DoSとDDoSの違いは？疑似体験で見えた本当の弱点と脆弱性対策の学び

Webサイトやサービスを守る上で、「DoS攻撃」と「DDoS攻撃」の違いを理解することは、とても大切です。

言葉は聞いたことがあっても、

• 具体的に何が違い、どちらがより深刻なのか？
• 基本的な対策はしているけれど、本当にそれで十分なのだろうか？

といった疑問をお持ちではないでしょうか。

この記事では、DoS攻撃とDDoS攻撃の明確な違いを解説するだけでなく、さらに一歩踏み込みます。

実際の攻撃をリアルなレポート風のシミュレーションで示し、その脅威とビジネスへの影響を具体的にイメージしていただけるよう解説します。

さらに、一般的な対策の「限界」と、多くの場合で見過ごされがちな根本原因、すなわち「脆弱性」に迫り、本当に必要な対策を解き明かしていきます。

長年のセキュリティ診断実績を持つIFTが、現場の視点から分かりやすく解説します。

まずは基本から！DoS攻撃とDDoS攻撃とは？

まず本題に入る前に、DoS攻撃とDDoS攻撃の基本的な概要について、簡単におさらいしておきましょう。

これらの攻撃はどちらも、標的とするサーバーやネットワークに過剰な負荷をかけ、サービスを利用不能な状態に追い込む「サービス妨害攻撃」の一種です。

DoS攻撃とは？

DoS攻撃（Denial of Service attack）は、基本的に「1台」のコンピューターから標的に対して、大量の処理要求や不正なデータを送りつける攻撃です。

攻撃を受けたサーバーは処理能力を超えてしまい、応答が遅くなったり、最悪の場合はサービスが停止したりします。

より詳しいDoS攻撃の仕組みや種類については、以下の記事で解説しています。

あわせて読みたい

Webサイトは簡単に落とせる？DoS攻撃の仕組みを5分で理解！

「DoS攻撃」と聞くと、大規模なサイバー攻撃を想像されるかもしれませんが、実は、皆様が普段利用されているWebサイトでも、DoS攻撃によって簡単にサービス停止が停止してしまう可能性があります。 最近では、DoS攻撃を行うためのツールが、特別な知識やお金がなくても手軽に入手できるようになってしまいま

DDoS攻撃とは？

DDoS攻撃（Distributed Denial of Service attack）は、DoS攻撃をさらに強力にしたもので、「多数」のコンピューターから一斉に攻撃を仕掛けます。

攻撃者は、マルウェアなどに感染させて乗っ取った多数のコンピューター（これらを「ボット」と呼び、そのネットワークを「ボットネット」と呼びます）を遠隔操作し、標的に向けて大量のデータを送りつけるのが特徴です。

より詳しいDDoS攻撃の仕組みや近年の動向については、以下の記事をご覧ください。

あわせて読みたい

【初心者向け】DDoS攻撃は防げない？その仕組みと被害を最小限に抑える対策を解説

「Webサイトが突然表示されなくなった…」そんな経験はありませんか？ もしかしたら、それは「DDoS攻撃」のせいかもしれません。 最近ニュースなどでもよく耳にするこのDDoS攻撃、実は、企業規模を問わず、どんな組織にとっても他人事ではない脅威なのです。 実際に2025年3月にも、X（旧Twit

DoS vs DDoS：その決定的な違いとは？

DoS攻撃とDDoS攻撃は、どちらもサービス妨害を目的とする点は共通していますが、その性質や影響度には大きな違いがあります。

ここでは、両者の主な違いを整理して見ていきましょう。

攻撃規模・攻撃元の数・被害インパクト

最大の違いは、攻撃に関与するコンピューターの数です。

この攻撃元の数の違いが、被害の深刻さや対策の難易度にも直結します。

DDoS攻撃では、短時間に膨大な量の不正な通信が押し寄せるため、サーバーやネットワーク機器が処理しきれず、大規模かつ長時間のサービス停止を引き起こす可能性が高まります。

例えば、2016年に発生した「Mirai」ボットネットによる攻撃では、セキュリティ対策が不十分な監視カメラやルーターといった10万台以上のIoT機器が悪用され、米国のDNSサービス大手Dyn社が標的となりました。

