4月の分散型 DDoS 攻撃

Fastly が独自にまとめている2025年4月の月次 DDoS 動向レポートによると、米国からの攻撃トラフィックの割合が著しく高いことが判明しました。

Fastly のインスタント・グローバル・ネットワークは、数兆件に上るレイヤー3およびレイヤー4の DDoS 攻撃の試みを阻止してきました。しかし、高度な新しいレイヤー7攻撃は検出が難しく、潜在的にはるかに危険です。インターネットに接続されたアプリケーションや API のパフォーマンスと可用性に対するこの重大な脅威は、ユーザーと組織を危険にさらします。Fastly は、1日あたり1.8兆件 ² のリクエストを処理する、427テラビット/秒 ¹ の容量を持つグローバルエッジネットワークと、 Fastly DDoS Protection から取得したテレメトリに基づき、アプリケーションに対するグローバルな DDoS 攻撃の状況に関する独自のインサイトを提供しています。DDoS に関するまさに唯一無二の月次レポートです。アプリケーションを狙った最新の DDoS 攻撃のトレンドに関する匿名データ、インサイト、実用的なガイダンスを共有し、セキュリティへの取り組み強化をサポートします。

レポートに見られたプロダクト強化の影響

Fastly は10年以上にわたり、当社のプラットフォームやその他のソリューションを利用してこれらの脅威を軽減し、大規模な分散型 DDoS 攻撃と戦ってきました。そして、お客様に適応型かつ自動的な軽減策を提供するために、2024年10月に Fastly DDoS Protection をリリースしました。以来、アプリケーションへの分散型 DDoS 攻撃対策として最高のソリューションとするべく、懸命に取り組んでいます。このソリューションの適応型 Attribute Unmasking エンジンが攻撃に対抗する上でどれほど強力であるかを詳しく議論してきましたが、私たちはその基盤を強化し、検知能力を向上させるために引き続き努力しています。  

この機能強化により、検出時間がさらに短縮され、DDoS 攻撃 (特に短時間の小規模な攻撃) に対するソリューションの可視性が向上しました。私たちは継続的にコアとなる検出機能と緩和機能の改善に努めており、これが4月に攻撃数が一貫して増加した一因であると考えられます。Fastly では、お客様にさらに優れたプロダクトを提供できるよう今後もプロダクトを改良し続けますが、このような機能強化の影響がレポートに反映されることが予想されます。免責事項についてご理解いただいたところで、早速結果を見てみましょう。

主な調査結果

1. 1つの IP アドレスが456の異なる顧客の軽減ルールに関連付けられていた

2. 自動生成された緩和ルールの71%が米国関連のトラフィックを対象にしている

3. 4月の攻撃件数は、1月、2月、3月の合計よりも5%多かった

DDoS トラフィックの傾向

過去数か月間は、特定の日に攻撃量が明らかに急増する傾向が見られましたが、4月の攻撃にはこの傾向が見られませんでした。月の大半は1日あたりの平均攻撃量のラインに近く、平均と大きく変わる異常値の急上昇はほとんど見られませんでした (図1)。

急増はそれほど急激ではありませんでしたが、分散型 DDoS 攻撃の一部として特定されたリクエストの総量は、レポート作成を開始して以来、4月が最も多くなりました (画像2)。3月から4月にかけての攻撃量の増加は前月比87%の増加を示しており、4月だけでも第1四半期全体よりも5%多い DDoS 攻撃が発生しました。

攻撃された業種という切り口で攻撃を観察すると、全体的な攻撃回数と攻撃量を比較したときに、データがいかに大きく変化しているかがわかります (画像3)。

攻撃を受けた回数は商取引分野が最も多く、攻撃トラフィック量においてはメディア＆エンターテインメント分野への攻撃が大半を占めていました。

メディア & エンターテインメントへの攻撃をさらに詳しく調査すると、その大部分はエンタープライズレベルのメディア & エンターテインメント企業を標的としていたことがわかります。これにより、以前のレポートで観察された暗黙の現実にさらなる検証が追加されます。攻撃者は、自分が誰を攻撃しているのかを理解し、より大きな組織に対してより大きな攻撃を仕掛けるということです。

DDoS 攻撃に関するインサイト

4月8日に、Fastly DDoS Protection の大規模アップデートをリリースしました。これには、イベントとイベントの詳細という 2 つの主要な機能が付属しています。各イベントが個別の攻撃であり、イベントの詳細によって、それがどのように軽減されたかを深く掘り下げることができるとお考えください。イベントの詳細の一環として、適応型 Attribute Unmasking 技術が攻撃に対抗するために作成するすべてのルールを詳しく見ることができるようになりました。今月は、ルールで使用される属性と、それらが世界中の顧客ベースでどのように推移しているかについて詳しく説明します。

