セキュリティ企業Flareのリサーチャーが、ダークウェブにおけるDDoS攻撃販売市場の実態調査を発表した。2023年と2026年のデータを比較した結果、高品質なDDoS攻撃サービス広告が約10倍に急増しており、サイバー犯罪の「製品化」が急速に進んでいることが明らかになった。

DDoS攻撃がSaaSモデルへ進化

以前のDDoS攻撃といえば、スクリプトキディが使い捨てのツールを使うか、フォーラムに散在するリーク済みコードを組み合わせるような「手作り感」があった。それが今や、月額プラン・API連携・リセラープログラム・カスタマーサポート付きの「商品」として流通している。

Flareが2023年1〜5月と2026年1〜5月のデータを比較したところ、以下のような変化が確認された。

指標 2023年 2026年 変化

高品質なDDoS攻撃サービス広告数 38件 364件 約10倍

ユニークな広告クラスター数 31 123 約4倍

関与するユニークアクター数 15 41 約3倍

観測ソース数 22 43 約2倍

攻撃パネル・ボットネット連携・Cloudflareバイパス機能・ゲームサーバー特化オプションなど、機能面でも成熟が見られる。文字通り「月額課金で攻撃力を借りる」時代になっている。

現実の被害規模は想像を超える

数字だけでなく、実際の攻撃規模も右肩上がりだ。Cloudflareは2025年に7.3 Tbpsの攻撃をブロックし、同年Q4には31.4 Tbpsという記録的な攻撃の緩和も報告している。

MicrosoftもAzureが2025年10月に15.72 Tbpsの攻撃を緩和したと発表。この攻撃は「Aisuru」ボットネットによるものとされており、攻撃インフラの大規模化・高度化を裏付けている。

なぜいま日本のIT現場に影響するのか

DDoS攻撃の「製品化」が進むことで、以前は技術スキルが必要だった攻撃が誰でも購入できるようになる。参入障壁が下がると、攻撃者の層が広がる。競合への嫌がらせ、恐喝目的のランサム的DDoS、政治的動機による攻撃など、動機の多様化も同時に起きる。

日本企業にとっての脅威面では以下の点が特に重要だ:

  • ECサイト・決済系サービス: 売上繁忙期を狙った攻撃が$5〜$10程度で「発注」できる時代になっている
  • SaaS・API基盤: アプリケーション層を狙う攻撃手法が増えており、ネットワーク帯域だけ守れても不十分
  • ゲームサーバー特化オプション: オンラインゲーム・メタバース系サービスは専用攻撃手法の標的になりやすい

実務での防衛ポイント

1. CDN/DDoS緩和サービスの活用を前提設計に Cloudflare・Azure DDoS Protection・AWS ShieldといったマネージドDDoS緩和サービスは、今やオプションではなく基本インフラとして位置づけるべきだ。緩和サービスなしでテラビット級攻撃を自前で処理しようとするのは現実的でない。

2. レート制限とWAFの多層防御 アプリケーション層(L7)攻撃はログインページやAPIエンドポイントを集中的に狙う。IP単位のレート制限、ボット検知、WAFルールを組み合わせて縦深防御を構成する。

3. インシデント対応計画の事前整備 「攻撃を受けてから考える」では遅い。対応手順・エスカレーション先・ISPへの緊急連絡窓口を事前に整備し、定期的な机上訓練を実施する。

4. 脅威インテリジェンスの活用 Flareのようなダークウェブ監視サービスを活用することで、自社を標的にした攻撃サービスの出回りを事前に察知できる可能性がある。完全な防御はないが、早期警戒は対応時間を生む。

筆者の見解

この調査が示しているのは、サイバー犯罪の「民主化」がいかに速く進んでいるかだ。技術的ハードルが極端に下がったとき、脅威の広がり方は質より量になる。DDoS攻撃サービス広告が3年で10倍になったという数字は、攻撃者コミュニティの活発化を端的に表している。

ゼロトラストの文脈でいえば、DDoS対策も「境界で防ぐ」発想から脱却する必要がある。テラビット級の攻撃を自前の境界機器で止めようとするのは、ゼロトラストが目指す「信頼を前提にしない設計」と同じ方向性の話だ——大規模攻撃を前提として、緩和・分散・回復力の設計を最初から組み込む。

AzureのDDoS Protectionが15.72 Tbpsの攻撃を緩和できたのは、クラウドスケールの緩和インフラあってこそだ。こういう部分はクラウドプロバイダーの強みが素直に発揮される領域で、オンプレミスで同じことをやろうとするのはコスト・技術力ともに無理筋だと思う。

日本のエンタープライズで気になるのは、DDoS対策が「ネットワーク部門の問題」として矮小化されているケースがまだ多いことだ。アプリケーション層攻撃が増えている今、開発・インフラ・セキュリティが連携した設計レビューが欠かせない。攻撃者の側が成熟したサービスモデルで来るなら、守る側も同じくらい組織的に対応する必要がある。

出典: この記事は From $5 Attacks to Botnet-Powered Platforms: Inside the DDoS-as-a- Service Market の内容をもとに、筆者の見解を加えて独自に執筆したものです。