その結果、TwitterやNetflix、Amazonなど、世界的に有名な多くのWebサービスが数時間にわたり利用できなくなるという深刻な事態を引き起こしました。

また、2021年に観測された「Meris」ボットネットによる攻撃では、ロシアの大手IT企業に対して毎秒2180万リクエストという、当時としては世界記録となる規模のトラフィックが送りつけられたと報告されています。

このような桁違いの攻撃規模は、DDoS攻撃の脅威を如実に示しています。

表で見る両者の比較（難易度・検知方法など）

DoS攻撃とDDoS攻撃の主な違いを以下の表にまとめました。

項目	DoS攻撃	DDoS攻撃
攻撃元	攻撃者の1台 or 少数のマシン	数千～数十万台のボットネット（分散）
トラフィック規模	比較的限定的	非常に大規模になる可能性が高い
検知の容易さ	攻撃元IPが特定しやすいため比較的容易	攻撃元が多数・分散し、IP偽装も多いため検知が困難
防御の難易度	IPアドレス遮断などで対処しやすい	攻撃元の特定・遮断が困難。多層的な対策が必要
主な対策手段	ファイアウォール、アクセス制御リスト	DDoS緩和サービス、CDN、WAF、専門ベンダーによる支援など総合的な対策が不可欠
被害の深刻度	部分的・一時的なサービス遅延/停止	大規模・長時間のサービス停止、ビジネスへの甚大な影響

このように、DDoS攻撃はDoS攻撃に比べて格段に対策が難しく、被害も深刻化しやすい傾向にあります。

攻撃元が世界中に分散している上に、IPアドレスを偽装しているケースも多いため、単純なIPアドレスベースの遮断では効果が薄く、正常なユーザーからのアクセスまでブロックしてしまうリスクも伴います。

そのため、DDoS攻撃への対策には、単純な防御策だけでなく、攻撃トラフィックを専門的に分析・洗浄するサービスや、コンテンツ配信を最適化する仕組み、そして何よりも攻撃の根本原因となりうるシステムの「脆弱性」への対処が大切になってきます。

【被害シミュレーション】実際のDDoS攻撃を疑似体験

理論や違いを理解したところで、実際にDDoS攻撃を受けると、企業や担当者はどのような状況に置かれることになるのでしょうか？

リアルな状況を体験していただくために、 ここでは、ある架空のECサイト運営会社がDDoS攻撃を受けた際のインシデント対応を、レポート風に時系列で見ていきましょう。

【発生】XX年X月X日 午前9時15分

週明けの月曜日、午前9時の業務開始とともに、ECサイトへのアクセスが徐々に増加し始めます。

普段通りの朝…のはずでした。

午前9時15分、社内の監視システムから、Webサーバーへの異常なトラフィック急増を示す通知が届きました。

ほぼ同時に、カスタマーサポート部門へ「サイトが表示されない」「カートに商品が入らない」といった顧客からの問い合わせ電話が複数入り始めます。

【状況①】顧客からのアクセス不能報告、同時多発アラート

ITインフラ担当者は、すぐさま状況確認を開始。

監視ダッシュボードを見ると、外部からのネットワークトラフィック量が通常の10倍以上に跳ね上がり、WebサーバーのCPU使用率はほぼ100%に達しています。

アクセスログには、特定の海外IPアドレスレンジから、異常な数のアクセス試行が記録されていました。

「DoS攻撃か…？」

まず、攻撃元と疑われるIPアドレスをファイアウォールで手動ブロックする対応を試みます。

しかし、ブロックしてもすぐに別のIPアドレス帯からのアクセスが増加し、状況は一向に改善しません。

むしろ、アラートの数は増え続け、サイトは完全にアクセス不能な状態に陥っていました。

カスタマーサポートへの問い合わせ電話は鳴り止まず、社内は混乱に包まれ始めます。

【状況②】原因特定と対策の難航（発生〜6時間経過）

発生から6時間が経過。

ITインフラチームは不眠不休で対応にあたっていますが、攻撃の全容は依然として掴めていませんでした。

パケットキャプチャによる詳細な分析の結果、SYNパケットを大量に送りつけてサーバーのリソースを枯渇させる「SYNフラッド攻撃」が主体であることが判明。

しかし、攻撃元のIPアドレスは世界中に分散しており、その多くが偽装されている可能性が高い状況です。

IPアドレスベースでの防御は、もはや限界でした。

サーバーのスペック増強も試みましたが、押し寄せるトラフィック量に対しては「焼け石に水」の状態。

社内で導入していたWAF（Web Application Firewall）も、大量のコネクション要求そのものを捌ききれず、有効な防御策とはなっていませんでした。

