大規模なサイバー攻撃に立ち向かうには？　セキュリティのプロが推奨するクラウド分散型の対策

DDoS攻撃はいかに進化し、いかに脅威となるのか

髙井浩一氏：みなさまこんにちは。Cloudflare Japanの髙井と申します。お時間ありがとうございます。本日は30分ほどお時間をいただいて、DDoS攻撃についての包括したセッションを進めさせていただきます。よろしくお願いします。

まず最初にいくつか、2024年に弊社で実施した、日本も含めたセキュリティに関わるみなさま方に実施したアンケート結果の抜粋をご紹介します。

その結果によると、おおよそ8割のお客さまが過去1年間でインシデントが増加したと実感されていたり、9割を超えるお客さまに関しては、AIによる情報漏洩の危険性などを懸念されております。

このAIに関しましては、我々自身が統計をしている中でも同じような傾向が出ておりまして。2024年後半ぐらいから、AIの一般的な利用が高まるにつれて、それに合わせて攻撃自身のランダム性などが上がってきている統計が出ております。

AIの台頭によって、みなさま方の業務の利便性・生産性は上がる一方で、攻撃自体の高度化にも寄与する危険性がある側面が見えてきています。

Cloudflareのご紹介ですが、我々は世界中にインフラやデータセンターを330都市以上に展開をしています。統計では、インターネットのWebトラフィックのおよそ20パーセント程度がCloudflareのインフラを経由しています。

その中で、およそ1,820億件を超えるようなサイバーのセキュリティを日々ブロックしています。また、我々は権威DNS（特定のドメイン名に関する、正式な情報を持っているサーバー）も持っておりますので、日々で換算するとおよそ4.8兆を超えるクエリを処理しながら、7,100万を超えるHTTPのリクエストを秒間で処理するようなグローバルインフラとなっております。

20パーセント超のインターネットのWebトラフィックを通しながら、サイバーセキュリティの攻撃を検知・緩和し、それを我々の製品やお客さまがお使いのプロダクトにフィードバックをするといった営みを日々実施しております。

トレンドはHTTP/3やUDPのプロトコルによる攻撃

こちらも我々が毎四半期に公表しているブログの抜粋になるんですが、Cloudflare自身が観測をしたDDoS攻撃の概要になります。

左側半分がL3/L4 DDoS、ネットワークレイヤーのDDoS。それから右半分がHTTP、L7のDDoSといったかたちになるんですが、およそ半々であることがご覧いただけるかなと思います。

最近のトレンドをもう少しお話しすると、この半々はあまり変わらないんですが、例えば左側のL3/L4のDDoSに関して申し上げますと、UDPが今14パーセントなんですが、HTTP/3やUDPのプロトコルを使う用途が増えてきています。

トレンドとして、徐々にこのUDPのアタックの割合が増加しています。スライド右側は、7割超が既知のボットネットあるいは、その亜種を利用したL7の攻撃であったところが読み取れると思います。

みなさまも、年末年始の日本における大きな企業さまのサイバーアタックの被害は記憶に新しいところかと思います。

その中で、例えばフライトに関わるサービスや、ネットバンキングのサービスが年末年始、特に影響を受けた報道が大変多かったと思うんですが、そこで言われているのが、左側のL3/L4のDDoSの被害であったところが報道されています。

DDoS攻撃自体が大規模化、高速化してきた

もう1つのトレンドとして、DDoSの攻撃自身の大規模化、大容量化、高速化が1つ挙げられます。これは我々が2024年自発的に防御した代表例で、ミティゲート（mitigate、軽減）したDDoSの一番大きな攻撃になるんですが、5.6Tbpsという非常に大きなトラフィックを観測いたしました。

アタック・ベクターに関しては、「Miraiボットネット」のIoT機器を使ったボットネットの亜種によるUDPのフラッディングであったわけなんですが、左側の色が混じっているところが送信元となったIPアドレスを表現しています。

実に1万3,000個のIPアドレスをもって、とある我々のAPACのお客さまを目指したDDoS攻撃だったことがわかっております。

右下は、アタック元がどこの国から来たかというグラフになるんですが、USをはじめ世界中の国から、この1万3,000個の内訳としては世界中からトータルで5.6Tbpsといった攻撃が来ていたという観測をしております。

