6月の分散型 DDoS 攻撃
プリンシパルプロダクトマネージャー
シニアプロダクトマーケティングマネージャー、セキュリティ
Fastly の2025年6月の独占 DDoS 脅威レポートによると、大手ハイテクプロバイダーを標的とした2500億件のリクエスト攻撃があったことが確認されました。
Fastly のインスタント・グローバル・ネットワークでは、数兆件に上るレイヤー3およびレイヤー4の DDoS 攻撃の試みを阻止してきました。しかし、高度な新しいレイヤー7攻撃は検出が難しく、潜在的にはるかに危険です。インターネットに接続されたアプリケーションや API のパフォーマンスと可用性に対するこの重大な脅威は、ユーザーと組織を危険にさらします。Fastly では、1日あたり1.8兆件のリクエストを処理する、427テラビット/秒*の容量を持つグローバルエッジネットワークと、Fastly DDoS Protection から取得したテレメトリに基づき、アプリケーションに対するグローバルな DDoS 攻撃の状況に関する独自のインサイトを提供しています。DDoS に関するまさに唯一無二の月次レポートです。アプリケーションを狙った最新の DDoS 攻撃のトレンドに関する匿名データ、インサイト、実用的なガイダンスを共有し、セキュリティへの取り組み強化をサポートします。
主な調査結果
2500億件を超えるリクエスト攻撃は、今年これまでに観察された中で最大のアプリケーション DDoS 攻撃でした。
Fastly DDoS Protection は6月に平均して1分あたり約2件の攻撃を観測しました。
関連するルールの17% で単一の JA4 署名が検出されました。
トラフィックの傾向
6月中、Fastly DDoS Protection は毎日、顧客サービスに対する数十億件の DDoS 攻撃を観測しました。6月の累計アプリケーション DDoS 攻撃は、月初めの2日間に集中していました。6月6日と7日は攻撃量が非常に多いため、その月の残りの日の攻撃量がグラフ上で大きく歪んで表示されています。実際、6月6日のトラフィックスパイクは、2日間のスパイク以外のどの日よりも20倍も大きくなっています。
スパイクは非常に大きかったため、その月の平均攻撃量が、月間のほとんどの日の累積攻撃量を上回りました。2025年全体の1日あたりの攻撃量と比較すると、これらの攻撃が実際にどれほど大規模であったかがわかります。2025年に、これに匹敵する日はありません。規模の差があまりにも大きいため、1月の丸一日分がグラフに表示すらされていません!
6月6日と7日の攻撃量に大きな差があったため、私たちは、何が起こったのか、つまり、複数の顧客や特定の業界に対する組織的な攻撃だったのか、それともその中間的なものなのかを調査することにしました。調査の結果、真実はさらに深刻なものでした。
大きなスパイク
Fastly DDoS Protection は今年、今年、いくつかの大規模な攻撃を観察しています。直近では5月のレポートで、1時間以上にわたり、1秒あたり100万件以上のリクエスト (RPS) を発生させた攻撃がありました。しかし、6月6日と7日の攻撃量の大部分は、ハイテク分野で事業を展開する単一の大規模 (エンタープライズ) 顧客に対する2つの協調攻撃によるものでした。わずか2日間で、悪意のある攻撃者は2件の別々の攻撃を仕掛け、その合計は2,500億件以上のリクエストに達しました。以下では、この攻撃の詳細と特徴について説明し、攻撃者が有する力と持続的なスケールの一端をご紹介します。
現地時間午後10時 (顧客の本社所在地に基づく)、大手ハイテクプロバイダーは、同社の最も注目度の高いサービスの1つに対して、4時間以上に及ぶ大規模な攻撃の始まりを検知しました。2つの長期にわたる攻撃の最初のものは、ドイツ、中国、アメリカ合衆国、インド、および主にオランダを含む複数の国から開始されました。ピーク時の RPS が160万に達したこの攻撃は、Fastly DDoS Protection によって数秒以内に検出されました。Fastly DDoS Protection は、ホスト名や TLS の詳細を含む複数の属性を利用して、正当なトラフィックに紛れ込ませようとした分散型攻撃を分離しました。現地時間午前2時15分、最初の攻撃はついに終了しましたが、残念ながら、この話はここで終わりではありません。
30分後、攻撃は再開され、驚くべきことにさらに19時間続いたのです。攻撃のフィンガープリントとソース国がほぼ同じであることを考えると、同じ悪意のある人物が犯した可能性が高く、この攻撃はピーク時に170万 RPS に達しました。
