サービス妨害（DDoS）攻撃の定義

分散型サービス拒否（DDoS）攻撃とは？

分散型サービス拒否（DDoS）攻撃は、大規模かつ分散したトラフィックでサービスを圧倒し、正規ユーザーが利用できなくなる状態を引き起こします。これは、正常な車両が壊れているわけではなく、道路が渋滞して動かなくなるほど多くの車が一斉に高速道路に押し寄せる状況に例えられます。

このようなトラフィックの氾濫は、一般的に「ボットネット」と呼ばれる、マルウェアに感染し遠隔制御される多数のコンピュータやIoTデバイスから発生します。攻撃対象には取引所ウェブサイト、市場データや取引API、ブロックチェーンRPCノード、バリデータのP2P接続などが含まれます。

DDoS攻撃とDoS攻撃の違いは？

最大の違いは規模と分散性です。DDoS攻撃は複数の発信元から同時に仕掛けられますが、一般的なサービス拒否（DoS）攻撃は単一の発信元から行われます。DDoS攻撃は、悪意のあるトラフィックが世界中に分散しているため、ブロックや追跡が非常に困難です。これは、無数の蛇口が一斉に開かれるイメージです。

DoS攻撃であれば、単一のIPアドレスを遮断することで防御できる場合がありますが、DDoS攻撃を防ぐには、ネットワーク入口での上流フィルタリングやトラフィックの分散、アプリケーションレベルでのレート制限、段階的な機能制御など複合的な対策が必要です。

DDoS攻撃の仕組み

DDoS攻撃は主に2つのタイプに分類されます。

• ネットワーク層フラッド：大量のパケットで帯域幅や接続リソースを飽和させる攻撃です。SYNフラッドやUDPフラッドなどが代表例で、ビジネスロジックを実行せずに大量パケットを送信します。「リフレクション増幅」では、攻撃者が被害者のIPアドレスを詐称して複数のオープンサービス（DNSやNTPなど）に問い合わせを送り、これらのサービスが増幅されたレスポンスを被害者に返します。これは、拡声器を使ってターゲットに向かって叫ぶようなものです。

• アプリケーション層枯渇：正規ユーザーを装い複雑なリクエストを大量発行し、CPUやデータベース接続を消耗させます。HTTPフラッドやWebSocketの悪用が典型例です。Web3では、市場データ購読や注文処理用エンドポイントが主な標的です。攻撃トラフィックが実ユーザーの挙動に酷似している場合、ネットワークレベルのフィルタをすり抜け、アプリケーションのスレッドやキャッシュ、DB接続プールを直接消費します。

Web3におけるDDoS攻撃の標的

Web3では、DDoS攻撃は取引所ウェブサイトや取引・市場データAPI、ブロックチェーンRPCノード、フルノードのP2Pポート、クロスチェーンブリッジ、ブロックエクスプローラーなど、主要なエントリーポイントが主な標的となります。

たとえば、Gateのような取引所では、スポットおよびデリバティブAPIへのDDoS攻撃によって、ページ表示の遅延やローソク足・板情報フィードの中断、注文発注・キャンセルのタイムアウト、APIユーザーへのレートリミット強化やエラーコード頻発が発生します。RPC層では、パブリックノードへの攻撃によってブロックやアカウントのクエリがタイムアウトし、ウォレット残高の更新失敗やスマートコントラクト呼び出しの遅延につながります。

バリデータノードでは、過剰なP2P接続プローブによってブロック伝播が妨害され、ブロック生成や同期の安定性が損なわれます。クロスチェーンブリッジがパブリックインターフェースを公開している場合、オフチェーン署名や証明サービスが攻撃下で利用不能になることもあります。

DDoS攻撃の兆候とログ指標の特定方法

「ビジネスメトリクスに対応しない突然のパフォーマンス低下」が典型的なサインです。レイテンシの急上昇、タイムアウトや5xxエラーの増加、トラフィック量の急増と取引数やコンバージョンの不一致が発生します。

ネットワーク面では、入口での異常な帯域幅消費、SYNキューの飽和、発信元IPの地理的多様化の急増が見られます。アプリケーション面では、QPS（毎秒クエリ数）の偏り、p95レイテンシの上昇、DB接続プールの枯渇、キャッシュヒット率の低下、WebSocketセッション数の急増などが特徴です。

ログの特徴としては、繰り返しまたは不正なUser-Agent文字列、Referrerヘッダーのないリクエストの増加、単一IPから多種多様なURLへの短時間アクセス、静的リソースではなく動的エンドポイントへの直接攻撃などが挙げられます。ノードやRPCサービスでは、均質なコントラクト呼び出しや高頻度・低額クエリのパターンが典型です。

DDoS攻撃への緊急対応

1. 上流フィルタリングとレートリミットの発動：必要に応じて、最も攻撃を受けている宛先IPを一時的にブラックホール化したり、スクラビングセンター経由に迂回させることで、コアDBやマッチングエンジンの過負荷を防ぎます。

2. ビジネスデグレードとRead-Onlyモードの有効化：取引所はマッチングエンジンや資産セキュリティを優先し、非重要機能を縮小します。たとえば、チャートの遅延読み込みや不要なバッチAPIの一時停止、ローソク足履歴の短縮などです。

