくあります。
SYN flood
SYN floodはTCPの3ウェイハンドシェイクを悪用します。攻撃者は、多くの場合、送信元IPアドレスを偽装したSYNパケットのストリームを送信します。標的は各ハーフオープン接続のためにリソースを割り当て、到着しないACKを待ちます。接続テーブルが埋まると、サーバーはすべての新規リクエストを拒否します。SYN floodは依然として最も一般的な単一発信元DoS手法の1つです。攻撃者はping of deathやアプリケーション層DoSにも依存しており、これはWebアプリケーションのリソース消費の大きい機能を悪用して、単一のエンドポイントから可用性を失わせるものです。
DDoS攻撃とは何ですか?
分散型サービス拒否(DDoS)攻撃は、DoSと同じ目的を持ちながら、それを数百または数千の侵害されたシステムに拡大したものです。攻撃者は、デバイスをマルウェアに感染させてトラフィックエージェントとして利用することでボットネットを構築します。また、設定不備のあるDNS、NTP、またはMemcachedサーバーを経由してリクエストを反射させることでトラフィックを増幅します。リフレクターとアンプは、小さなリクエストから、被害者に向けたはるかに大きなレスポンスを生成させます。
複数の発信元からのトラフィックは、検知と緩和をより困難にします。トラフィックが単一のIPからネットワークに入ってくる場合は、それをブロックできます。しかし、世界中の50,000の住宅用IPや偽装アドレスから到着する場合、シグネチャベースのフィルターや単純なレート制限は機能しません。
DDoS攻撃の種類
DDoS攻撃はインフラストラクチャの異なるレイヤーを標的とし、高い拡張性を持ちます。以下は、知っておくべきDDoS攻撃の種類です。
アプリケーション層DDoS攻撃
アプリケーション層攻撃はLayer 7を標的とします。攻撃者は、低速なHTTP POSTリクエスト、リソース集約型のAPI呼び出し、または正当なユーザー行動を模倣するHTTP floodを送信します。リクエストが有効に見えるため、これらの攻撃は単純なボリュームしきい値をすり抜けます。ログイン試行を処理する単一のサーバーは、攻撃を受けているのではなく、単に忙しいように見えることがあります。
ボリューム型攻撃
ボリューム型攻撃は、利用可能な帯域幅をすべて消費することを目的とします。攻撃者はボットネットを使用して、大量のUDPトラフィック、ICMP flood、または増幅されたDNSレスポンスをネットワークエッジに向けて送ります。回線が埋まると、正当なパケットはデータセンターに到達する前に破棄されます。これらの攻撃は、毎秒ギガビットまたはテラビット単位で測定されます。
プロトコル攻撃
プロトコル攻撃は、Layer 3およびLayer 4の弱点を悪用します。SYN flood、Smurf攻撃、ping of deathはすべてここに含まれます。攻撃者はサーバーの接続テーブルを消費するか、ステートフルファイアウォールやロードバランサーを圧倒します。プロトコル攻撃はネットワークインフラを標的とするため、上流側または専用のスクラビングアプライアンスでフィルタリングする必要があります。
DDoSとDoS攻撃:実際の事例
実際のインシデントを見ると、DoS攻撃とDDoS攻撃の違いがわかります。以下では、最近の実例を交えながらDoS攻撃とDDoS攻撃の事例を紹介します。
- 2026年初頭ごろ、31.4 Tbpsの攻撃がAisuru-Kimwolf botnetによって公表されました。この巨大ボットネットは100万台から400万台のデバイスに感染していました。標的はAndroid TV、ルーター、IoTカメラでした。Cloudflareなどの主要インフラプロバイダーでさえ、毎秒2億500万リクエスト(rps)のピークレートに達していました。
- 2026年第1四半期には、Operation Sindoorと中東での紛争が発生しました。地政学的緊張により、国家と連携したDDoS攻撃の波が引き起こされました。わずか72時間で、16か国の110社に対して149件を超えるハクティビストによるDDoS攻撃が発生しました。攻撃者は金融機関を狙ってcarpet bombing戦略を使用しました。中東のある金融機関は6日間で1.25兆件を超えるリクエストを受けましたが、そのすべてが正当なトラフィックのように見えたため、従来のフィルターを回避しました。
