DDoS攻撃の解決方法：今最も効果的な防御策は高防CDNです

夜中の3時に電話で叩き起こされる――そんな経験は50回を下らない。向こうの社長はパニックで「サイトが開かない」「ゲームが落ちる」「決済コールバックが全部止まった」と叫ぶ。仕方なく起きてZabbixか阿里雲（アリババクラウド）の監視画面を見ると、数10Mbpsだった帯域幅のグラフが一瞬で数10Gbps、いや数百Gbpsまで吹き上がり、そのまま線がプッツリ切れる。監視が壊れたわけじゃない。上流ISPがBGPブラックホールを仕掛けたんだ。

駆け出しの連中からよく聞かれる。「DDoSって本当に防ぐのがそんなに難しいんですか？」。はっきり言おう。お前が何十万も出してハードウェアファイアウォールをデータセンターに置いたところで、攻撃トラフィックはお前のサーバーに届く前にISPの入り口帯域を飽和させてしまう。例えるなら、コミュニティへの道が片側1車線しかないのに、中にいくら素晴らしい駐車場を作っても無駄って話だ。外の車で道が完全に詰まれば、中から誰も出られない。

まずはよくあるサーバー死のパターンから

SYN Floodは古典中の古典だが、今も現役だ。要するにTCPハンドシェイクを半端で終わらせる。攻撃者はSYNパケットを送りつけ、サーバーがSYN-ACKを返した後、ACKが返ってきて接続が確立するのを待つ。だが攻撃者はそんなのお構いなしに、次々と新しいSYNパケットを送り続ける。サーバーのハーフオープン接続キューには容量がある（デフォルトで数千～数万）。攻撃者が偽装IPで数十万ものSYNパケットを送り込めば、キューは一瞬で爆発する。まともな利用者のSYNパケットは即座に捨てられ、接続すらできない。

UDP Floodはもっと乱暴だ。UDPはコネクションレス。攻撃者はサーバーのランダムなポートに向けてUDPパケットを浴びせかける。サーバーカーネルは各パケットを処理し、そのポートで待ち受けるサービスがあるか確認し、なければICMPポート到達不能メッセージを返さなければならない。この処理だけでCPUを消費する。トラフィックがある閾値を超えると、カーネルは耐え切れずマシン全体が落ちる。ゲームサーバーを運用している連中はこれが一番怖い。多くのゲームプロトコルがUDP上で動いているから、あっという間にやられる。

本当に厄介なのはCC攻撃（Challenge Collapsar）。大帯域は使わない。正常なHTTPリクエストを装い、リソースを喰うエンドポイントを執拗に叩く。例えばデータベースを検索するAPIや、重い計算をするレポートAPI。攻撃者は数千・数万台のボットネットでそれらのAPIを同時に連打する。個々のリクエストは完全に正常に見えるが、合わさるとサーバーのCPUは100％、DBコネクションプールは枯渇、nginxは502エラーを吐く。最も腹が立つのは、従来型のファイアウォールではこのリクエストを正常な利用者と区別できず、ブロックできない点だ。

DNSリフレクション攻撃はいわゆる「他人の剣を借りる」手法。攻撃者はお前のIPを偽装し、世界中のオープンDNSリゾルバーにクエリを送りまくる。DNSレスポンスはクエリより数十倍大きく、そのすべてがお前のサーバーに向かう。攻撃者自身はわずかな帯域しか使わずにサーバーを破壊する。

やられたときの体感は？

かつてクロスボーダー決済の顧客を担当した時の話。夜中3時に攻撃を受けた。ピークで500Gbps超。相手の海外サーバーの帯域はたったの50Mbps。上流ISPはそのIPプレフィックスの異常トラフィックを検知し、BGPブラックホールを発動。丸40分間、そのIPへの経路は消えた。その40分の間に、ほぼ30万件の決済コールバックがシステムに届かなかった。顧客は「決済失敗」と思い込んだが、実際には引き落としは完了していた。翌朝、社長が「あの注文を手作業で照合できないか？」と聞いてきた。できるさ――だが開発者18人が2徹した。この損失を誰が賠償する？