両方の攻撃のデータをまとめると、トラフィックの大部分はオランダ、アメリカ、ドイツ、インドネシアから発生している一方で、攻撃緩和のために自動的に作成された各ルールには、フランス、中国、またはイギリスのいずれかの国が追加されていました。これは攻撃者が自身の痕跡を隠すために意図的に行ったものと考えられます。
残念ながら、彼らのその試みは失敗に終わりました。顧客はダウンタイムや遅延の影響を一切受けず、当社独自のAttribute Unmaskingテクノロジーは攻撃の特徴を見事に特定しました。
これらの攻撃は合計でほぼ24時間続きました。この規模と期間は、自動化された分散型 DDoS 攻撃軽減ソリューションの重要性をすべての企業に思い出させるものです。私たちの観察によると、攻撃のほぼ半数は1分未満で終了していますが、今回のような事例は、手動で静的なルールを作成して攻撃に対抗する方法が現実的でないことを改めて示しています。攻撃が進行するにつれてその手法が変わったにもかかわらず、Fastly DDoS Protection はそれに合わせて迅速に調整し、正当なトラフィックに影響を与えることなく攻撃に対応することができました。
攻撃トレンド
イベントは、Fastly DDoS Protection の最近のアップデートの一部として追加され、それに伴い2つの重要な機能、イベントとイベントの詳細が導入されました。各イベントが個別の攻撃であり、イベントの詳細によって、お客様は、どのように攻撃が軽減されたかを深く掘り下げることができるとお考えください。基本的に、イベントは個々の攻撃をより正確に測定するための手段です。6月、Fastly DDoS Protection は累計77,451件の DDoS 攻撃を観測し、これをイベントとして分類しました。驚くべきことに、これは5月のレポートで報告された攻撃件数よりわずか8件少ないだけです。これは単なる偶然かもしれませんが、世界中に存在する攻撃者の数を反映している可能性もあります。おそらく毎月、彼らは異なる組織に対して、ほぼ同数の累積的な攻撃を仕掛けているのでしょう。今後のレポートでもこの傾向を引き続き監視していきます。6月にイベントを均等に分散した場合、ほぼ1分に2件の攻撃が発生していたことになるのは注目に値します。
私たちは毎月、誰が攻撃を受けたかという観点から DDoS 攻撃を調査しています。6月6日と7日の攻撃の規模を考慮すると、以下の各ボリュームチャートにその影響が見られます。
業界別の攻撃量は、前のセクションで説明したハイテク企業によって明らかに偏っていますが、これを業界別のイベント数と組み合わせると、メディア&エンターテインメントが最も多くの攻撃の主な標的であったことがわかります。これは、以前のレポートで見てきたことと一致しており、おそらくこの業界は、サイトに掲載されているコンテンツに同意しない攻撃者の望ましくない注目を集める可能性が最も高いためです。
企業はさまざまな規模があり、攻撃を観察するもう一つの視点を提供してくれます。このレポートを初めてご覧になる方のために、企業の規模を年間収益で分類しました。
エンタープライズ: 10億ドルを超える
商業: 1億ドル~10億ドル
中小企業 (SMB): 1億ドル未満
6月の BIG 攻撃の標的となったエンタープライズ企業はボリュームチャートを歪めていますが、イベント件数の大部分は中小企業が占めています。イベントの業界別分布を見ると、これらの企業はメディア & エンターテインメント、ハイテク、商業分野の中小企業である可能性が高いです。その存在感は、Fastly の顧客基盤を反映しているだけでなく、年間売上高が1億ドル未満の中小企業の方が、より多くの売上高を上げる大企業よりも圧倒的に多いという事実も反映しています。この地球上で使えるドル (そしてもちろん他の通貨も) には限りがあります。
軽減の傾向
過去2回のレポートでは、ルールに国情報や IP アドレスが含まれる割合を調査しましたが、その結果は非常に似通っていることがわかりました。
4月と5月の調査で、IP アドレスを含むルールはそれぞれ31% と35% でした。
4月と5月の調査で、位置情報を含むルールはそれぞれ66% と67% でした。