少し日本に目を向けますと、これは我々の「Cloudflare Radar」がWebで公開しているので、みなさま方もご覧いただけるものです。例として2024年年末から2025年の年始12月末から1月の10日にかけて、我々が観測した攻撃の概要になります。

まずアプリケーション層はL7の攻撃の概要になります。左側のグラフはどこから日本に向けての攻撃が飛んできたか、右側は棒グラフでそれを表現しています。

棒の大きさに比例してその攻撃の割合が大きかったことを表しているんですが、USから、次はベトナム、それからインドネシアでいろいろな国から日本に向けての攻撃が来ていたというところがあります。

その内訳に関しては右下になりますけども、この大部分が濃い青と、それから水色で構成されていますけども、ほぼ9割ぐらいはDDoSのミティゲーション（mitigation、環境への悪影響を軽減するための保全措置）あるいはWeb Application FirewallWAFによって軽減されたトラフィック……DDoSの種類であったといった分析結果になっています。

IPアドレスに対しての攻撃が多かった

ネットワーク層ですね。L3/L4の攻撃に関しては5.6Tbpsと紹介したとおり、Miraiボットネットを流用したUDPのフラッディング（ネットワーク機器の処理能力を超えるデータ量が発生し、ネットワークシステムの動作に支障が出る状態）は、日本に向けての攻撃としては一番大きかったです。

どういったお客さまのカテゴリーかというと、大部分が通信事業者さまがお持ちのIPアドレスに対しての攻撃であったところがわかっております。日々、ことDDoSに関して言うと、L3/L4だけではなくてL7も含めた多層的な攻撃が日々発生しているわけで、それに対応する多層的な防御策が必要になるとわかると思います。

以上をベースにこのDDoSに、それを防ぐための最適なプラットフォームはどういったものかといったご紹介をしたいと思います。

まず従来のアプローチについて、少しご説明したいと思います。右上のほうにオンプレミス型と書かれておりますが、代表的な例で言いますと、お客さまのデータセンターにハードウェア、アプライアンス型のDDoSを軽減するための機器を置かれるというかたちが、一番典型的なパターンかなと思います。

当然ながら、これはハードウェアのキャパシティ、処理能力と、防ぎたい攻撃の大きさのバランスが非常に重要になってまいりますし、当然投資をしてそれなりの処理能力を持ったものをご購入になれば、備えあれば患いなしで防げる攻撃の強さは当然増えていきます。

投資とのバランスが非常に大事になってまいりますし、アプライアンスという面で言うと運用ですとかメンテナンス、アプライアンス自身のパッチ等々のメンテナンスは常にやっていかないといけません。

左下のクラウド型に関していいますと、CDNのベンダー、プロバイダーの方がこういうアプローチを取っているところが多いかなと思います。

TbpsクラスのDDoS攻撃はクラウド分散型の対策を

ベンダーさんによって異なりますけども、限られたところでDDoSを軽減するためだけのスクラビングセンターが世界に何十ヶ所か存在していて、そこで軽減してクリーンになったトラフィックを元に戻すところが処理の順番になります。

本来やるべきWAFやCDNのサービスは、ほかのデータセンターで実施されることになりますので、当然ながら遅延等々が発生する懸念があります。

このいずれに関しても1つ共通して言えるのは、先ほどご紹介したようなTbpsクラスのDDoSが発生した場合に、限られたリソースや拠点での対応は限界があるのではなかろうかと我々は考えております。

それを軽減するためのCloudflareのアプローチをご紹介したいと思うんですが、我々はクラウド分散型と表現できるのではないかと思います。

これはどういうことかと言いますと、今は世界中に330都市にデータセンターを我々は配備をしているんですが、このデータセンターはすべてDDoSをミティゲーションするための機能を有しております。

何がいいかと言うと、2行目に書いてありますとおり、攻撃の送信元発生元に一番近いデータセンターで攻撃自身を検知して、軽減することができます。

つまり、先ほどご紹介した5.6Tbpsみたいな大規模なDDoSが発生した場合に、例えばアプライアンス型で言うと、5.6Tbpsが日本に向かって一斉に飛んできて、日本でハードウェアで止めるといったアプローチになるかと思います。