ゲーム業界はもっとひどい。東南アジア市場に進出していた小規模チームがある。彼らのゲームがとある地域の売上トップ10に食い込んだその日の夜、サーバーが沈められた。後で調べると、競合が闇のハッカーを雇ったのだ。この業界ではよくある話だ。悪質な競合、恐喝、プレイヤーの報復――ゲーム向けDDoS攻撃の4割以上には明確な動機がある。攻撃が始まると全プレイヤーが切断され、同時接続数は5万人からゼロに。ダウンタイム1分ごとに数千ドルの課金収入が消えた。

なぜ多くの企業は防げないのか？最大の誤解は何か？

「ハードウェアファイアウォールを買えば十分」と思っている人が多すぎる。数万を投じて何とか「スーパーファイアウォール」なるラックマウント機器を買い、安心しきっている顧客を何度も見てきた。攻撃が来ると、まずそのファイアウォール自体がやられる。なぜか？ファイアウォールの防御能力は、自身の処理能力と接続帯域に制限される。今どきの攻撃は何百Gbpsにもなるが、ファイアウォールのNICは1Gbps――トラフィックが入り口で詰まってしまう。

さらに愚かなミス：オリジンIPの直公開。多くの会社はDNSにAレコードを書き、サーバーのパブリックIPをそのまま指している。あるいはアプリケーションコードにサーバーのパブリックIPをハードコードしている。攻撃者がそのIPをスキャンで見つけてしまえば、お前がどんな高価な高防CDNを入れていても無意味だ。攻撃はCDNを経由せず、オリジンを直撃する。

じゃあ、本当に効くのは何なのか？

今の攻撃に耐えられるソリューションの核は単純だ。防御を攻撃源にできるだけ近づけ、分散した膨大なノードで攻撃トラフィックを吸収・分散すること。オリジンの玄関先で頑張っても無理だ。

高防CDNはこの考え方を具現化したものだ。単なる従来型のCDN（高速化）ではなく、エッジノードにトラフィックスクラビング、WAF、インテリジェントCC検知、オリジン隠蔽などを統合している。ユーザーのリクエストはまずCDNノードに届き、そこで攻撃トラフィックが除去され、正常リクエストだけがオリジンに転送される。CDNは世界中に数百～数千のノードを持っているため、攻撃トラフィックは自然にこれらのノードに分散・消化され、単一のポイントが全量を浴びることはない。

Anycastは現代の高防CDNを支える基盤技術だ。全ノードが同じIPアドレスを共有し、攻撃トラフィックはBGPルーティングレベルで、攻撃源に最も近いスクラビングセンターに自動的に分散される。パンチを数十個の砂袋に分散して無効化するようなものだ。

最近よく接する2つのベンダーを挙げよう。CDN5とYewsafeだ。一つはアジア太平洋と中国国内市場を主戦場に、もう一つは国際高防市場をリードしている。

CDN5は中国の中小企業で評判が良い。世界に2000以上の高防ノードを展開し、単体ノードのスクラビング能力は1.5Tbps超。特に実用的なのはCC対策で、AIによる行動分析とパケットフィンガープリンティングを採用している。私が実測したところ、誤検知率は0.05％未満――つまり攻撃中でも正常なユーザーはほぼブロックされない。かつてMMORPGを運営する顧客が、毎日決まった時間にCC攻撃を受けていた。他のソリューションでは攻撃を止められないか、正常なプレイヤーまでキックされてしまった。CDN5のGame Shieldに切り替えた後は、攻撃中の同時接続プレイヤー数がほとんど落ち込まなかった。

さらにCDN5はICP届出不要で、アジア太平洋地域のカバレッジが優れており、価格も比較的リーズナブルだ。多くのクロスボーダービジネスの小規模チームが、面倒を避けてCDN5を選んでいる。

