ブログに戻る

フォロー&ご登録

2025年12月の分散型 DDoS 攻撃

Liam Mayron

プリンシパルプロダクトマネージャー

David King

シニアプロダクトマーケティングマネージャー、セキュリティ

Max Bittman 氏

Staff Software Engineer、エッジプロトコル

セキュリティ業界インサイト

最新の月次分散型 DDoS 脅威レポートが、クリスマスを台無しにしかけた分散型 DDoS 攻撃の詳細を明らかに – Fastly が2025年に経験した最大規模の攻撃

Fastly のインスタントグローバルネットワークでは、数兆件に上るレイヤー3およびレイヤー4の DDoS 攻撃の試みを阻止してきました。しかし、高度な新しいレイヤー7攻撃は検出が難しく、潜在的にはるかに危険です。インターネットに接続されたアプリケーションや API のパフォーマンスと可用性に対するこの重大な脅威は、ユーザーと組織を危険にさらします。Fastly では、1日あたり1.8兆件のリクエストを処理する、497テラビット/秒*の容量を持つグローバルエッジネットワークと、Fastly DDoS Protection から取得したテレメトリに基づき、アプリケーションに対するグローバルな DDoS 攻撃の「状況」に関する独自のインサイトを提供しています。これは、その種では唯一の月次レポートです。アプリケーションを狙った最新の DDoS 攻撃のトレンドに関する匿名データ、インサイト、実用的なガイダンスを共有し、セキュリティへの取り組み強化をサポートします。

主な調査結果:

  • 2025年最大攻撃量: 12月25日は2025年全体で最大の攻撃量を記録し、その攻撃量のほとんどは単一の攻撃に起因する

  • 過去の月と比較してより大規模な攻撃規模: 攻撃回数は11月と同程度であったが、攻撃量は大幅に増加しており、平均的な攻撃規模が大きくなったことを示している

  • 高度な攻撃は複数の分散型 DDoS 攻撃ベクトルを組み合わせる: 12月25日の大規模攻撃では、パフォーマンスへの影響を引き起こそうとする失敗した試みにおいて、複数の種類のDDoS (ネットワークレベルとアプリケーションレベルの両方) が活用された

12月の攻撃トレンド

分散型 DDoS 攻撃量が4か月連続で減少していたことを踏まえ、このトレンドが継続するか確信を持てないまま12月を迎えましたが、予想とは反対の結果となりました。12月では、攻撃量が過去最大を記録した日が他を大きく引き離して最多となったのです。

2025年日別アプリケーション DDoS 攻撃リクエスト

2025年の他のすべての月と12月を比較すると、12月はトレンドから外れているだけでなく、攻撃量が圧倒的に最も多い月であることがわかります。次に多い6月よりも37%多いのです。

12月の攻撃量は大幅に増加したものの、個々の攻撃件数は前月比でほぼ横ばいの水準を保ちました。

画像3: 2025年の月別分散型 DDoS 攻撃イベント数

2025年において11月の攻撃件数が最も少なく、12月が最も多かったことを考慮すると、攻撃件数の類似性は全体として攻撃量が増加したことを示唆しています。データの分析により、平均攻撃規模の増加は、今年最も攻撃量が多かった12月25日の単一攻撃によって大きく歪められていることが明らかになりました。その攻撃がどのように現れたかを説明します。

グリンチ攻撃: 2025年最大の分散型 DDoS 攻撃

サイバーセキュリティに休みはありません。

休暇シーズンに多くの人が大切な人と過ごす中、多くの場合人手不足で運営されている、世界中のサイバーセキュリティチームは、攻撃を緩和するため警戒態勢を維持していました。それには正当な理由があります。米国でクリスマスの夜、あるエンタープライズハイテク分野の顧客が、Fastly が2025年を通じて観測した最大規模の分散型 DDoS 攻撃を実行する巨大なボットネットの威力に直面したのです。