Cloudflareで言うと、それがアメリカなのかインドネシアなのかどこであってもかまわないんですが、より攻撃側に近いところで止めます。例えばターゲットが日本であった場合には、その攻撃トラフィックを日本に入れないアプローチが可能になりますので、局所型でキャパシティをふんだんに持つ必要がないアプローチが可能になります。

当然ながら、我々のデータセンターはDDoSのためだけに作られたデータセンターではありませんので、そのほかのサービスCDNも含めたほかのサービスが同じデータセンターでご利用できるので、大規模で世界中に分散されて高度化されたDDoSには、このクラウド分散型が一番適切なアプローチじゃないかと考えております。

Cloudflareはモダンなアーキテクチャを採用

少しおさらいになりますが、我々のアプローチは非常にモダンなアーキテクチャを採用しているがゆえに、すべてのデータセンター、すべてのサーバーですべてのサービスが稼働しているところが一番大きなアドバンテージになります。

今日ご紹介したのはDDoSだけなんですが、それ以外のサービスもまったく同じような動作手法、アーキテクチャを取っておりますので、ダッシュボードだけではなくて同じように必要な機能がお客さまに一番近いところ、あるいは攻撃者に一番近いところで動作するのがCloudflareのプラットフォームで一番の優位性になっています。

プロダクトや対応ソリューション、製品の紹介になります。ご覧いただいてわかるとおり、L3、L4、L7、それぞれの層、レイヤーで対応するDDoS保護、DDoS対策の製品が取り揃えられております。

本日はそのいくつかを抜粋してご紹介したいと思うんですが、ポイントとしては、先ほどご紹介したL3、L4、L7のすべてのレイヤーで必要なDDoSの保護を搭載いたしますので、必要に応じて、すべてでもかまわないですし、一部ご利用いただければDDoSの保護が実現できるかたちになっています。

まず最初に、一番上のウェブサイトDDoS保護の部分のご紹介をしたいと思います。

これは製品名等々はついていないんですが、我々のCDN系のサービスDNSのレコードを向けていただければ、リバースプロキシの代表的なものを記載していますが、L3、L4、L7のDDoSのミティゲーションが自動的に動作しております。

特にお客さま自身が何か意識をしていろいろなチューニングを施す必要はないというところで、基本的にはすべてのお客さまに対してDDoSの保護は自動的に動作しております。

先ほど触れた年末年始の日本に対する攻撃の中で、実はCloudflareでは影響を受けたお客さまはいらっしゃらなかったんですが、自動的に動いているDDoSのミティゲーションの効果によるものであったのかなと推察しております。

IPアドレス攻撃の対策は「Magic Transit」

次が「Magic Transit（マジック・トランジット）」です。これは完全に製品名になりますので、特に深い意味はないんですが、L3レイヤーでのDDoS対策になります。上の2つはどちらかと言いますとFQDNベースでCDNと密に動作するDDoSになります。

アタッカーの視点で言いますと、IPアドレスを何かしらの理由でお客さま自身のIPアドレスがどこかで漏れてしまって、そのIPアドレスに対して直接攻撃を受けるようなパターンに関しての対応策として、このMagic Transitが位置付けられております。

これはどういうことかと言いますと、お客さまがお持ちのIPアドレスは「/24」が基本なんですが、そのプレフィックスを、お客さまの合意を得た上で、Cloudflare自身がCloudflareのBGPのASから該当のお客さまのIPのアドレスをアドバタイズいたします。

これによって当然ながら、お客さまのIPの送信元がCloudflareになりますので、お客さまIP宛ての通信はすべて世界中のCloudflareのエッジでいったん処理をされる、非常に単純なアプローチにはなりますが、IPアドレスベースL3/L4、TCP/UDPベースの攻撃に対しては非常に有効な策かなと思います。

今日はスライドとしては用意していないんですが、少し補足として2番目にありますとおり、DDoSの対策だけではなくてファイアウォール、それからIDS自身もオプショナルで使っていただくことができます。

