2025年5月中旬、インターネットはかつてない規模のサイバー攻撃に揺れた。観測史上最大となる毎秒7.3テラビット(Tbps)という途方もないデータ量のDDoS攻撃(分散型サービス妨害攻撃)が、あるホスティングプロバイダーに襲いかかったのだ。しかし、この攻撃はWebインフラ大手Cloudflareの自律型防御システムによって、人知れず、そして完全にブロックされた。だが、背後でうごめく攻撃者たちの連携と、巧妙化する手口は、我々のデジタル社会が新たな脅威の段階に入ったことを示しており、我々がより危険な時代に突入したことを告げている。
観測史上最大、7.3 Tbpsの衝撃 – 攻撃の詳細を解剖する
今回の攻撃がどれほど異常な規模であったかは、まさに数字が雄弁に物語っている。

ピーク時で毎秒7.3テラビット。これは、1秒間にHD画質の映画約1,800本分のデータが送りつけられた計算になる。攻撃はわずか45秒間という短時間だったが、その間に送信されたデータ総量は37.4テラバイト(TB)に達した。これは、一般的なスマートフォンの高解像度写真1,250万枚分に相当するデータ量が、1分足らずで標的に殺到したことを意味する。

Cloudflareの公式発表によれば、この猛烈な攻撃の標的は、特定のWebサイトではなく「ホスティングプロバイダー」であった。これは極めて重要な点だ。攻撃者は単一の企業を狙うのではなく、そのプロバイダーがサービスを提供する多数の顧客、つまりインターネットインフラの一部をまとめて機能不全に陥れることを意図していた可能性が高い。これは、サイバー攻撃がより広範囲でシステミックな損害を引き起こす方向へシフトしていることを示唆している。