米国西海岸の多くの人々がクリスマスの夕食を囲む頃、大規模なボットネットが高度な分散型 DDoS 攻撃を開始しました。攻撃者は標的が警戒を緩めていると推測したタイミングで、世界中からネットワークとアプリケーションへの大量トラフィックを集中させ、顧客を圧倒しようと試みたのです。

Fastly では、標的のサイバーセキュリティチームから「クリスマスを奪おう」とするこの試みを「グリンチ攻撃」と呼ぶことにします。

(そうです、これこそ最高の表現です。異論は受け付けません)

これらのボットネットが有する攻撃力と能力について理解を深めるため、攻撃の詳細に迫るにあたり、彼らが仕掛ける可能性のある様々な分散型 DDoS 攻撃の種類について前提を整理しておくことが重要です。ほとんどの攻撃は次の3形態のいずれかに分類されます。

  • パケット攻撃/秒 (PPS) – これらはCPUと状態テーブルを圧倒し、パケット処理能力に負荷をかけるよう設計されることが多く、レイヤー3/4で発生することが多い

  • テラビット攻撃/秒 (TBPS) — レイヤー3/4における帯域幅の枯渇に焦点を当て、パケット数に関係なくパイプを飽和させる

  • リクエスト/秒 (RPS) - アプリケーションやAPIに完全に形成されたリクエストが殺到することで、アプリケーションレベル (レイヤー7) に負荷がかかる

通常、攻撃はこれら3つの手法のうち単一に焦点を当てていることが多く見られますが、攻撃の高度化に伴い、攻撃者は複数の手法を組み合わせて、攻撃に対抗するハードウェアリソースと人的リソースの両方を圧倒するようになります。グリント攻撃の場合、悪意のあるアクターが同時に高レベルの RPS 攻撃と低レベルの PPS 攻撃を組み合わせて、より大きな被害を引き起こしました。

グリンチのアプリケーション DDoS 攻撃フェーズ

クリスマスの夜、攻撃者は主要ハイテク企業の複数のアプリケーションと API をかつてない規模で襲撃しました。わずか1分間で、グリンチは毎秒1,000万リクエスト (RPS) を超え、その後間もなく3分間にわたり毎秒1億リクエストを超える持続的な最大攻撃量を記録しました。参考までに、過去数ヶ月のレポートでは100万および1500万 RPS という記録的な大規模攻撃を報じてきましたが、今回の攻撃はそれを7~8倍上回る規模に達しただけでなく、約48時間にもわたって継続されました。

以下のチャートは対数スケールを適用しています。等間隔の縦軸はリクエスト数の固定値ではなく、桁違いのトラフィック変化を表しています。この形式により、通常のトラフィックと極端なスパイクの両方が同じグラフで可視化できます。このチャートは攻撃が初期段階で到達した膨大な規模だけでなく、その後数日間にわたって継続した持続的攻撃も示しています。

画像4: ログスケール RPS によるグリンチ攻撃のタイムライン

総じて、このグリンチの攻撃フェーズは2200億を超えるリクエストで構成され、この月に発生した他のいかなる攻撃よりも数倍規模が大きなものでした。

さらに深く検証するため、Fastly DDoS Protection が攻撃を緩和するために自動生成したルールの種類を調査しました。正当なトラフィックに影響を与えずに、これほど高度な攻撃を防御することは複雑ですが、本ソリューションの Adaptive Threat Engine は1,000を超えるルールを構築し、攻撃トラフィックと正当なトラフィックを分離しました。これらを包括的に分析すると、いくつかのパターンが浮かび上がります。

ルールの75%は攻撃を特定の単一国に限定することができました。グリンチの攻撃トラフィックは主にアメリカ合衆国 (25%)、ブラジル (22%)、メキシコ (21%) から発生していました。

画像5: グリンチ攻撃の発生国

参考まで、今回の攻撃で主に利用された国々の多くは、最近注目を集めている Kimwolf ボットネットに関する XLab の分析で言及されている国々だとされています。このことから、我々のチームは、その大規模さと地理的類似性を考慮すると、このボットネットがグリンチを起動させたものかもしれないと考えています。このボットネットについてご存じない方は、Brian Krebs の最近の記事をこちらからご覧ください。