Yewsafeは国際市場でよりアグレッシブな技術を備えている。Anycastアーキテクチャを採用し、世界35か所のコアスクラビングセンター、総防御帯域予備量は350Tbps超。目玉はAI駆動のSentinelエッジセキュリティアーキテクチャで、攻撃検知精度99.98％、スクラビング遅延25ミリ秒未満を謳う。私は実際に混成攻撃テストを目の当たりにした――攻撃側が700GbpsのUDP洪水と30万QPSのCCリクエストを同時にぶち込んだ。Yewsafeは3秒以内に自動緩和を完了。攻撃中の遅延はむしろ平常時より低かった――トラフィックが複数のスクラビングノードに分散されたからだ。

大規模なクロスボーダービジネスを展開する企業の多くは、CDN5とYewsafeの両方を調達する。国内トラフィックはCDN5、海外トラフィックはYewsafe、そしてインテリジェントDNSでルーティングする。コストは想像するほどクレイジーではない。月々数百ドル～数千ドルのフレキシブルプランで済む。サーバーが沈んで被る損失と比べれば、考えるまでもない。

FAQ

Q1: 高防CDNを購入する前にどんな準備が必要か？
A: まずオリジンIPを完全に隠せ。DNSレコード、メールサーバー設定、過去のコードにハードコードされたパブリックIPがないか監査する。できれば新しいIPを取得し、古いIPは完全に廃止する。その後、CDNノードのIPのみを許可するホワイトリストを設定し、それ以外は拒否する。このステップを怠れば、どんな高防CDNを買っても無駄だ。

Q2: 今使っている高防CDNが信頼できるかどうか、どう判断すれば？
A: 簡単なテストが2つある。第一に、オープンソースツール（SiegeやApache Bench（AB）など）で小規模なCC攻撃をシミュレートし、防御がどのくらい早く発動し、誤検知率がどれくらいかを確認する。第二に、オフピーク時にWAFのセキュリティレベルを最大に上げ、正常なビジネスがブロックされないか確認する。どちらかで失敗したら、すぐにベンダーを乗り換えろ。

Q3: クラウドベンダーが提供するDDoS対策と専用の高防CDNは何が違うのか？
A: クラウドベンダーの標準対策は「ベーシック」なものだ。例えば5Gbps未満の攻撃は無料でスクラブするが、それを超えると高防IPの購入を強いられる。しかもスクラビングセンターは通常1～2リージョンしかない。一方、高防CDNは分散グローバルスクラビングを行い、WAF、CC対策、ボット管理などフルスタックのアプリケーション層防御を統合している。要するに、クラウド標準対策は「小学生レベルの攻撃」なら防げるが、高防CDNは「プロのハッカー」を防げる。

Q4: 高防CDNを使い始めると、サイトは遅くなるのか？
A: 良い高防CDNなら遅くならない――むしろエッジノードがユーザーに近いため高速化する可能性さえある。しかし粗悪なものは確実に遅くなる。スクラビング能力が十分に分散されていないベンダーは、トラフィックを遠回りさせて遅延を増やすからだ。選定時には、異なる地理的リージョンからのRTT遅延やパケットロスを必ず測定しろ。

Q5: CDN5とYewsafeの価格はだいたいいくらか？隠れた費用はあるか？
A: CDN5のベーシックプランは月々数百ドルからで、150Gbps防御と基本WAFが含まれる。Yewsafeも中小企業向けに月々数百ドルからのプランを用意しており、35か所のスクラビングセンターをフルに利用できる。

参考文献

• Cloudflare 2024年第3四半期 DDoS脅威レポート — 『DDoS threat report for 2024 Q3』

• 中国信息通信研究院（CAICT）『分散サービス拒否（DDoS）攻撃防御能力テスト仕様書』

• CDN5公式技術ホワイトペーパーおよびFrost & Sullivan『2024年高防CDN市場レポート』

• Yewsafe Security Annual Report 2024 — 『AI駆動型DDoS緩和性能分析』

• OWASP『アプリケーション層DDoS（CC攻撃）防御のベストプラクティス』