例えば特定の国、特定のIPアドレス、特定のリージョン、特定のASの通信をまるっと止めたい場合、サービス自身がその国で提供されていない場合にはファイアウォールのルールをもって該当する国だけの通信を許可したり、サービス提供していない国のIPアドレスを遮断することが可能になります。

IDSでシグネチャベースで検知するものを運用に付け加えていただくことも可能になっています。

Cloudflareのアーキテクチャは分散型の攻撃対策にマッチしている

これは先ほどのおさらいになりますけども。BYOIPと呼んでおりますので、同じことですが、お客さま自身がお持ちのプレフィックスのBGPのASからアドバタイズいたしますというおさらいになります。

少しまとめに入っていきたいと思うんですが、文字どおりDDoSとはDistributed DoSで、分散型のDoSアタックに関してのセッションなので、当然ながら分散されたサイバーアタックになります。

それに対しては、今日ご紹介した我々のクラウド分散型のDDoS対策が、文字どおりベストマッチな手法ではなかろうかと思っております。

言い換えると、すべてのCloudflareのデータセンターがスクラビングセンターとして動作できますので、このアプローチ自身はCloudflare以外には実現できないと自負をしております。

その中で、WAFをご利用いただいているお客さまも大変多いんですが、いろいろなインシデントを受けて、自社内のDDoS対策をあらためて見直したところIPレイヤー、L3/L4レイヤーでのDDoS対策が不十分なので、あらためて我々にお声掛けをいただいているパターンが最近増えております。

そういったところですべてを止められるというか、なくなるわけではないので、できる限り多層、L3からL7のマルチレイヤでの対策を打ったほうがいいと思います。

守るべきものは当然サービス自身はそうなんですが、何か起きた場合の社会的信用や会社の社会的なブランドを著しく落としてしまうような、非常に潜在的には恐ろしい攻撃になっております。

どこから誰によるDDoSか、被害を受けたかというアンケートもCloudflareで実施しているんですが、それ自身には「誰かわからない」という回答が半分以上です。回答が返ってきたその中の半分は「実は競合他社からの攻撃ではなかろうか」と答えるお客さまもいらっしゃいます。

まさに誰がどこから攻撃してくるかわからないので、それをできるだけ自動的に分散されたかたちで動いているCloudflareのアーキテクチャは、それにマッチしていると考えています。

いかに包括的にDDoS攻撃などに対策していくか

今日ご紹介したDDoSのミティゲーション、プロテクションに関しては、我々が有しているこの全体的なソリューションセットの中のごくごく一部になります。左側のアプリケーションセキュリティの一部がDDoS保護、DDoS対策のプロダクトセットになります。

お客さま自身のセキュリティを高めていく観点においては、DDoSも非常に大事なんですが、当然ながらそれだけでは不十分かなと思います。いかにアタックサーフェスを減らしながら、それを統一化できるかが1つのキーワードかなと思っております。

そういう意味においては、DDoSもさることながらお客さま自身の従業員、拠点、リモートアクセスなどをいかにセキュアに担保しながら、SaaSやマルチクラウド、お客さま自身のWebサービスのアクセスをいかにセキュアに保っていくかが重要です。

ゼロトラストのソリューションセットもありますけども、「Secure Web Gateway」や「（Zero Trust） Network Access」「CASB（Cloud Access Security Broker）」「DLP（Data Loss Prevention）」があります。

Eメール自身も我々の強みとしてあるんですが、アタックの入り口をどう減らしていくか、どうセキュアに保つかという意味において、このEメールもなかなか外せないエッセンスになってくると思います。

これらはオレンジ色の部分が特にセキュリティを高めるところに寄与する製品群になっていくんですが、これらを統一のアーキテクチャ、統一のプラットフォームで世界中どこでも動かせるところがCloudflareの利点になります。

DDoSは当然必要な対策になると思いますけども、それ以外の視点で見た場合の包括的なセキュリティを高める意味においては、そのほかのソリューション自身もCloudflareの上で簡単に実現できるところをご覧いただきたいと思いますし、ぜひご検討いただければなと考えております。

私のセッションとしてはいったんこれにて終了としたいと思います。本日はご視聴いただきまして誠にありがとうございました。