UDPフラッド攻撃とは？ わかりやすく解説

ウィキペディア

UDPフラッド攻撃

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2025/07/22 08:37 UTC 版)

UDP フラッド攻撃（UDPフラッドこうげき）は、コンピュータネットワークプロトコルであるユーザー データグラム プロトコル (UDP) を使用した、大規模なDoS攻撃である。

この攻撃はUDPの「コネクションレス型」という特性を悪用し、標的となるサーバーやネットワーク機器に大量のUDPパケットを送りつけることで、そのリソースを枯渇させ、正規のサービス提供を不能にするボリューム型の攻撃である^[1]。

UDPフラッド攻撃は、その中でも特に頻繁に観測される手法であり、2023年上半期に観測されたボリューム型ネットワークDDoS攻撃において、総攻撃トラフィック量の63.8%を占めたという報告もある^[2]。

UDPプロトコルとUDPフラッド攻撃の基礎

UDPの最も顕著な特徴は、「コネクションレス型」であるという点にある^[3]。これは、TCPが通信開始前に行う「3ウェイハンドシェイク」のような、送信者と受信者間での事前の接続確立手順を一切必要としないことを意味する^[3]。送信者は、受信者の状態や可用性を確認することなく、宛先のIPアドレスとポート番号を指定するだけで、一方的にデータグラム（パケット）を送りつけることができる^[4]。この通信方式は、しばしば「送りっぱなし（Fire-and-Forget）」と表現される^[5]。

UDPフラッド攻撃は、前述したUDPプロトコルの特性、特にコネクションレスである点を悪用したDoS/DDoS攻撃の一種である^[6]。攻撃者は、標的となるサーバーやネットワーク機器に対し、送信元IPアドレスをスプーフィングした大量のUDPパケットを、意図的にランダムな宛先ポートに送りつける。

この攻撃の目的は、標的のリソースを枯渇させることにある。大量のUDPパケットを受信したサーバーは、その一つ一つに応答しようと試みる過程でCPUやメモリといった処理リソースを消費し、同時にネットワーク帯域も飽和状態に陥る。最終的に、サーバーは正規のユーザーからのリクエストを処理できなくなり、サービス提供が不能な状態、すなわちサービス妨害が引き起こされる^[7]。

UDPの設計思想そのものが、この攻撃を非常に容易かつ効果的なものにしている。接続確立が不要であるため、攻撃者は自身の身元を偽装しながら、極めて少ないリソースで一方的なデータの洪水を発生させることができる^[3]。これは、セッション状態を維持するためにある程度の対話が必要となるTCPベースの攻撃とは対照的であり、UDPフラッド攻撃の危険性の一因となっている^[8]。

UDPフラッド攻撃の技術的メカニズムと類型

攻撃プロセス:

UDPフラッド攻撃がサービス停止を引き起こすプロセスは、以下のステップに分解できる。

1. パケットの送信: 攻撃者は、マルウェアに感染させて遠隔操作可能にした多数のデバイス群であるボットネットを利用することが多い^[9]。これらのボットから、標的サーバーのランダムなポートに対し、送信元IPアドレスを偽装したUDPパケットが大量に、かつ高速に送信される。
2. サーバーの応答処理: 標的サーバーのオペレーティングシステム（OS）は、着信したUDPパケットを受け取ると、そのパケットで指定されている宛先ポート番号で待機しているアプリケーションが存在するかどうかを確認する^[10]。
3. アプリケーション不在の確認: 攻撃パケットは意図的にランダムなポートを宛先としているため、ほとんどの場合、そのポートで待機しているアプリケーションは存在しない^[10]。
4. ICMPエラー応答の生成: OSは、指定されたポートにアプリケーションが存在しないことを確認すると、送信元（と偽装されたIPアドレス）に対して宛先到達不能を通知するためのICMPパケットを生成し、返信する^[10]。
5. リソースの枯渇: この一連の処理が、毎秒何十万、何百万と送りつけられるUDPパケットのそれぞれに対して実行される。この反復処理がサーバーの計算リソースを著しく消費する^[1]。同時に、大量のUDPパケットの着信と、それに対するICMPパケットの返信が、サーバーに接続されたネットワーク回線の帯域幅を上下両方向で飽和させる^[11]。

主な攻撃類型

ランダム・ポート・フラッド (Random Port Flood)

