DDoS攻撃を解説—その原因、影響、サイトを保護する方法とは？

DDoS攻撃は驚くほど簡単に実行でき、毎年世界中の何百万ものウェブサイトに影響を及ぼし、攻撃の数は増加の一途を辿っています。

DDoS攻撃は、オンラインで活動することに伴う、避けられない副作用のように思えるかもしれません。サイトが成功すればするほど、ある時点で攻撃の標的になる可能性が高くなります。ただし、策はあります。DDoS攻撃がサイトに影響を与える可能性を減らすことができます。

こんな疑問をお持ちでしょう。DDoS攻撃とは？この脅威に対して、サイトはどのように保護すべき？

今回の記事では、DDoS攻撃とは何かを説明し、サイトを脆弱にする可能性のある要素を調査、その可能性と影響を減らす方法を概説します。

DDoS攻撃とは？

まずは、 DDoS攻撃とは何か—そして、重要な点として、何がDDoS攻撃に該当しないのか—を理解することから始めましょう。

DDoSは「分散サービス拒否」を意味しますが、多くの場合、単純に「サービス拒否」と呼ばれます。DDoS攻撃は、短時間の間にリクエストを殺到させることで、サイトを圧倒してクラッシュさせることを目的としています。ここでの「分散」は、この攻撃が複数の場所から同時に発生することを意味します。1つの場所からのみ発生するDoSと対比した表現です。

サイトがDDoS攻撃を受けると、数分または数時間で複数のソースから数千のリクエストを受け取ることになります。決して、ウェブサイトが突然トラフィックを急増させたわけではありません。リクエストは自動化されており、攻撃の規模に応じて、特定の複数のソースから送信されます。

以下のスクリーンショットは、サイトがDDoS攻撃の対象になった時に受信したリクエストの急増を示しています。

DDoS攻撃は、ハッキングと同義ではありませんが、2つは密接に関係しています。犯人は普通ウェブサイトのファイルや管理画面にアクセスしようとはしません。リクエストの量が原因でウェブサイトがクラッシュしたり脆弱になったりします。場合によっては、脆弱性が発生したときに、サイトのハッキングが試みられることもありますが、ほとんどの場合、目的は単にサイトの機能を停止することです。

DDoS攻撃を回避する方法がないかのように聞こえるでしょう。結局のところ、誰かがサイトをリクエストであふれさせると決めた際には、それを止めるためにできることは、ほとんどありません。

ただし、DDoS攻撃でサイトに被害を与えようとする人そのものを阻止することはあまりできませんが、攻撃を受けた場合であっても、サイトが機能し続け、ハッキングに対して脆弱にもならない、という策を講じることはできます。

この具体的な手順については、記事の後半でご説明します。まずは、誰かがサイトに対してDDoS攻撃を仕掛ける理由を調べてみましょう。

なぜDDoS攻撃が存在するのか

なぜWordPressサイトにDDoS攻撃が仕掛けられることがあるのでしょうか？そんなことをして、実行者にはどんな得があるのでしょうか？

攻撃者がDDoS攻撃を介してサイトを動作不能にしたい理由は、たくさん考えられます。例えば、競合他社による攻撃やコンテンツが原因となる攻撃など。

競合によるDDoS攻撃

理想的には、いかなる競合もコンテンツ、SEO、 コンバージョン率を改善することで、オンラインでのパフォーマンスを向上させようとしのぎを削ります。これは、他のウェブサイトを上回るための、至極真っ当な方法です。

しかし、場合によっては、競合が「極端な対策」を講じる可能性も否定できません—あなたのサイトにDDoS攻撃を仕掛けるために誰かを雇う可能性も。これはあなたのウェブサイトに悪影響を与えるだけでなく、ビジネスそのものにとっても痛手です。

