おそらく、あなた自身もこんな経験をしたことがあるだろう。突然ウェブサイトが読み込めなくなる、ログインページがタイムアウトする、あるいはオンラインサービスが最悪のタイミングで利用不能になる。原因が内部障害ではなく、外部からサービスを圧倒するために設計された分散型サービス拒否(DDoS)攻撃であることもある。
DDoS攻撃は長年にわたり、オンラインサービスを妨害する最も簡単な手段の一つであり続けてきた。標的のシステムに侵入することなく、大量のトラフィックを流し込み、インフラを枯渇させ、サービスを利用不能にする手法だ。今や、DDoSはパッケージ化・ブランド化され、成熟したオンラインサービスの言語で販売されており、その影響は現実世界でも明確に記録されている。
Cloudflareは2025年に7.3Tbpsの攻撃をブロックしたと報告し、後にQ4 2025年のDDoSレポートで31.4Tbpsの攻撃を軽減したと発表した。Microsoftも、2025年10月にAzureが15.72Tbpsの攻撃を軽減したと述べており、その活動をAisuruボットネットによるものとしている。
これらの事件の裏では、地下マーケットの売り手たちが洗練されたセールストークで同じ買い手を巡って競争している。Flareの研究者が分析した最近の地下活動では、攻撃パネル、APIアクセス、月額プラン、リセラーオプション、カスタマーサポート、ボットネット対応の攻撃能力、ゲームサーバー向け手法、Cloudflareバイパスの主張などが確認されている。
2023年の最初の5か月と2026年の最初の5か月のDDoS関連地下活動の2つのデータセットを比較すると、そのオファーがいかに急速に変化したかがわかる。かつてはスクリプト、チュートリアル、流出ツール、散在するフォーラム投稿として多く見られたものが、今では購入・運用がより容易な繰り返し可能な製品として提示されることが多くなっている。
DDoSとは何か?
DDoS攻撃は、多数のソースから同時に大量のトラフィックを送り込み、ウェブサイト、アプリケーション、ネットワーク、またはサーバーを圧倒しようとするものだ。ネットワーク容量を標的とする攻撃もあれば、ログインページやAPIといったアプリケーション層のリソースに集中する攻撃もある。目的は通常シンプルで、サービスを利用不能、不安定、または運用コストが高い状態にすることだ。
DDoS-as-a-Serviceはその障壁をさらに下げる。インフラを自前で構築する代わりに、攻撃者はウェブパネルへのアクセスを購入し、標的を選択し、攻撃時間を設定するだけで、他者のボットネット、プロキシネットワーク、またはサードパーティの攻撃インフラに依存できる。
Flare研究者による分析
Flareの研究者は、2つの期間におけるDDoS関連の地下活動を調査した。最初の期間は2023年の最初の5か月、2番目は2026年の最初の5か月だ。チームはデータを整理・精選し、いくつかの重要な知見を得た。
| 項目 | 2023年 | 2026年 | 変化 |
|---|---|---|---|
| レコード総数 | 4,403 | 4,964 | 小幅増加 |
| 高信頼性DDoSサービス広告 | 38 | 364 | 約10倍増加 |
| ユニーク広告クラスター | 31 | 123 | 約4倍増加 |
| ユニークアクター数 | 15 | 41 | 約3倍増加 |
| 確認されたソース数 | 22 | 43 | 約2倍増加 |
重要な免責事項として、本調査では分散型DoSに焦点を当てた。もう一つのカテゴリーとしてサービス拒否(DoS)がある。
技術的にはサーバーへの攻撃方法が若干異なるが、目的は同じだ。本調査ではDDoSのオファーのみに焦点を当て、DoSのオファーを除外するよう最善を尽くした。
あなたの組織はDDoS-for-Hireアクターの標的になっているか?