最も基本的な手法であり、標的サーバー上のランダムなポートに対してUDPパケットを大量に送りつける。サーバーは、存在しない多数のポートでアプリケーションを探し続けることを強いられ、リソースを大量に消費する^[3]。

フラグメント攻撃 (UDP Fragmentation Attack)

ネットワークで一度に送信できるパケットサイズ（MTU）を超えるような、意図的にサイズの大きなUDPパケットを生成し、それを断片化して送信する攻撃手法である。受信側はこれらの断片を再構成するためにCPUやメモリに大きな負荷を強いられる^[3]。

攻撃の増幅と分散

リフレクション・増幅攻撃 (Reflection/Amplification Attack)

攻撃者は直接標的を攻撃するのではなく、インターネット上に公開されている第三者のサーバー（オープンなDNSリゾルバ、NTPサーバーなど）を「踏み台」として悪用する。攻撃者は送信元IPアドレスを標的のIPアドレスに偽装し、小さなリクエストを踏み台サーバーに送信する。踏み台サーバーはプロトコルの仕様に従い、リクエストよりもはるかに大きな応答パケットを標的に返送する。これにより、攻撃トラフィックが何倍にも「増幅」され、標的に集中砲火される^[3]。

ボットネットの利用

攻撃は、マルウェアに感染させて乗っ取った何千、何万というデバイス（PC、サーバー、IoT機器）で構成される「ボットネット」から一斉に行われるのが一般的である。攻撃元が世界中に分散しているため、特定のIPアドレスからのアクセスを遮断するといった単純な防御策では効果がなく、防御を著しく困難にしている^[3]。

防御・緩和戦略

基本的な防御策

• アクセス制御とフィルタリング: 攻撃元IPアドレスの遮断、業務に不要な国や地域からのアクセスを制限するジオフィルタリング、不要なUDPポートをブロックするポートフィルタリングなどが有効である^[3]。
• レートリミット: 単一のIPアドレスからのパケット数やサーバーへの総トラフィック量に上限値（しきい値）を設定し、超えたトラフィックを破棄する手法である^[12]。ただし、正規ユーザーを誤ってブロックしないよう、慎重なしきい値設定が求められる^[13]。

ファイアウォール

次世代ファイアウォール（NGFW）は、より高度なDDoS防御機能を提供する。攻撃パケットに共通する特徴（フィンガープリント）を認識して選択的に破棄するフィンガープリントフィルタリングや、機械学習を用いて異常な通信パターンを動的に検知し、未知の攻撃にも対応する技術がある^[13]。Palo Alto Networksなどが提供するZone Protection機能は、ネットワークを論理的な「ゾーン」に分割し、ゾーン単位で多層的な防御を適用する^[14]。

クラウドベースのDDoS保護サービス

数百Gbpsからテラビット級の大規模なボリューム型攻撃に対しては、オンプレミスの防御策だけでは限界がある。組織が契約しているインターネット回線の帯域幅自体が攻撃トラフィックによって飽和してしまうためである。この問題を解決するのが、Akamai Prolexic、Cloudflare Magic Transitなどの専門ベンダーが提供するクラウドベースのDDoS保護サービスである^[7]。これらのサービスは、組織のトラフィックを、ベンダーが世界中に分散配置した巨大なデータセンター群（スクラビングセンター）に迂回させ、そこで悪意のある攻撃トラフィックをフィルタリング（洗浄）し、クリーンになった正規のトラフィックだけを組織のデータセンターに転送する^[7]。

攻撃ツール・例など

Low Orbit Ion Cannon (LOIC)

Low Orbit Ion Cannon(LOIC) は、元々はネットワークの負荷試験用に開発されたが、その手軽さからDDoS攻撃に広く悪用されてきたツールである^[7]。シンプルなGUIを備え、専門知識がなくてもUDPフラッド攻撃などを容易に開始できる。複数のユーザーが連携して一斉攻撃を行う「Hivemind」モードも特徴的である。しかし、基本的なLOICには匿名化機能がなく、使用者のIPアドレスが記録されるため、多くの使用者が法執行機関によって逮捕されている^[15]。