あなたのサイトが回復し、再び機能するようになるまで、（特にあなたのビジネス名をキーワードとした）広告を出している場合には、競合がこの隙に、あなたから潜在顧客を奪うかもしれません。サイトがすぐに復帰できないと、検索ランキングが失墜し、競合のサイトがGoogleの検索結果であなたよりも上位に陣取る可能性もあります。

もちろん、誰がDDoS攻撃を実行したかを証明することは非常に困難です。攻撃は、言うまでもなく競合のIPアドレスからは発生しません！金銭的に莫大な余裕がない限り、実行が疑われる相手に対して法的措置を取ることは賢い選択肢とは言えないでしょう。

そもそも攻撃による影響から身を守る方がずっと重要です。また、競合に対してDDoS攻撃で応戦しようとはしないでください。確認ですが、違法です。競合がこの手段を使用するほど必死だということです。あなたのビジネスが手にする栄誉や評判が得られずに躍起になっているのだ、と勝ち誇りましょう。

コンテンツが原因のDDoS攻撃

一部のサイトは、コンテンツの性質上、DDoS攻撃の対象となっています。

たとえば、内部告発サイトは攻撃を受ける可能性があります。論争の的となっている問題（中絶、反人種差別など）を扱うサイトも、そのメッセージに賛同せず、アクションを停止したいと思う人からの攻撃を受けることがあります。または、あなたのコンテンツが商業的であるものの、繊細なテーマであり、オンラインにこれがあることをよく思わない人がいる、といったシナリオも考えられます。

サイトが攻撃されると、コンテンツが配信されなくなり、利用者が情報やガイドにアクセスする必要がある際に問題が発生します。

また、問題の解決に時間を費やすことで、サイトから得られるはずの収益も低下するでしょう（販売の減少、または非営利団体であれば寄付）。サイトが数時間または数日間「502エラー」を返し続けると、検索結果におけるランキングが低下する可能性があります。

政治的な動機のあるDDoS攻撃

サイバー攻撃が頻繁に、政治を混乱させるために利用される昨今、政治的動機によるDDoS攻撃が増加傾向にあります。

あなたのウェブサイトが政党、候補者または政治組織のためのものであるか、特定の政治的信念を推進している場合、それに反対する人々からの攻撃に対して脆弱である可能性があります。

その場合であっても、攻撃は政治的なあからさまな敵対者から直接もたらされるとは限りません。政治的議論を乱し、特定の種類のコンテンツをブロック、それを利用して人々の混乱を誘い、権利を剥奪しようと狙う外部のソースからもたらされる可能性も考えられます。

この攻撃は、ユーザーがコンテンツにアクセスできないようにする試み（上記を参照）にも、またはサイトの背後にいる個々の候補者や組織に対するより個人的な攻撃にもなり得ます。

ちなみに、これは、トレンドに合致した訪問者数の急増でサイトが過負荷になることとは話が違います。私はかつて、ある政党のウェブサイトを扱う仕事をしていたことがあります。政党のマニフェストが総選挙に向けて公開された時には大変でした。イギリスで最初の、オンラインキャンペーンが大きな意味を持った選挙となり、流入するトラフィックの量が予想を遥かに上回ったのです。

これに対し、DDoS攻撃は非常に鋭く、瞬発的な動きを見せ、リクエストの急増がほんの数分間だけ見られます。これはトラフィックの自然な急増とは全く違う見た目です。トラフィック急増であっても上昇はいきなりですが、その後は（絶壁のようにガクンと下がるのではなく）曲線を描きながら終息するものです。

キャンペーンを実行中であれば（大きな宣伝により脆弱になっている可能性あり）、サイトの運営を存続し、キャンペーン活動に集中すべき時に攻撃への対処で時間を無駄にしないことが特に重要です。だからこそ、政治的な動機によるDDoS攻撃からサイトを保護するために、後述する手順を実行しておきましょう。