- 現在では、低強度のDoS攻撃が15分ごとに発生しています。昨年、偵察プロービングの脅威によりDoS攻撃は4倍に増加しました。攻撃者は単一のVPNインスタンスを使用してSYN floodを開始し、特定の認証およびログインエンドポイントを標的にしました。これによりサーバーリソースが枯渇し、認証失敗が発生し、正当なユーザーのTLSハンドシェイクがタイムアウトしました。DDoS攻撃とDoS攻撃の開始にAIが使われると、状況はさらに複雑になります。これらのDDoS攻撃とDoS攻撃の実例は、組織が近い将来直面する事態のほんの一部にすぎません(防御と緩和の準備をしなければ)。
DoS攻撃とDDoS攻撃の主な違い
DDoS攻撃とDoS攻撃のパターンや角度を並べて比較すると、4つの要素が際立ちます。以下は、DoS攻撃とDDoS攻撃の主な違いです。
発信元の分散とトラフィック量
DoSは1台のデバイスまたは1つのIPのみが関与します。一方、DDoSでは、攻撃者はボット、アンプ、リフレクターを展開して、地理的に分散したトラフィックを生成します。DoSのトラフィック量が毎秒ギガビットに達することはありますが、DDoSでは複数のテラビットに及ぶ場合があります。
速度と影響
DoSの影響は、サービスがどれだけ早く劣化するか、または攻撃が脆弱性を悪用してサービスを即座に停止させるかによって決まります。しかし、DDoSは、システムに瞬時に押し寄せる膨大なリクエスト量によっては、わずか数分でサービスを停止させることが可能です。DDoSはISPネットワークにも巻き添え被害を与え、ほかの顧客にも影響を及ぼします。
追跡可能性と法的対応
DoS攻撃では単一のIPが関与し、偽装される可能性はあるものの、法執行機関による追跡が可能です。DDoS攻撃ではコマンド&コントロールサーバーを特定することが困難です。IPを見つけ、その後DDoS攻撃の背後にいる個人までたどるのは、複数の法域にまたがる調査と多数のデバイスのフォレンジック分析を必要とするため困難です。そのため、このプロセスはDoS攻撃の場合よりも時間がかかり、複雑になります。
緩和ツールと要件
DoSの防止には、攻撃者のIPをブロックまたは破棄すること、あるいはアプリケーションのバグを修正することが含まれます。DDoSの防止には、スクラビングセンターの構築、クラウドベースのトラフィックフィルタリングツールやWAFの使用、ISPとの連携が必要です。また、トラフィックをスクラビングネットワーク経由に迂回させ、クリーンなトラフィックのみを転送することも含まれます。
DoSとDDoS:主な違い
DoSとDDoSの概要をすばやく把握するには、このDoS攻撃とDDoS攻撃の比較表を確認してください。DDoS攻撃とDoS攻撃の要素をひと目で確認できます。
| 要素 | DoS攻撃 | DDoS攻撃 | シナリオ例 |
| 発信元 | 単一のマシンまたはIP | 数千台規模のボットネットまたは反射型増幅 | Mirai botnet 対 単一のSlowlorisスクリプト |
| トラフィック量 | 低~中程度(Mbps) | 高い(Gbps~Tbps) | 1.35 Tbpsに達するMemcached増幅 |
| 攻撃手法 | SYN flood、ping of death、アプリ層の枯渇 | SYN flood、UDP flood、HTTP flood、DNS増幅 | 1つのIPからの繰り返しログイン要求 対 マルチベクターのボリューム型攻撃 |
| 検知の難易度 | 容易;ノイズの多い1つのIPが目立つ | 困難;分散したIPが正当なトラフィックパターンに似る | 1つのIPへのレート制限 対 地域横断の行動分析の調整 |
| 緩和 | IPのブロック、脆弱性の修正、レート制限 | スクラビングセンター、anycast分散、上流ISPフィルタリングを使用 | 単一IPのnull-routing 対 すべてのトラフィックをクラウドスクラビングサービス経由にリダイレクト |
| 追跡可能性 | 多くの場合、個人まで追跡可能 | ボットネットと偽装アドレスによって不明瞭化される | 1つのISPに対する法執行機関の召喚状 対 複数国にまたがる調査 |
| ダウンタイムの可能性 | 緩和されなければ数分~数時間 | 防御が不十分なら数時間~数日 | 単一サーバーのクラッシュ 対 グローバルなサービス停止 |
DoS攻撃とDDoS攻撃の影響
ダウンタイムはすべて収益損失を意味します。eコマースWebサイトが1時間停止すると、数十万ドル規模の収益損失につながる可能性があり、さらにSLA違反によって必須のクレジット対応が発生することもあります。企業がリアルタイムのデジタルサービスへの依存を強めるにつれて、こうした数字は今年以降さらに増加するでしょう。ダウンタイムは世間の認識にも影響し、顧客データが間接的に損なわれた場合には法的問題も招きます。