DDoS-as-a-Serviceプラットフォームは、ダークウェブフォーラムやサイバー犯罪コミュニティで公然と宣伝されており、それらはFlareが継続的に監視している情報源でもある。
Flareは数千のダークウェブソースにわたる地下マーケットプレイス、ボットネットインフラの動向、脅威アクターの活動を追跡しているため、セキュリティチームは新たな脅威が業務に影響を与える前に把握することができる。
散在するツールからパッケージ化されたサービスへ
2023年の投稿のトピックはより多様だった。多くのオファーはスクリプト、流出ツール、チュートリアル、または汎用的な「ボットネットサービス」の広告を中心としていた。
2023年に繰り返し見られた投稿の一種(以下のスクリーンショット参照)は「Botnet Service L7 – L4」を宣伝し、レイヤー3、レイヤー4、レイヤー7の能力、オプションのAPIアクセス、自動支払い、高い攻撃スロット数、ゲームサーバー標的機能、Cloudflare関連の保護バイパスを主張していた。同じ広告テキストが複数のソースやアクターにわたって見られ、マーケティング手法のコピー、転売、または再利用が行われていたことが示唆される。
2023年の投稿がサービス内容に重点を置いていたのに対し、2026年のより最近の投稿は価格と提供内容に焦点を当てている。
「SatelliteStress」の広告は、ユーザーフレンドリーなパネル、APIアクセス、ゲームサーバーサポート、月額20ユーロからの月額プランを備えたIPストレッサーとしてサービスを説明していた。同じ投稿では、サービスが「100%ボットネット駆動」であり、他プロバイダーのインフラに依存するリセラーと区別するための位置づけとして、ダウンストリームAPIに依存していないと主張していた。
以下のスクリーンショットに示されているように、Areshunというレイヤー4およびレイヤー7攻撃、モニタリング、API統合、カスタムプラン、24時間365日のサポート、プロモーション割引コードを提供する「プレミアムDDoSサービス」を提供する別の投稿も、特定のサービスとその価格に焦点を当てている。
別の類似例として「RebirthStress」があり、これも同様にボットネット駆動のIPおよびウェブストレッシングデバイス、無料のレイヤー7ハブ、400以上のスロット、リセラー適合性、月額15ドルからのプランとしてマーケティングされている。
これらの投稿を一つひとつ比較すると、明確なトレンドが見えてくる。2026年の投稿はより製品志向であり、売り手は顧客を巡って互いに競争している。使いやすさ、完全自動化、充実したサポート、プライバシー保証、リセラー対応、信頼性といった魅力的な機能をすべて丁寧にパッケージ化して提供している。
技術的な言語がセールストークの一部になった
技術的な詳細は消えたのではなく、セールストークの一部となった。2026年の広告では、レイヤー4とレイヤー7の機能(サービスがネットワークレベル攻撃とアプリケーション層攻撃の両方をサポートすることを意味する)の主張がより一般的にバンドルされており、「パネル」「API」「スロット」「バイパス」「モニタリング」「アップタイム」「サポート」といった言葉が使われている。
あるTHORCC関連の広告は、7,000以上のアクティブなレイヤー4ボットを主張し、帯域幅分析と攻撃ベクター統計を宣伝していた。別のロシア語と英語の投稿は「プロフェッショナルなストレステスト」を提示しながら、CloudflareとDDoS-Guardのバイパス、高い同時実行数、長い攻撃持続時間を主張していた。
売り手は自分たちの能力を誇張している可能性がある。しかし、マーケティング言語の一貫性は依然として重要なインテリジェンスだ。
それは、買い手がウェブパネル、自動化、バイパスの主張、最小限の労力で攻撃を開始または転売できる能力など、単純なトラフィック量を超えた価値を重視するよう促されていることを示している。
ビジネスモデル
2026年におけるDDoS攻撃の価格は非常に安価だ。以下のようなオファーが確認されている:
-
1時間の攻撃が5ドルで広告されていた
-
ウェブサイト攻撃が10ドル
-
24時間の「ホームホルダー」攻撃が25ドル
より高額なオファーも存在する。「SamuraiDD」というアクターは、1日100ドルからの攻撃を広告していた(以下のスクリーンショット参照)。
「POWERDDOS」という別のアクターは、5ドルのテスト、「弱い」標的に対して1日100ドル、「中程度」の標的に対して1日200ドル、「強い」または保護された標的に対して1日500ドルという段階的なモデルを使用していた。
最後に、インフラスタイルの標的設定を含む「プレミアム」オファーも確認されており、2,000ドルで広告されたDDoSボットネット攻撃ネットワークも含まれていた。
このパターンは、購入者タイプによって細分化された市場を示している。低スキルユーザー向けの安価なテストと短時間の攻撃、一発限りの妨害のための日額料金、より長期的なキャンペーンのための非公開交渉、そしてより本格的な顧客向けの高価値インフラやリセラースタイルのオファーだ。
ブーター経済(他者のインフラを通じて攻撃を開始できる有料のDDoS-for-Hireサービス)に関する公開報告もこの低コストアクセスモデルと一致しており、Akamaiは一部のDDoSブーターサービスが月額25ドル未満で利用でき、限定的なトライアルを提供している場合もあると指摘している。
結論
DDoS-as-a-Serviceはもはやトラフィック量だけの問題ではない。市場は参入障壁を下げ、より簡単に購入・運用・転売できるようになっている。重要なのは攻撃の強さだけでなく、パネル、各種プラン、充実したサポート、APIアクセス、レンタルインフラを通じていかに簡単に攻撃を開始できるかだ。
これにより、複数のタイプのアクターにとって障壁が下がる。低スキルユーザーは短期間の安価な攻撃を購入できる。より本格的な顧客は長期または大規模なキャンペーンを交渉できる。リセラーは元のサービスのリーチ拡大を支援できる。その結果、防御側は破壊的なDDoS活動の背後に高度な攻撃者がいるとは限らないことを認識すべきだ。
近い将来、この市場はより洗練されたサービスモデルへと移行し続けるだろう。明確な価格帯、より多くの自動化、強力なリセラープログラム、「バイパス」能力と攻撃信頼性を中心とした強力なブランディングへと向かっていくことが予想される。