対応に追われる中、チームメンバーの脳裏に、ある懸念がよぎります。

これらの「後回し」が現状を招いた一因ではないか、という疑念がメンバーの心に重くのしかかります。

【状況③】ビジネスへの影響拡大（発生〜24時間経過）

攻撃開始から丸一日が経過しても、ECサイトは断続的にダウンしたままです。

この間、サイト経由の売上は完全にゼロ。

ちょうど開始したばかりの大型セール期間中だったこともあり、機会損失額は数千万円規模に達すると試算されました。

カスタマーサポート部門はクレーム対応に追われ続け、疲弊の色は隠せません。

SNS上では「#サンプルコマース繋がらない」というハッシュタグが拡散され、「サイバー攻撃を受けたらしい」「個人情報が漏洩したのでは？」といった憶測や不安の声が飛び交い、企業イメージは大きく傷つき始めていました。

経営陣は、自社だけでの完全復旧は困難と判断。

コストはかかるものの、外部の専門セキュリティベンダーへ緊急支援を要請することを決定します。

同時に、顧客への影響と原因調査のため、サービスを一時的に完全に停止するという苦渋の決断を下すことになりました。

【状況④】外部支援による原因究明と復旧（発生〜72時間経過）

外部セキュリティベンダーの支援が開始されました。

専門家による高度なトラフィック分析とログ解析の結果、攻撃手法はSYNフラッドに加え、特定のUDPポートを狙ったフラッド攻撃も組み合わされていたことが判明。

さらに、攻撃の踏み台となっていたボットネットの種類も特定されます。

そして、最も重要な発見として、チームメンバーが懸念していたWebサーバーのミドルウェアの脆弱性（CVE-202X-XXXX）が、攻撃の侵入経路、あるいは攻撃を増幅させる要因として悪用されていた可能性が高いことが指摘されました。

また、WAFの設定不備も防御効果を著しく下げていたことが明らかになりました。

ベンダーの助言に基づき、以下の対策が迅速に実施されました。

これらの対策が効果を発揮し、攻撃開始から約72時間後、ようやくECサイトは安定稼働を取り戻しました。

しかし、これで終わりではありません。

サービス復旧後も、

といった、多くの課題が残されました。

このインシデント対応にかかった費用（外部ベンダー費用、機会損失、信頼回復コストなど）は、事前の対策コストを遥かに上回るものとなってしまったのです。

 

【注釈】 これは架空の事例です。レポート内に登場する企業名、個人名、日時、状況設定等はすべてフィクションであり、実在する企業、個人、団体とは一切関係がありません。