DDoS攻撃による被害の種類

DDoS攻撃によって、その攻撃の性質と準備方法に応じて、さまざまな被害がもたらされます。

1. ウェブサイトのダウン

最も直接的かつ明白な被害は、ウェブサイトが圧倒され利用できない状態になることです。

つまり、ウェブサイトを経由し獲得するビジネスの類は、サイトが再び機能するまで、利用できなくなります。ウェブサイト所有者としての評判にも傷がつきます。また、サイトをすぐに修正しないと（Googleがサイトをクロールし、機能していないことが判明すると） SEOの面で悪影響がもたらされる可能性があります。

過負荷のためにサイトが利用できないと、「502 bad gateway」エラーが返されます。この状態が長く続くと、 検索ランキングに悪影響が及ぼされます。

また、サイトが数日間利用できない状態になった例（所有者が修正方法を知らず、バックアップもなかった）も見たことがあります。復旧したものの、そのサイトのGoogle検索結果で表示されていた内部リンクはすべてゼロに。

2. サーバーとホスティングの問題

サイトが定期的に攻撃の対象となり、これに対して緩和策を講じていない場合、ホスティングプロバイダーの問題にまでつながる可能性があります。

優れたホスティングプロバイダーは、DDoS攻撃からサイトを守るためのツールを備えています。一方で、このような策がなく、共有ホスティングを使用している場合、攻撃は同じサーバー上の他のサイトに影響を与えることもあります。

3. ウェブサイトの脆弱性

DDoS攻撃の際には、すべてのシステムがサイトをオンラインで正常に稼働させることに集中するため、 サイトがハッキングに対してより脆弱になることがあり、攻撃によりセキュリティシステムが機能しなくなっている可能性もあります。

DDoS攻撃がサイトを麻痺させることに成功すると、ハッカーにとってバックドアを介してサイトに侵入するのが用意になる場合があります。

このような更なる攻撃は、DDoS攻撃のリクエストと同じソースから送信されるとは限りません。狡猾なハッカーは、トラックを非表示にする方法、複数のIPアドレスを使用してサイトを攻撃する方法、彼らの実際の位置情報を隠す方法を心得ているものです。

したがって、DDoS攻撃の被害者となってしまったら、 WordPressサイトのセキュリティを確保することを最優先事項の1つとする必要があります。これは、「サイトをとりあえずの状態でオンラインで稼働させる」よりも間違いなく重要です。というのも、別の攻撃を受けて、元の（またはさらに悪い）状態に陥る危険性があるからです。

4. 時間とお金の消費

DDoS攻撃の対象となったウェブサイトの復旧には時間がかかります。そして、お金もかかることがあります。

サイトに何が起きているのかわからず、攻撃の可能性に対する備えがない場合、サイトをゼロから再構築する必要性が生じることも（その運命を辿ったサイトを見たことがあります）。サイトのバックアップがなければ、 どこから復元できるというのでしょうか？また、すぐに修正しないと、攻撃がサイトのSEOとビジネスパフォーマンスに長期的な影響を与える可能性があります。

サイトがダウンしている間は、（特にあなたのサイトがeコマースストアであれば）収益を失うことになります。また、サイトを再構築して今後起こり得る攻撃に確実に備えるために、セキュリティの専門家またはウェブデベロッパーを雇いお金を払うことになるかもしれません。

これらはすべて、DDoS攻撃からサイトを保護することがいかに重要であるかを物語っています。以前、あるクライアントがいました。そのビジネスの性質上、頻繁に攻撃が試みられていたのです。しかし、セキュリティ対策をしっかりと講じたために、そのサイトが悪影響を受けることはありませんでした。備えがあれば、DDoS攻撃による影響を受ける心配はありません。