金銭的な影響に加えて、DoSまたはDDoS攻撃はほかのすべてのサービスにも影響します。大規模なボリューム型DDoS攻撃は、主要なインターネット回線を停止させるだけでなく、VPNやクラウドAPIサービス経由でサイトに接続するあらゆる接続も遮断し、それらを使用不能にします。従業員は内部アプリケーションにアクセスできなくなり、自動監視システムも沈黙します。DDoS攻撃は、実際の侵入を隠すためのスモークスクリーンとして機能します。
これらは注意をそらし、ネットワークの復旧を困難にします。ハッカーは混乱を生み出してさらに深く侵入し、より高度なデータ侵害を実行します。最終的にはマルウェアをインストールし、複数地域にまたがる障害を引き起こすこともあります。こうしたすべてが、顧客信頼の長期的な低下につながります。企業インフラや重要インフラ、政府ポータル、銀行サービスやアプリなどのサービスも影響を受けます。
2026年にDoS攻撃とDDoS攻撃を防止・検知するためのベストプラクティス
効果的なDDoSとDoSの緩和は、ネットワークアーキテクチャと継続的な監視から始まります。単一発信元の悪用と分散型フラッドの両方を捉える制御が必要です。今年、DoS攻撃とDDoS攻撃の両方を防止・検知するために従うべきベストプラクティスは次のとおりです。
- ルーターとファイアウォールにネットワークレベルのレート制限を導入し、単一発信元からの接続数を制限する。
- anycastネットワーク分散を使用し、トラフィックが1つのオリジンサーバーに集中するのではなく、複数の地理的ポイントで吸収されるようにする。
- クラウドスクラビングサービスを統合し、トラフィックがネットワークエッジに到達する前に処理・フィルタリングできるようにする。
- 重要なアプリの前段にWeb application firewall(WAF)を配置し、悪意のあるLayer 7リクエストをフィルタリングする。
- CDNを設定して、オリジンサーバーに負荷がかかっているときにバーストを吸収し、キャッシュされたコンテンツを配信できるようにする。
- ベースラインとなるトラフィックパターンを設定し、リクエストの急増、異常な地理的分布、またはプロトコルの不一致を検知する異常検知を使用する。
- 冗長化されたanycast対応リゾルバーでDNSインフラを強化し、response rate limitingを有効にする。
- DoSとマルチベクターDDoSの両シナリオをシミュレートする定期的なストレステストとレッドチーム演習を実施する。
- スクラビングサービスへのフェイルオーバーのタイミングとISPとの連携方法を定義したプレイブックを作成する。
- アクティブなDDoSイベント中の便乗侵入の兆候について、エンドポイントとワークロードのテレメトリを監視する。攻撃者はしばしばノイズを隠れみのとして利用するためです。
進行中のDoS攻撃とDDoS攻撃への対応方法
進行中のDoS攻撃とDDoS攻撃にどう対応すべきかわからない場合は、以下のヒントが役立ちます。次を実施してください。
- インシデント対応ランブックを有効化し、重大度レベルを直ちに宣言する。
- ISPまたはクラウドプロバイダーに連絡し、トラフィックサンプルを共有して上流フィルタリングを開始してもらう。
- 導入済みであれば、受信トラフィックをスクラビングセンターまたはDDoS緩和サービス経由に迂回させる。
- 単一発信元のDoSの場合は、ネットワークエッジで問題のあるIPをドロップまたはブラックホール化する。
- ログ、フローデータ、パケットキャプチャを保全する。これらはインシデント後のフォレンジック調査や法執行機関への照会を支援する。
- 社内関係者 - SOC、ネットワーク担当、アプリケーションオーナー、コミュニケーション担当 - に通知し、ステータス更新の準備や次の対応方針の判断ができるようにする。
- 顧客向けサービスに影響が出ている場合は、推定復旧時間を含む簡潔で事実に基づいたステータスページ更新を公開する。
- 攻撃ベクターの変化を監視しながら、WAFルールまたはACLで明白な攻撃シグネチャをブロックする。
- 攻撃後は証拠のチェーンを収集し、法執行機関または国家CERTに報告するかどうかを判断する。
- 48時間以内にインシデント後レビューを実施する。観測結果に基づいてランブックを更新し、レート制限を強化し、アラートしきい値を調整する。
SentinelOneはDoSおよびDDoSへのレジリエンスをどのように向上させるのか?
