自動化された攻撃ネットワークがより大規模かつ高度化するなか、セキュリティチームは、DDoSの脅威環境を塗り替えつつある悪意あるボット活動の急増に追いつくのに苦戦している
2025年12月、Solanaは史上最大級のDDoS攻撃を受け、トラフィックは6Tbpsでピークに達した。攻撃は1週間以上続いたものの、Solanaはネットワークのダウンタイムはゼロだったと報告している。もし攻撃が成功していれば、一般の個人投資家から数百万ドルをだまし取ることもあり得た。
これほど大量のリクエストを吸収することは、単純なレート制限や境界防御の導入だけでは対処できず、2026年に向けて効果的なDDoS防御とはどのようなものか、疑問を投げかけている。
企業が取り組むべき大きな課題の一つは、現代のインターネットにおいて自動化トラフィックがどれほど常態化し、正当なものと潜在的に危険なものの境界が曖昧になっているかという点だ。これらの問題を整理し、この新たなトラフィックの現実においてDDoS防御がどう進化すべきかを理解しよう。
ボットトラフィックが過去最高水準に
自動化トラフィックは現在、全ウェブトラフィックの半分以上を占めている。ある最新レポートによれば、2025年初頭の時点で、AIではないボットだけで全HTMLリクエストのおよそ50%を担っており、ピーク時にはボットトラフィックが人間のトラフィックを最大25ポイント上回った。
友好的であれ悪意あるものであれ、ボットトラフィックは技術的には似た挙動を示す。高頻度のリクエストが発生し、インタラクションパターンのばらつきも小さい。これは防御側にジレンマを生む。ブロックやレート制限を過度に強めると、API、連携機能、モバイルアプリ、バックグラウンド処理など、バックエンドシステムへの正当な自動アクセスに依存する中核サービスを壊してしまうリスクがある。
さらに、悪意ある攻撃者は通常の自動化が生むノイズの中に「紛れ込む」ことができ、初期段階のDDoS活動を検知しにくくしている。
現代のDDoS攻撃は多層化している
現代のDDoS攻撃はマルチベクターであり、同時にスタックの複数レイヤーを攻撃する。典型的には、ネットワークフラッド(レイヤー3)とアプリケーション層またはHTTP/APIフラッド(レイヤー7)を組み合わせる。
従来のDDoS防御は主にネットワーク層をカバーし、生のトラフィック量に対処する。しかし、アプリケーション層への攻撃は、被害を与えるのに大きなボリュームを必要としない。繰り返しのページ読み込み、認証フロー、その他の処理といった高コストなバックエンド作業を引き起こし、リソースを枯渇させ、アプリケーションを遅延させたり停止させたりする。
なお、ボリューム型のネットワーク層攻撃はいまなお極めて一般的である。主な理由は、仕掛けるコストが安く、境界でターゲット環境に負荷をかける手段として依然有効だからだ。
何が破綻し、なぜ防御側は苦戦しているのか
今日、防御側がDDoS問題に対処する際の主要な課題の一つは、「通常」トラフィックの信頼できるベースラインを確立することだ。自動化トラフィックが全体活動に占める割合は増え続けており、ベースラインはノイズが多く、反復的で、非人間的になる。これらは従来、悪意ある挙動を見つけるために用いられてきた特徴と同じである。
最大の痛点は、攻撃シグネチャを遮断しつつ、誤検知を大量に発生させないように防御を調整することだ。過度に攻撃的なルールは実ユーザーをブロックするリスクがあり、保守的な調整は攻撃者に活動の余地を与える。
もう一つの検知上のボトルネックは、今日のDDoS攻撃のすべてがサービスを完全に停止させることを目的としているわけではない点だ。ますます一般的になっている戦術が、コスト枯渇型、いわゆる「経済的」DDoSで、通常はアプリケーションを狙う。これらの攻撃は、静かに性能を劣化させ、インフラコストを押し上げることを狙う。多くの場合、通常に見えるトラフィックパターンの範囲内に収まるため、検知が難しい。
さらに、防御をどこに配置するかというジレンマもある。多くの組織では、DDoS防御はネットワーク層で生のトラフィック量を吸収またはフィルタリングすることにのみ焦点が当てられている。しかし、DDoS攻撃がマルチベクターのキャンペーンへと進化するなか、スタックの全レイヤーに対処するソリューションを検討すべき時期かもしれない。
今日の効果的なDDoS防御とは
今日の効果的なDDoS防御は、攻撃をどう検知するかから始まる。高いリクエストレートだけが指標であってはならない。検知は行動ベースの分析へ移行し、リクエストが時間とともにどう振る舞うか、特定のエンドポイントとどう相互作用するか、そのサービスに期待される利用からパターンが逸脱しているかを調べる必要がある。
検知だけでは不十分だ。DDoS攻撃への対処で実際に重要なのは緩和であり、それは自動かつ迅速でなければならない。この文脈での自動緩和とは、攻撃が進行している最中でもサービスを維持することを目的に、乱用トラフィックをリアルタイムでレート制限し、チャレンジを課し、またはブロックすることを意味する。
効果的な防御には、全レイヤーにわたる可視性と制御が必要だ。ネットワーク層の防御は通常、ISP、クラウドプロバイダー、または負荷下で迅速にスケールできるよう設計された専用のDDoS緩和サービスによって担われる。
アプリケーション層およびAPI層の攻撃に対処するには、リクエストの文脈と挙動が見えるアプリケーションに近い場所へ制御を配置しなければならない。一般的には、アプリケーションデリバリーコントローラ、Webアプリケーションファイアウォール(WAF)、APIゲートウェイ、または重要サービスの前段に配置される統合WAAPプラットフォームを通じて実現される。
ボットトラフィックはインターネット活動の支配的な形態となり、DDoS攻撃の実行方法と防御方法の力学を変えている。同時に、DDoS攻撃は依然として仕掛けやすく、ますます一般的になっており、2025年上半期だけでも800万件以上が記録されている。
多くの組織にとって、短時間の障害でさえ可用性、性能、ユーザーの信頼に影響を与え得る。2026年以降に向けて、DDoSを二次的リスクとして扱うことはもはやできないのは明らかだ。DDoSは可用性に関する中核的な課題であり、今日のトラフィックの現実に耐えられるよう構築された、現代的で多層的な防御が必要である。