3. Anycastやバックアップドメインへの迅速な切替：Anycastは同一IPを世界各地に配置し、ユーザーが最寄りノードへ接続することでトラフィックを分散します。バックアップドメインは、攻撃が集中するエントリーポイントを隔離するのに有効です。

4. アプリケーション層のチャレンジ・認証強化：匿名エンドポイントへのCAPTCHA追加、APIキー単位でのトークンバケットレート制限やピークコントロール、コストの高いリクエストへの署名検証や事前キャッシュの適用などを実施します。

5. ISPやセキュリティベンダーとの連携：フィルタリング閾値やパターンを動的に調整しつつ、主要なメトリクス・ログ・アラートの有効性を維持します。

6. ユーザー向けのステータス更新とリスクアラートの発信：たとえば、Gateのステータスページで影響範囲や復旧見込み時間を案内します。ユーザーには、注文時に価格保護やリスクパラメータを設定し、ネットワーク不安定時の誤操作を防ぐよう推奨します。

長期的なDDoS防御戦略とコスト考慮

長期的な防御には、「トラフィック分散・吸収・フィルタリング・デグレード」を組み合わせた統合的アプローチが求められます。ネットワーク面では、高帯域冗長性や入口でのトラフィックスクラビングを導入します。AnycastとCDN（コンテンツ配信ネットワーク）を併用し、ユーザー近傍でトラフィック急増を吸収し、不要なリフレクションポートの閉鎖や増幅サービスへのアクセス制御を実施します。

アプリケーション面では、多層キャッシュや読み書き分離、ホットスポットエンドポイントの静的化・事前計算、WAF（Web Application Firewall）による異常検知、APIのユーザー単位QPSとバースト制御付きトークンバケットレートリミット、RPCエンドポイントのプライベートゲートウェイ・ホワイトリスト・発信元ベースのクォータなどを実装します。

エンジニアリングや組織面では、発動条件や担当を明確化した訓練・対応手順書の整備、可用性・p95レイテンシ・エラー率など重要SLO（サービスレベル目標）への監視集中、ビジネスピークやリスクに応じた帯域確保・スクラビングサービス・計算リソース冗長性の限界効用評価が重要です。

DDoS攻撃の要点とセキュリティ対策

DDoS攻撃は資産を直接盗むものではありませんが、取引やクエリの安定性を損ない、スリッページ拡大や操作ミス、レイテンシリスクを高めます。開発者は、事前に多層防御を設計し、ネットワーク・アプリケーション両面の緊急手順を確立することが不可欠です。ユーザーは、異常なアクセス障害時には公式ステータスページを確認し、Gateのような信頼できるポータルのみを利用し、取引時はリミットやリスクパラメータを設定し、障害時の大口・高レバレッジ取引を避けてください。業界レポート（Cloudflare、Akamai年次・四半期報告）によれば、2024年時点でも大規模・アプリケーション層DDoS攻撃は増加傾向にあり、ピークトラフィックはTbps規模に達しています。事前準備と訓練は、事後復旧よりもほぼ常にコスト効率が高いとされています。

FAQ

なぜ「分散型」サービス拒否と呼ばれるのですか？単一のコンピュータでも攻撃は可能では？

「分散型」とは、1台ではなく何千台もの乗っ取られたデバイスから攻撃が発信されることを指します。単一コンピュータのトラフィックは限られており、ファイアウォールで容易に遮断できます。しかし、悪意あるトラフィックが世界中の多数のマシンに分散されると、防御側は単一IPをブロックするだけでは対処できません。この分散性が攻撃の成功率と秘匿性を大きく高めます。

自分のウォレットやアカウントがDDoS攻撃の標的となった場合は？

ウォレットやアカウント自体がDDoS攻撃で直接侵害される（資産が盗まれる）ことは通常ありませんが、取引所やウォレットプラットフォームがダウンし、取引や出金ができなくなります。攻撃中の深刻なネットワーク遅延により、スリッページや取引失敗が発生する場合があります。状況によっては、この隙を突いたさらなる攻撃が行われる可能性もあります。Gateのような堅牢なプラットフォームを利用し、二要素認証を必ず有効化してください。

DDoS攻撃は通常どのくらい続きますか？サービス復旧の目安は？

DDoS攻撃の継続時間は、攻撃者の目的や防御側の対応能力によって数分から数時間、時には数日に及ぶこともあります。中規模攻撃は通常30分～2時間で収束しますが、大規模攻撃では完全復旧まで数時間かかる場合があります。プロフェッショナルなCDN防御やインシデント対応チームがあれば、ダウンタイムを大幅に短縮できます。

ハッカーはなぜDDoS攻撃を仕掛けるのですか？動機は何ですか？

ハッカーがDDoS攻撃を行う動機はさまざまで、恐喝（身代金要求）、競合他社による妨害、政治的目的、単なる愉快犯などがあります。暗号資産分野では、取引所やプロジェクトの稼働妨害や、ダウンタイムを利用した他の犯罪行為を狙うケースも見られます。こうした動機を理解することで、組織はより効果的な防御戦略を策定できます。

一般ユーザーがDDoSの影響から身を守るには？

DDoS攻撃は主にプラットフォームを標的としますが、ユーザー側でも対策は可能です。Gateのような堅牢な防御基盤を持つ取引所を選ぶ、障害時や不安定時に大口取引を避ける、多要素認証を有効化する、アカウントの不審な動きを定期的に確認する、資産を複数のプラットフォームに分散してリスクを低減するなどが有効です。