ウェブサイトをDDoS攻撃に対して脆弱にしてしまう原因

サイトの中には、DDoS攻撃に対して脆弱なものがあります。脆弱な要素があると、最初の攻撃、そして2回目の攻撃、どちらの影響も受けやすくなってしまいます。

格安ホスティング

DDoS攻撃に対する脆弱性の最初の問題は（サイバー攻撃そのものは言うまでもなく）格安ホスティングです。

安価なホスティングには、主に2つの欠点があります。サポートの欠如とクライアントの量です。

ホスティングを非常に安く提供するために、ホスティングプロバイダーは同じサーバーを多数のクライアントで共同利用させることになります。つまり、そのサーバー上の他のサイトの1つが攻撃を受けた場合、そこから影響を受ける可能性があるのです。

格安ホスティングプロバイダーは、DDoS攻撃に対するセキュリティ対策を提供せず、攻撃が発生したときに警告を表示することもなく、サイトが機能しなくなったときにサイトの修復を支援しません。サイトの定期的なバックアップを取ることもありませんし、たとえそれを行ったとしても、あなたがサイトを復元するのを助けることはまずありません。

これは、安価なホスティングプロバイダーがあなたを欺こうとしているわけでも、約束したサービスを提供していないということでもありません。こうしなければ、利益を確保できないのです。

あなたのウェブサイトがビジネスや事業についてのものであるならば（特に評判とセキュリティが重要な意味を持ちます）、質の高いホスティングに投資するだけの価値はあるでしょう。サイトが攻撃された場合であっても、サイトの修正に時間を費やす必要がなく、サイトがDDoS攻撃の試みをもろともしない強さを持つとなると、尚更です。

準備の欠如

DDoS攻撃の可能性に備えていても、発生そのものを防ぐとことはできませんが、DDoS攻撃にさらされた際には、被害を最小限に抑えることができます。

まず、潜在的な攻撃に対するセキュリティ策を講じることで、攻撃が試みられてもサイトがオンライン状態を維持できる可能性が高まります。

そして、DDoS攻撃に対抗する方法を理解することも効果的です。サイトが攻撃され、ダウンしたとしても、準備ができていれば、準備していなかった場合よりもずっと早くサイトを復旧できるでしょう。

セキュリティソフトウェアをインストールするか、ホスティングプロバイダーが提供するセキュリティアラートを利用すると、サイトが攻撃を受けた場合にアラートが送信され、ユーザーやホスティングプロバイダーのいずれかがサイトを保護する措置を取ることができます。

サイトの定期的なバックアップをとれば、問題が発生した際にサイトを迅速に復元することができます。

また、サイトを最新の状態に保つことで、本質的に安全性が高まり、再構築する必要が生じた時にも問題が発生する可能性は下がります。

セキュリティの低い、または時代遅れのコード

WordPressのバージョン、テーマ、プラグインを最新の状態に維持しても、DDoS攻撃に対しての守りを固めたとは言えません。

攻撃を受け、ハッカーがサイトの弱点の現出を利用して不要なアクセスを試みたとしましょう。そんな場合には、サイトが適切に管理されていれば、ハッキングされてしまう可能性ははるかに低くなります。

予防措置としては、サイトを最新の状態に保つこと、信頼できるソースからのプラグインとテーマのみをインストールすることが挙げられます。WordPressのテーマ、プラグインのディレクトリは、無料のテーマとプラグインを見つけるのに最適な場所であり、 信頼ある開発者が揃っています。ホスティングとの非互換性を引き起こす可能性のあるコードをインストールしないように注意し、 違法配布されているテーマやプラグインはインストールしないでください。

DDoS攻撃からサイトを保護する方法

それでは、DDoS攻撃からサイトをどのように保護することができるのでしょうか？

さまざまな予防措置を講じることができますが、選択する内容は、設定、予算、好みによって異なります。

選択肢を一つずつ見てみましょう。

ホスティングプロバイダーで守る

Kinstaホスティングには、DDoS攻撃を受ける可能性を減らす多くの機能があります。

Kinstaを利用するすべてのサイトは、Google Cloud Platform（GCP）のファイアウォールの守りの向こう側に保存されます。各サイトコンテナ（WordPressサイトが存在する場所）は、複数のGCPデータセンターのいずれかの仮想マシン上で実行されます。これはロードバランサーの背後にあり、さらにGCPのエンタープライズレベルのファイアウォールの層で保護されます。