攻撃手法もまた、その巧妙さを物語る。トラフィックの99.996%は単純なUDPフラッド攻撃であったが、残りのごく一部には、以下のような多種多様な攻撃ベクトルが組み込まれていた。
- QOTD(Quote of the Day)反射・増幅攻撃
- Echo反射・増幅攻撃
- NTP(Network Time Protocol)増幅攻撃
- MiraiボットネットによるUDPフラッド
- Portmapフラッド
- RIPv1増幅攻撃
これらの多くは、古く、セキュリティ設定が不十分なプロトコルを悪用するものだ。攻撃者は、こうした多様な手法を組み合わせることで、防御側のファイアウォールや侵入検知システムを混乱させ、検知と防御をより困難にする「マルチベクトル攻撃」を仕掛けてきたのだ。
攻撃は161カ国、12万2,000以上のIPアドレスから発信されており、その分散具合も特筆すべきレベルにある。これは、攻撃者がいかに広範なボットネット(マルウェアに感染させ、遠隔操作できるようにしたコンピューターやIoTデバイスのネットワーク)を掌握しているかを示している。
攻撃の痕跡が示す「見えざる手」- 組織化された攻撃者の影
この7.3 Tbpsという記録的な攻撃は、単独の事象として捉えるべきではない。サイバーセキュリティ企業Impervaの分析は、さらに不気味な背景を浮かび上がらせる。
Impervaによれば、2025年に入ってから、毎秒500万リクエスト(RPS)を超えるような大規模なアプリケーション層DDoS攻撃が世界中で頻発しているという。同社が分析した3つの大規模攻撃(フランスの小売業者、インドネシアの政府機関、米国の飲料会社が標的)において、驚くべき事実が判明した。これらの攻撃で使用されたIPアドレスの平均20%、実に1,670ものIPが共通していたのだ。
これは何を意味するのか?偶然の一致と考えるには、あまりにも数字が大きすぎる。最も可能性の高いシナリオは、これらの攻撃が、同一の、あるいは緊密に連携する攻撃者グループによって、同じボットネット資産を用いて実行されたというものだ。
もはやDDoS攻撃は、腕自慢のハッカーによる散発的な嫌がらせではない。それは高度に組織化され、効率的なリソース管理のもとで提供される「サービス」へと変貌を遂げている。今回の7.3 Tbps攻撃も、この巨大な「攻撃インフラ」の一部を利用して実行されたと考えるのが自然だろう。我々が見ているのは、氷山の一角に過ぎないのかもしれない。
サイバー恐喝の新潮流 – 「RapperBot」が示す犯罪のビジネスモデル化
攻撃の組織化と並行して、その動機もまた、DDoSボットネット「RapperBot」に代表されるように、より悪質で直接的なものへと変化している。
RapperBotは、2025年2月にAI企業「DeepSeek」を標的とした攻撃を実行したが、その手口は単なるサービス妨害に留まらなかった。攻撃者は被害者に対し、「保護料」を支払うよう要求したのだ。支払わなければ、さらなるDDoS攻撃に見舞われると脅す、典型的な恐喝型DDoS(Ransom DDoS)である。
これは、サイバー犯罪がいかに洗練されたビジネスモデルを構築しつつあるかを示す、極めて危険な兆候だ。攻撃者はボットネットという「資産」を最大限に活用し、サービス妨害による間接的な損害を与えるだけでなく、直接的な金銭的利益を得ようとしている。組織化された攻撃インフラと、洗練された恐喝ビジネスモデル。この二つが結びついた時、その脅威は計り知れないものとなる。
いかにしてCloudflareは「津波」を防いだのか? – 自律型防御システムの神髄
これほどまでの規模と巧妙さを持つ攻撃を、Cloudflareはなぜ、しかも人間の介入なしに完全に防ぎきれたのだろうか。その秘密は、同社が長年かけて構築してきた自律型防御システムの設計思想にある。
- Anycastネットワークによる「受け流し」: Cloudflareのネットワークは「Anycast」という技術で構築されている。これにより、特定のIPアドレスに向けられたトラフィックは、物理的に最も近いデータセンターに自動的にルーティングされる。今回の7.3 Tbpsという攻撃トラフィックも、単一の拠点に集中することなく、世界293都市、477カ所のデータセンターに分散された。巨大な津波のエネルギーを、無数の水路に分散させて無力化するようなアプローチだ。
- eBPFを活用した超高速検知: 各データセンターのサーバーは、Linuxカーネルの深層部で動作する「eBPF(extended Berkley Packer Filter)」という技術を用い、流れてくるパケットをリアルタイムでサンプリングする。この超高速な分析により、不審なトラフィックのパターンを瞬時に検知する。
- 自律的なフィンガープリント生成と緩和: 異常が検知されると、「dosd(denial of service daemon)」と呼ばれるシステムが攻撃の「指紋(フィンガープリント)」を自動的に生成する。そして、その指紋に一致するパケットを破棄する防御ルールを即座にコンパイルし、攻撃をブロックする。この一連の流れは完全に自動化されており、ミリ秒単位で完了する。
- リアルタイム脅威インテリジェンスの共有(ゴシッピング): 最も独創的なのは、この脅威インテリジェンスの共有方法だ。あるサーバーが新たな攻撃パターンを検知すると、その情報は「ゴシップ(噂話)」のようにデータセンター内、さらには全世界の他のデータセンターへと瞬時に伝播される。これにより、一つの場所で得られた知見が即座にネットワーク全体の防御力向上に繋がり、集合知として機能するのだ。
この自律的かつ分散型のアーキテクチャこそが、人間が反応する時間すらないほどの猛烈な攻撃を、何事もなかったかのように処理できた理由である。
我々は何に備えるべきか – インターネットの未来を揺るがす構造的リスク
今回の事件は、我々にいくつかの重要な問いを突きつけている。
第一に、インターネットインフラの集約化がもたらす脆弱性だ。攻撃の標的がホスティングプロバイダーであったことは象徴的だ。インターネットの機能が少数の大手クラウド事業者やホスティング企業に集中する現在、これらの企業への攻撃は社会全体に甚大な影響を及ぼすシステミックリスクとなる。
第二に、攻撃リソースの際限なき拡大である。5Gネットワークの普及や、セキュリティの甘いIoTデバイスの爆発的な増加は、攻撃者が利用できるボットネットの規模と能力を今後さらに増大させるだろう。7.3 Tbpsは、もはや通過点に過ぎないのかもしれない。
この現実を前に、我々のセキュリティに対する考え方は根本的な転換を迫られている。もはや、攻撃を受けてから人間が対応する「リアクティブ(対応型)」な防御では間に合わない。今回のCloudflareの事例が示すように、AIと機械学習を活用し、脅威を予測して自律的に対処する「プロアクティブ(予防型)」で分散型の防御こそが、唯一の活路となるだろう。
史上最大のDDoS攻撃は、静かに防がれた。しかし、その水面下で起きていた激しい攻防は、サイバー空間の力学が決定的に変化したことを示している。これは、すべての企業、政府、そして個人が、自らのデジタルな足場を真剣に見直し、次なる「津波」に備えるべき時が来たことを告げる、確かな合図なのだ。
Sources