このシミュレーションは一例ですが、DDoS攻撃がいかに深刻な事態を引き起こし、ビジネスの根幹を揺るがしかねないか、リアルに感じていただけたのではないでしょうか。

インシデント事例から学ぶ教訓：脆弱性対策で見落としがちなポイント

先のインシデントシミュレーションは、私たちに多くの重要な教訓を教えてくれます。

特に、日頃のセキュリティ対策において見落とされがちな「脆弱性」に関するポイントを3つ、深く掘り下げていきましょう。

教訓1：「うちは大丈夫」という油断が最大の脆弱性

シミュレーションの担当者が抱いた「まさか自社がこれほど大規模な攻撃を受けるとは…」という思いは、多くの企業担当者が感じてしまうかもしれません。

「うちは規模が小さいから狙われない」「大手企業ほど価値のある情報はない」といった考えは、非常に危険な考え方と言えるかもしれません。

実際には、DDoS攻撃の標的は大手企業に限りません。

攻撃者は、セキュリティ対策が手薄な中小企業のサーバーや、あるいは一般家庭のルーター、IoT機器などを乗っ取り、それらを「踏み台」として利用します。

2021年のMeris攻撃では、脆弱性が放置された一般向けのルーター約25万台がボットネットの一部になったとされています。

つまり、自社のセキュリティ意識の低さが、意図せず他の企業への攻撃に加担してしまうリスクもある、ということです。

「うちは大丈夫」という根拠のない自信は、セキュリティ対策への投資や意識向上を妨げる最大の「脆弱性」と言えるでしょう。

常に「自社も狙われる可能性がある」という前提に立ち、対策を怠らない姿勢が大切です。

教訓2：パッチ管理・設定不備が攻撃者に絶好の機会を与える

シミュレーションの中で、担当者が「パッチ適用が後回しになっていた」「WAFの設定がデフォルトのままだった」と気づく場面がありました。

これは、実際のインシデント現場でも、非常によく耳にする話です。

ソフトウェアやミドルウェアには、日々新たな脆弱性が発見されます。

開発元からは、それらを修正するためのセキュリティパッチが提供されますが、日々の業務に追われて適用が遅れたり、適用によるシステム影響を懸念して見送られたりすることが少なくないのが現実です。

また、ファイアウォールやWAFなどのセキュリティ機器も、導入しただけで満足してしまい、自社の環境に合わせた適切な設定やチューニングが行われていないケースが見受けられます。

2016年のMirai攻撃では、初期パスワードが変更されていないIoT機器が主な標的となりました。

このように、基本的なパッチ管理の徹底や設定の見直しを怠ることは、攻撃者にとって格好の侵入口を提供してしまうことになってしまいます。

セキュリティ対策は「導入して終わり」ではなく、継続的な運用管理がとても大切です。

教訓3：インシデント発生時の対応コストは、事前対策コストを遥かに上回る

シミュレーションの最後で触れたように、インシデントが発生してからの対応には、多大なコストがかかってしまいます。

外部ベンダーへの緊急対応費用、サービス停止による売上損失、顧客対応のための人件費、信頼回復のための広報費用、そして事後のシステム改修費用…。

これらを合計すると、事前に適切な対策（例えば、DDoS対策サービスの導入や定期的な脆弱性診断）を行っていた場合のコストを遥かに上回ることがほとんどだと言えそうです。

「セキュリティ対策はコストがかかる」と考えられがちですが、インシデント発生時の損失と比較すれば、事前対策はむしろ将来のリスクを低減するための「投資」と捉えるのが自然かもしれません。

経営的な視点からも、インシデントによる事業継続への影響を考慮し、予防的なセキュリティ対策の費用対効果を正しく評価することが大切になってきます。

これらの教訓を踏まえ、次のセクションでは、一般的な対策とその限界について見ていきましょう。

まずは知っておきたい、一般的なDoS/DDoS対策とその限界

DDoS攻撃の脅威を理解した上で、どんな対策があるでしょうか。

ここでは、一般的に知られている対策とその効果、そしてそれだけでは不十分な理由、つまり「限界」について見ていきましょう。

ネットワークレベルでの防御（ファイアウォール、IP制限、帯域確保）

ファイアウォールやアクセス制御リスト（ACL）を用いて不正アクセスや不要な通信を制限したり、十分なネットワーク帯域を確保したりすることは、ネットワークレベルでの基本的な防御策です。

これにより、ある程度のトラフィック増加に対する耐性を高める効果が見込めます。

しかし、大量かつ偽装されたIPアドレスからのDDoS攻撃に対しては、IPアドレス制限だけでは対処が困難です。

また、大規模な攻撃に対しては、自社で確保している帯域だけでは不十分な場合（まさに「焼け石に水」の状態）や、防御機器自体が過負荷になってしまう可能性も考えられます。

＜主な対策例＞

• ファイアウォールルールの定期的な見直し・最適化
• Geo-IPフィルタリング（国別IP制限）の検討
• ネットワークトラフィックの常時監視と早期異常検知
• ISP（インターネットサービスプロバイダ）などが提供するDDoS対策オプションの利用

＜限界と次の一手＞

ネットワーク入口での対策は基本ですが、大規模なDDoS攻撃や設定不備のリスクは残ります。

ネットワーク構成自体の安全性を客観的に評価するには、「プラットフォーム診断（ネットワーク診断）」で潜在的なリスクを洗い出すことが役に立ちます。

あわせて読みたい

プラットフォーム診断とは？ 自社に必要か見極める判断基準と効果・注意点

自社のサーバーやネットワーク機器といったITインフラのセキュリティ、「Webアプリケーション診断だけ」で本当に安心できるでしょうか。 十分に目が届きにくいシステムの「土台」部分に潜む脆弱性が、 重大なインシデントを引き起こすケースもしばしば見られます。 そこで大切になるのが、OSやミドルウェア、