国コードは攻撃の一部を特定するのに役立ちましたが、このルール属性は常に他の属性と組み合わせて使用され、攻撃トラフィックを正当なトラフィックから安全に分離します。グリンチのケースでは、攻撃トラフィックを他のすべてから分離するために、各ルールで平均4つ以上の属性が使用されました。特定の IP アドレス (ルール全体の28%)、AS 番号 (57%)、一般的なブラウザ/ヘッダーフィンガープリント (99%) といった属性の組み合わせにより、Fastly DDoS Protection はグリンチの攻撃トラフィックを発生期間中 (約48時間以上 )自動的に安全に隔離することができました。

グリンチのネットワーク DDoS 攻撃フェーズ

グリンチのアプリケーション DDoS 攻撃が安定化し始めた頃 (依然として驚異的な約100万 RPS を維持)、攻撃開始数時間後に緩やかな減少傾向が見られました (攻撃者の成果が限定的と認識されたためと考えられます)。これを受け、彼らは即座に新たな要素である、ネットワーク DDoS 攻撃を組み込みました。主に南米発の攻撃に起因するこのフェーズは、約30分間継続し、サービスに対し毎秒約7000万パケット (PPS) の洪水攻撃を仕掛けました興味深いことに、この観点から L7 攻撃を分析すると、ネットワーク DDoS 攻撃が開始された直後に L7 攻撃の速度が鈍化し、その後間もなく RPS が大幅に低下したことが確認できるのです。

画像6: ネットワーク DDoS 攻撃が重複したログスケール RPS によるグリンチ攻撃のタイムライン

原因を特定することはできませんが、これは攻撃者が容量とリソースの制約に直面したことを示唆している可能性があります。感染したデバイスが利用できない場合、ボットネットが任意の時点で利用できる処理能力には限界があるためです。これは決して決定的な結論ではありません。攻撃がリソース上限に達した、攻撃者が Fastly の顧客ではない他の組織を標的にした、その他無数の可能性が考えられるからです。しかし、これらの攻撃の段階を総合的に見た場合、少なくとも考えさせられる示唆に富む点があると言えるでしょう。

実用的なアドバイス

これらのデータの重要ポイント組織をグリンチから守るにはどうすればよいでしょうか?

  1. 攻撃者は巧妙であり、警戒が緩んでいると判断した際に業務を妨害しようと狙います。クリスマスに米国を拠点とする組織を標的にしたのは意図的な行為であり、休暇期間中は人員が減少する可能性が高いものの、攻撃を軽減できる自動化ソリューションやマネージドセキュリティプロバイダーの必要性を改めて浮き彫りにしています。

  2. 攻撃量が数か月連続で低水準だった後に発生したグリンチ攻撃は、組織が常に監視状態を維持するか、必要に応じて作動するソリューションを必要とする理由を如実に示しています。攻撃は必ず発生するものであり、その際に被害を軽減するためには、こうした対策が不可欠だからです。

  3. 大規模な攻撃のスケーラビリティと複雑さに対応するには、攻撃トラフィックを正常なトラフィックから安全に分離できる自動化された解決策が不可欠です。Fastly DDoS Protection はグリンチ攻撃の期間中に1,000を超えるルールを生成しましたが、これほどのスケラービリティ、速度、効果を人間が再現することは不可能です。  

ビジネスに支障をもたらす分散型攻撃を自動的に軽減

大規模な攻撃が注目を集める一方で、あらゆる業界の組織を標的とした分散型 DDoS 攻撃が持続的に発生しています。こうした攻撃の予測不可能な性質こそが、本レポートで詳述する分散型・多ベクトル攻撃を自動的に軽減するソリューションの導入が組織にとって不可欠な理由なのです。次の急増は、私たちの適応型テクノロジーに任せてください。お客様が対応する必要はありません。弊社のチームにお問い合わせいただくか、無料トライアルを今すぐ開始してください。

* 2025年3月31日現在

** 2023年7月31日現在