これらすべてが、DDoS攻撃の通過をはるかに困難にします。

DDoS攻撃が実行された場合のもう一つの保護策として、Kinstaは、Geo IPブロッキング機能も誇ります。KinstaがDDoS攻撃を検出し、あなたに警告を送信します。その後、Geo IPブロック機能を使用して、DDoS攻撃が発生しているエリアをブロックします。

このようにして、攻撃が発生している地域を安全にブロックし、その地域のIPアドレスはサイトにリクエストを送信できなくなります。

または、 MyKinstaの「IP拒否」ページから個々のIPをブロックすることもできます。

しかし、ここには難しい側面もあります。ホスティングプロバイダーがどんなに優れていても、DDoS攻撃に対する完全な保護を提供することは不可能です。優良ホスティングプロバイダーが行うのは、優れたファイアウォールの提供です。これにより、攻撃の可能性は減りますが、完全に取り除くことはできません。また、IPブロックなど、DDoS攻撃が開始された場合に、それを停止するためのツールも用意されています。

ですので、DDoS攻撃から完全にサイトを保護できると主張するホスティングプロバイダーがいれば、その主張は完全には正直でないことになります。攻撃の可能性を減らし、その影響を最小限に抑えることはできますが、DDoS攻撃を完全に阻止することはできません。

DDoS攻撃から完全に身を守るには、巨大なネットワーク（世界中の他のサイトへの攻撃に関する情報のデータベースを持つもの）を使用し、攻撃を予測し、攻撃元のIPをブロックする必要があります。これに該当するサービスをいくつか見てみましょう。

Cloudflare

Cloudflareは、インターネットで最も人気のあるコンテンツ配信ネットワークプロバイダーの1つであり、攻撃やハッキングに対する保護も充実しています。その膨大な規模で、DDoS攻撃発信元に関する情報にアクセスし、さらに、必要とあれば、ネットワーク上のすべてのサイトのために特定のIPアドレスをブロックします。

Cloudflareのクラウドベースのネットワークは常に稼働し、学習による進化を続けています。つまり、潜在的な攻撃を把握し、24時間365日、好ましくないトラフィックがあなたのサイトに訪れることを阻止できるのです。これにはダッシュボードも付随し、これを使って、DDoS攻撃を監視、回避し、あなたのサイトの脆弱性を見極められます。

Sucuri

Sucuriは、ハッキング後にサイトをクリーンアップし、それの再発を防ぐサービスを提供することで名を馳せる会社です。DDoSに対する保護もこれに含まれます。

Sucuriのサービスは非常に大規模であり、40万人を超える顧客ネットワークを抱えているため、Cloudflareと同じように攻撃に関するデータベースを誇ります。該当するIPアドレスは、各サイトでブロックされます。

Sucuriのネットワーク規模はCloudflareほどではありませんが、高度なセキュリティ機能と監視が必要であれば、検討する価値はあるでしょう。Sucuriは、ダウンタイム、攻撃、ハッキングについてサイトを監視し、発生した際にはいかなるハッキングも修正します。

DDoS攻撃を受け、WordPressサイトが脆弱なときにハッキングされた場合、Sucuriを使用することで、できるだけ早く復旧し再びサイトを稼働できます。

まとめ

DDoS攻撃は一般的になりつつあり、数十億ドル相当の損害をもたらす可能性すらあります。

サイトへのトラフィックは制御できないため、DDoS攻撃からサイトを完全に保護することはできません。ただし、上記のサービスのいずれかを使用し、安価なホスティングを避け、DDoS攻撃が発生した場合に備えておくと、被害を受ける可能性ははるかに低くなります。