プラットフォーム診断サービス

プラットフォーム診断

【クラウド環境にも対応】システム全体のセキュリティを調査したいなら株式会社アイ・エフ・ティ(本社:東京都)の「プラットフォーム診断」を。サーバやルーター、FWなどのネットワーク機器からクラウド環境までを診断し対策をご提案します。

アプリケーションレベルでの防御（WAF）

WAF（Web Application Firewall）は、自社が提供するWebアプリケーションの脆弱性を狙った攻撃や、特定のHTTP/HTTPSベースのDoS/DDoS攻撃を検知・遮断するのに効果を発揮します。

通信内容を詳細に分析し、不正なアクセスをより正確に見分けやすくなります。

一方で、SYNフラッド攻撃のようなネットワーク層レベルでの大量パケット攻撃への防御には限界があります。

また、大規模な攻撃時にはWAF自体が処理限界に達する可能性も考えておく必要があります。

さらに、その効果を維持するためには、継続的なシグネチャ更新や、自社環境に合わせたチューニングが欠かせません。

＜主な対策例＞

• WAFのシグネチャを常に最新の状態に保つ
• 自社のアプリケーションに合わせたカスタムルールを作成し、防御精度を高める
• WAFのログを定期的に監視・分析する
• 可能であれば、スケーラビリティの高いクラウド型WAFを選択する

＜限界と次の一手＞

WAFは強力な盾ですが、万能ではありません。

WAFをすり抜ける攻撃や、アプリケーション固有の脆弱性を突かれるリスクは残ります。

WAFの効果を最大化し、根本的な弱点を解消するには、「Webアプリケーション診断」で脆弱性を特定・修正することが大切です。

あわせて読みたい

Webアプリケーション診断とは？その効果と必要・不要の見極め方を専門家が解説

自社のWebサイトやサービスのセキュリティ、「本当に大丈夫？」と不安を感じていませんか？ 「『Webアプリケーション診断』を耳にするけれど、具体的に何をするの？」 「費用はどれくらい？」 「そもそも、うちの会社にも必要なの？」 このような疑問や不安、もしかしたらあなたも感じていませんか？

また、スマートフォンアプリを提供している場合は、アプリ自体の脆弱性がバックエンドAPIへの攻撃につながる可能性もあるため、スマートフォンアプリケーション診断も併せて検討することが、より包括的な対策となります。

アプリケーション診断サービス

スマートフォンアプリケーション診断

【開発段階からのご相談がベスト】スマホアプリの脆弱性診断なら株式会社アイ・エフ・ティ(本社:東京都)にお任せください！スマートフォンアプリケーション診断は、アプリの解析と実機検証を通して情報漏洩や改ざんなどの脆弱性の有無を診断します。

コンテンツ配信の最適化（CDN）

CDN（Content Delivery Network）は、コンテンツをキャッシュ配信することでオリジンサーバー（元のサーバー）の負荷を軽減します。

また、地理的に分散されたサーバーで攻撃トラフィックを吸収・分散させる効果も見込めます。

ただし、CDN自体が攻撃対象となる可能性や、動的なコンテンツやAPI通信などは保護しきれないケースもあります。

また、利用するCDNサービスによってDDoS対策機能のレベルが異なる点にも気をつけたい点です。

＜主な対策例＞

• DDoS対策機能が充実したCDNサービスを選択する
• キャッシュ設定を最適化し、オリジンサーバーへの負荷を極力減らす
• オリジンサーバーへの直接アクセスを制限する（CDN経由のアクセスのみ許可するなど）
• CDNの監視・アラート機能を活用する

＜限界と次の一手＞

CDNは負荷分散に有効ですが、オリジンサーバー自体の安全性が確保されていなければ意味がありません。

CDNに隠れたオリジンサーバーに脆弱性が残っていないか、脆弱性診断で確認し、根本的な対策をしっかり行っておくことが大切です。

システムの健全性維持（パッチ管理、設定見直し、脆弱性診断）

OSやミドルウェアなどのセキュリティパッチを適用して既知の脆弱性を修正したり、不要なサービスを停止したり、パスワードを強化したりといった基本的な設定を見直したりすることは、システムの健全性を維持する上でとても大切です。