この数字の安定した傾向から、今後のレポートではこの割合に関して頻繁には触れない方針です。これを念頭に、今月は、JA4のようなシグネチャが、位置情報、IP、攻撃対象の顧客など他のパラメータと組み合わせて攻撃者を特定するルールの一部としてどのように使われているかを調査しました。ご存じない方のために説明しますと、JA4とは、TLS の「Client Hello」パケットに含まれるプロトコル情報、TLS バージョン、SNI、暗号スイートの数などをもとに作られる TLS クライアントのフィンガープリントです。JA4は完全に正当なリクエスト間で共有されることは珍しくありませんが、他のパラメータと組み合わせることで攻撃者を特定する有効な手段となります。これは、JA4のようなシグネチャが、IP アドレスやユーザーエージェントよりもはるかに偽装しにくいためです。
6月には、JA4のようなシグネチャを使用して、攻撃の大部分を特定しました。JA4の大部分は1つのルールの一部としてのみ使用されていましたが、全ルールの17% に関与しているJA4を特定しました。
さらに詳しく調査すると、このシグネチャが位置情報を含むルールの一部として活用されている場合、通常、ヨーロッパ (39%) またはアメリカ合衆国 (13%) からのトラフィックに関連していることがわかります。また、このシグネチャは、多種多様な IP を自由に使えるボットネットを利用しているようです。それに関連するルールの大部分では、攻撃を単一の IP に特定することができないためです。これは高度に分散された攻撃を示しており、DDoS 攻撃の分野に関する深い専門知識を持つ人物またはグループによる攻撃である可能性が高いです。
このシグネチャが対象とする顧客も非常に示唆に富んでいます。このシグネチャに関連する攻撃には53のユニークな顧客が関与しており、その多くはニュース機関やそれを支援するプラットフォームに属しています。さらに、攻撃を受けた一部の顧客はヨーロッパ内の超地域的なニュースを中心に活動しています。これらの顧客はその地域性に焦点を当てており、限定的世界的なトラフィックはそれほど多くないため、この悪意のある行為者は欧州連合内のどこかに所在している可能性が高いと考えられます。
この悪意のある攻撃者がヨーロッパで広く活動しており、特にニュース機関や類似する SaaS プラットフォームを標的にしていることから、私たちは彼らを Byline Banshee と呼ぶことにしました。これはアイルランドの民間伝承に登場する泣き叫ぶ精霊に由来しており (攻撃者の一部のトラフィックがアイルランド発信であることにちなんでいます)、その攻撃はまさに名前の通り騒々しいものです。今後数か月でByline Bansheeが再び現れるかどうか、注意深く見守っていきます。
実用的なガイダンス
これらのデータの重要ポイント
今回のレポートは1か月分のデータのみを表しており、包括的に状況を把握するには、オブザーバビリティツールが提供するファーストパーティのインサイトや長期的な調査と併せてこのデータを活用する必要があることに留意してください。しかしこのデータだけでも、既存のセキュリティ対策に組み込むことができる重要な学びがあります。
1億 RPS 以上の規模で発生するアプリケーション DDoS 攻撃に対応できる強固な防御体制を整えることが重要です。過去にはこの規模の攻撃は当社のプラットフォーム上で主に大手エンタープライズ顧客を狙っていましたが、6月の商業規模の組織への攻撃で示されたように、収益規模が小さい組織でも攻撃対象となる可能性があるため、あらゆる規模の組織で十分な防御策が必要とされています。
また、JA4のようなシグネチャを活用して攻撃者を識別したり、Fastly DDoS Protection のような製品で自動的にルールに組み込んで防御効果を高めることも検討してください。これは新しい概念ではありませんが、攻撃を分析するための新たな視点を提供し、正当なユーザーに影響を与えることなくトラフィックを正確に分離することができます。
ルールやレート制限を手動で作成している (または自動ルール作成に移行している) 場合は、地域ベースの判断をどのように活用しているかに注意してください。今月の Byline Banshee の攻撃で見られたように、攻撃トラフィックの大部分は国家主体の定義に該当しない国々から発生しています。
ビジネスに支障をもたらす分散型攻撃を自動的に軽減
いつものようにお伝えしておきますが、Fastly DDoS Protection などのソリューションは、このレポートで報告されているタイプの攻撃を自動的に阻止し、その有効性を迅速に検証するために必要なインサイトを提供します。同ソリューションは Fastly ネットワークの大規模な帯域幅と適応技術を活用し、特別な設定なしでアプリケーションのスピードと可用性を維持します。今すぐ Fastly のアダプティブテクノロジーを活用して、最大500,000件のリクエストを無料で取得しましょう。または、詳細について Fastly のチームにお問い合わせください。