SentinelOneのSingularity PlatformはAutonomous Security Intelligence (ASI) によって支えられています。これは、悪意のある挙動を特定し、重要な作業を自動化し、マシンスピードで脅威に対応する、プラットフォームの基盤に組み込まれたインテリジェンスファブリックです。エンドポイント、クラウド、アイデンティティ、AIの各領域にわたり、ASIはセキュリティチームに対し、DoSおよびDDoSの脅威が深刻化する前に検知して阻止するためのツールを提供します。Singularity™ Endpointには、ネットワークトラフィックを自律的にフィルタリングし、ポートスキャンなどのDoS攻撃パターンをプロアクティブにブロックする組み込みファイアウォールと侵入防止システム(IPS)が含まれています。
Singularity™ XDR Platformは、AIと機械学習を使用して異常な挙動パターンをマシンスピードで検知します。エンドポイントからのテレメトリ、アイデンティティデータ、クラウド可視性を相関分析し、どのデバイスがいつボットネットのリレーノードのように振る舞っているかを特定します。
攻撃者がAIツールを使用してDDoSまたはDoS攻撃を仕掛けている場合、Prompt Securityはそれらを排除し、不正なエージェント型AIアクションの実行を防止できます。
Singularity™ Network Discovery (formerly Ranger)は、ネットワークトラフィックを監視し、分散攻撃に加担する未承認または不正なデバイスを特定できます。SentinelOneはまた、Impervaのようなサードパーティパートナーとも統合し、大規模なボリューム型攻撃に対する専用のDDoSスクラビングとAPI保護を提供します。
より詳細な調査のために、Purple AIでは、アナリストがセキュリティスタック全体に対して自然言語クエリを実行でき、複雑なクエリ言語を知らなくても攻撃パターン、挙動シグナル、対応ワークフローを明らかにできます。IDCの調査によると、Purple AIは組織によるセキュリティ脅威の特定を63%高速化し、修復時間を最大55%短縮し、3年間で最大338%のROIを実現します(IDC, July ‘25)。また、組み込みの脅威ハンティング機能により、エンタープライズセキュリティスタック全体にわたる最も広範な可視性をチームに提供します。
AIによるエンドポイント検知と対応。
結論
DoS攻撃は単一のシステムから発生する一方、DDoS攻撃は数千台の侵害されたデバイスを使用するため、はるかに強力で追跡も困難です。これらを阻止するには、攻撃そのものよりも速く動作する防御が必要です。つまり、ネットワーク、エンドポイント、クラウド、アイデンティティにまたがり、ツール間にギャップを残さない自律型保護です。SentinelOneは、AIネイティブな検知、マシンスピードの対応、統合された可視性を単一のプラットフォームに組み合わせることで、攻撃が長期的な被害を引き起こす前にチームが対応できるようにします。SentinelOneがDoSおよびDDoSの脅威からどのように保護するかを確認するには、ライブデモをご予約ください。
よくある質問
DDoS攻撃はDoSよりも危険です。DoSは単一の発信元を使用するため、IPを特定すればブロックできます。DDoSは侵害された多数のデバイスからネットワークに大量のトラフィックを送り込むため、阻止がはるかに困難です。トラフィックによってサーバーが圧倒される可能性があり、ブラックリスト化できる単一の発信元もありません。保護がなければ、何時間もダウンタイムが発生する可能性があります。
常にそうとは限りませんが、深刻なDDoS攻撃のほぼすべてでボットネットが使用されます。ボットネットとは、攻撃者がリモートで制御する感染済みデバイスのネットワークです。所有者が気付かないうちに、数千のエンドポイントから大規模なトラフィックフラッドを仕掛けることができます。技術的には、少数のサーバーから手動でDDoSを実行することも可能ですが、それは一般的ではありません。実際に継続的な攻撃でサービス停止に追い込むには、ボットネットが使用される手段です。
はい、中小企業は一般的な標的です。攻撃者は、小規模な企業が大企業ほどの防御を備えていないことを知っています。身代金要求の一環としてDDoS攻撃を受けることもあれば、単に業務を妨害する目的の場合もあります。Webサイトが停止すれば、収益と顧客を失います。自社は小さすぎて目立たないと思っていても、適切な保護計画は重要です。
ISPやクラウドプロバイダーは、悪意のあるトラフィックがネットワークに到達する前に上流でフィルタリングできます。これらは、不要なトラフィックを吸収するためのより大きな帯域幅とスクラビングセンターを備えています。クラウドDDoS保護サービスは、トラフィックをフィルター経由に迂回させます。ISPは自社インフラを守るため、攻撃中にIPをブラックホール化する場合がありますが、それではサービス停止になります。接続を切断せずにトラフィックをスクラビングするサービスが必要です。
Endpoint detection and responseツールは、DDoS攻撃を阻止するために構築されたものではありません。これらは、ノートPCやサーバーなどのデバイス上の脅威を監視するものであり、ネットワークレベルのフラッドを対象としていません。DoSまたはDDoSはインターネット回線を飽和させますが、EDRではそれを制御できません。優れたEDRであれば、トロイの木馬がマシンに感染し、それを使ってボットネットに参加していることを検知できます。しかし、攻撃の緩和には、ネットワークレベルの防御、ファイアウォール、クラウドスクラビングサービスが必要です。