これらは攻撃の足がかりを減らす効果が期待できます。

そして、もっとも根本的かつ効果的な対策が「脆弱性診断」です。

自社では気づきにくいシステムの弱点を専門家の視点で特定し、修正することで、攻撃のリスクを大幅に減らすことができます。

しかし、未知の脆弱性（ゼロデイ脆弱性）への対応は困難であり、パッチの適用漏れや設定ミスといったヒューマンエラーのリスクは常につきものです。

＜主な対策例＞

• 脆弱性管理プロセスを確立し、セキュリティパッチを迅速かつ計画的に適用する
• 不要なサービス・ポート・アカウントを定期的に見直し、整理する
• 複雑なパスワードの使用と適切な管理を徹底する
• 定期的な脆弱性診断（Webアプリケーション診断やプラットフォーム診断など）を実施し、システム全体のセキュリティリスクを網羅的に洗い出し、修正する

＜日々の運用だけでは不十分な理由と次の一手＞

パッチ適用や設定見直しは重要ですが、日々の運用だけでは見落としやミスが発生しがちです。

基本的な対策が本当に有効か、他に弱点はないかを確認するには、専門家による定期的な脆弱性診断が一番確実な方法だと言えそうです。

診断によってリスクを可視化し、優先順位をつけて対策を進めることが、真のセキュリティ強化につながっていくのです。

なぜ表面的な対策だけでは不十分なのか？根本原因「脆弱性」への対処

上記で紹介した対策は、それぞれ有効な場面もありますが、共通しているのは「対症療法」的な側面が強い、という点が挙げられます。

攻撃トラフィックをブロックしたり、負荷を分散させたりすることはできますが、攻撃者が悪用するシステムの根本的な「弱点＝脆弱性」そのものを取り除くわけではないのです。

攻撃者は常に新しい手法を生み出し、システムの脆弱性を探し続けています。いくら入口で防御策を講じても、システム内部に未修正の脆弱性が残っていれば、そこを突かれて攻撃が成功してしまうリスクがあります。

先のシミュレーションでも、パッチ未適用の脆弱性が攻撃を深刻化させる一因として影響していました。

したがって、真に効果的な対策を実現するためには、これらの一般的な防御策に加えて、自社システムに潜む「脆弱性」を定期的に発見し、修正していくという、より根本的な考え方が重要になってきます。。

あなたの会社のセキュリティ体制は万全か？ 脆弱性リスクセルフチェック

これまでの内容を踏まえ、貴社のセキュリティ体制、特に脆弱性対策について、一度立ち止まってチェックしてみましょう。

以下の項目について、自社の状況を正直にチェックしてみてください。

どうでしたか？

もし、チェックできない項目が複数あったり、「最重要」と記した脆弱性診断の実施ができていない場合には、貴社のシステムには、DDoS攻撃を含むサイバー攻撃のリスクが潜んでいるかもしれません。

まとめ：深刻な被害を未然に防ぐために。今すぐ始める脆弱性対策

この記事では、DoS攻撃とDDoS攻撃の基本的な違いから始まり、架空のインシデントレポートを通じてDDoS攻撃がもたらすリアルな脅威とビジネスへの影響を疑似体験する形でお伝えしてきました。

そして、その教訓から、一般的な対策の限界と、根本原因である「脆弱性」への対策がいかに重要であるかを説明してきました。

しかし、深刻な被害を未然に防ぐために一番大切なのは、自社システムに潜む脆弱性を正確に把握し、計画的に対処していくことです。

先のセルフチェックで不安を感じた方は、まず以下のステップから始めてみることをおすすめします。

特に、定期的な「脆弱性診断」は、自社では気づきにくいシステムの弱点を専門家の視点から洗い出す上でとても有効な方法だと言えます。

診断結果に基づいて具体的な対策を進めることで、セキュリティレベルを効果的に高めることにつながります。

DDoS攻撃のリスクは、決して他人事ではありません。

この記事が、貴社のセキュリティ対策を見直し、具体的な行動を起こすきっかけとなれば嬉しく思います。