Fastly DDoS Protection のルールは自動的に作成され、10以上の属性を含めることで、攻撃とそれらが混じろうとしている正当なトラフィックを正確に分離できます。他の属性と組み合わせて使用される一般的な属性の1つは、攻撃側の IP の地理的位置です。4月には、攻撃ルールの66%が攻撃の一部を1つの国に分離することができました(画像4)。

ルールに最も多く登場する国はどこかを調べると、米国が他の国を大きく上回り (71%)、次いでドイツ (11%)、中国 (8%)、フランス (5%)、インドネシア (5%) がトップ5を占めています (画像5)。

攻撃の一部はアメリカのサイバー攻撃者によって開始されている可能性がありますが、サーバーレスインスタンスの起動は非常にアクセスしやすく、簡単であることは注目に値します。攻撃者は、わずかな労力で、選択した自律システム (AS) を活用し、実際の場所に関係なく、世界中のほぼどこからでも攻撃を発信することができます。

ルールで使用されるもう一つの一般的な属性は、単一の IP アドレスです。4月のルールの約31%は、より大きなルールの一部として攻撃を単一の IP に分離することができました (画像6)。これは、ボリューム攻撃が分散型サービス拒否 (DDoS) 攻撃と呼ばれることを考えると、特に興味深いことです。このデータは、攻撃のかなりの部分がそれほど分散されていないことを示唆しています。

IP がルールの一部として使用されていた場合についてさらに詳しく調べると、その IP が単一の Fastly 顧客だけを標的としていた割合は52%であることがわかりました (図7)。残りの IP については、攻撃対象のユニーク顧客数が多くなるほど、割合が非常に少なくなっていました。そこで私たちは、最も多くの顧客を攻撃した IP について詳しく調べ、その攻撃がどれほど広範囲に及んでいたかを確認しました。

今月、ある単一の IP が400以上の顧客サービスへの DDoS 攻撃に関与していたことが判明しました。この IP をさらに調査したところ、世界的な大手 SaaS 企業に属する IP アドレスであることがわかりました。この文脈から、私たちはこの IP が多数の顧客アカウントに対して悪意あるスクレイピングを行っていると予想しましたが、Next-Gen WAF から得られた指標をさらに分析した結果、事態はそれ以上に深刻であることがわかりました。この IP は、複数の CMDEXE、ディレクトリトラバーサル攻撃、バックドア攻撃に関連しており、攻撃の規模は小さくても悪質性は同様に高いものでした。このデータは、数百の顧客に対する DDoS 攻撃が、可能な限り高速にデータをスクレイピングするというビジネス上の決定によるものではなく、その企業のマシンまたは IP アドレスが侵害されたことによるものである可能性が高いことを示しています。この情報をもとに、私たちは当該組織に攻撃の詳細を報告し、必要に応じて調査を支援することを申し出ました。

これは、攻撃インサイトアップデートによってこのレポートで実現されるデータ探索のほんの始まりにすぎません。今後のエディションでは、他の属性の詳細や、Fastly だけが提供できる独自のインサイトについて深く掘り下げますので、ぜひご期待ください。

実用的なアドバイス

これらのデータの重要ポイント

このレポートは1か月分のデータのみを表しており、包括的に状況を把握するには、オブザーバビリティツールが提供するファーストパーティのインサイトや長期的な調査と併せてこのデータを活用する必要があることに留意してください。しかしこのデータだけでも、既存のセキュリティ対策に組み込むことができる重要な学びがあります。

1. 正当なトラフィックと攻撃トラフィックのさまざまなパターンに適応できる専用の DDoS ソリューションの導入をご検討ください。攻撃量は2025年に毎月増加しており、4月には大幅に増加しました。コンテンツをキャッシュすることでオリジンサーバーの負荷をいくらか軽減できますが、専用のソリューションが最適です。

2. ルールやレート制限を手動で作成している (または自動ルール作成に移行している) 場合は、地域ベースの判断をどのように活用しているかに注意してください。4月に地理位置情報を利用した DDoS ルールの大部分は米国の IP から来ており、包括的なブロックまたは許可リストが予期しない結果をもたらす可能性があります。

3. AppSec のツールと態勢を包括的に把握してください。データのサイロ化を許さないようにします。DDoS、ボット管理、Next-Gen WAF の指標を利用できたからこそ、これはスクレイパーが暴走した例ではなく、侵害されたマシン/IPを介した大規模なキャンペーンであると特定することができました。

ビジネスに支障をもたらす分散型攻撃を自動的に軽減

いつものようにお伝えしておきますが、Fastly DDoS Protection などのソリューションは、このレポートで報告されているタイプの攻撃を自動的に阻止し、その有効性を迅速に検証するために必要なインサイトを提供します。同ソリューションは Fastly ネットワークの大規模な帯域幅と適応技術を活用し、特別な設定なしでアプリケーションのスピードと可用性を維持します。今すぐ Fastly のアダプティブテクノロジーを活用して、最大500,000件のリクエストを無料で取得しましょう。または、詳細について Fastly のチームにお問い合わせください。