Operation Payback

2010年、ハクティビストやアノニマスによって起こされた「Operation Payback」である。内部告発サイトWikiLeaksへの寄付金の取り扱いを停止したPayPal、MasterCard、Visaなどへの報復として、支持者たちがLOICを用いて大規模なDDoS攻撃を実行した。この攻撃により標的企業のサービスは大きな混乱に見舞われたが、LOICの匿名性の欠如から、後日多数の参加者が逮捕・訴追された^[15][16]。

MiraiボットネットによるDynへの攻撃

2016年10月21日、Twitter、Amazon、Netflix、PayPalなどが利用している大手DNSプロバイダーDynへ、大規模なDDos攻撃が行われた。この攻撃の主役は、マルウェア「Mirai」に感染した無数のIoTデバイス（監視カメラ、ルーターなど）であった^[17]。Miraiは、セキュリティの甘いIoTデバイスに自動的に感染を広げ、巨大なボットネットを形成していた。このMiraiボットネットはDynに向けられ、ピーク時には1Tbpsを超えるとされるTCPおよびUDPフラッド攻撃を実行した^[18]。DNSサービスが麻痺した結果、Dynを利用していたTwitter、Amazon、Netflix、PayPalなど世界中の主要インターネットサービスが広範囲で利用不能となった^[18]。この事件は、セキュリティ対策が不十分なIoTデバイスが、いかに強力なサイバー兵器になりうるかという現実を全世界に突きつけ、攻撃後、Dynは多くの顧客を失ったとされる^[19]。

関連項目

• DoS攻撃
• SYNフラッド攻撃- 共にトランスポート層を標的とするが、SYNフラッドはコネクション指向のTCP、特にその接続確立プロセスである「3ウェイハンドシェイク」を悪用する。
• ICMPフラッド攻撃 - ICMPフラッドはネットワークの診断や制御に使われるICMPを悪用する。ICMPはUDNと同じくコネクションレス型である。

脚注

[脚注の使い方]

1. ^ ^{a b} “UDP フラッド DDoS 攻撃とは何ですか?”. CDNetworks. 2025年7月22日閲覧。
2. ^ “Protect your environment from UDP Flood Attacks”. Radware Blog. 2025年7月22日閲覧。
3. ^ ^{a b c d e f g h} “UDPフラッド攻撃とは？仕組みと対策をわかりやすく解説！”. 株式会社アクト. 2025年7月22日閲覧。
4. ^ “UDPとは？仕組みや特徴などをわかりやすく解説”. IT用語一覧 - WebCli. 2025年7月22日閲覧。
5. ^ “コネクションレス型通信（データグラム型通信）とは？意味を分かりやすく解説”. IT用語辞典 e-Words. 2025年7月22日閲覧。
6. ^ “UDPフラッド攻撃とは”. IT用語辞典 e-Words. 2025年7月22日閲覧。
7. ^ ^{a b c d} “What Is a UDP Flood DDoS Attack?”. Akamai. 2025年7月22日閲覧。
8. ^ “UDP フラッド DDoS 攻撃とは”. Akamai. 2025年7月22日閲覧。
9. ^ “What Are UDP Floods?”. Prophaze. 2025年7月22日閲覧。
10. ^ ^{a b c} “Flood Attack: Prevention and Protection”. ClouDNS Blog. 2025年7月22日閲覧。
11. ^ “Mechanisms of UDP Flood Attack and Defense”. Huawei. 2025年7月22日閲覧。
12. ^ “UDPフラッド攻撃とは？仕組みと対策をわかりやすく解説！”. 株式会社アクト. 2025年7月22日閲覧。
13. ^ ^{a b} “What Is UDP Flood? How to Defend Against UDP Flood?”. Huawei. 2025年7月22日閲覧。
14. ^ “Flood Attacks: Configuration & Troubleshooting Best Practices”. Palo Alto Networks. 2025年7月22日閲覧。
15. ^ ^{a b} “Attacks by “Anonymous” WikiLeaks Proponents not ...”. The Simpleweb. 2025年7月22日閲覧。
16. ^ “What is LOIC - Low Orbit Ion Cannon”. Imperva. 2025年7月22日閲覧。
17. ^ “Mirai Botnet: How It Works and How to Stop It”. Indusface. 2025年7月22日閲覧。
18. ^ ^{a b} “The DDoS Attack on Dyn's DNS Infrastructure”. ThousandEyes. 2025年7月22日閲覧。
19. ^ “Cyber Case Study: The Mirai DDoS Attack on Dyn”. CoverLink Insurance. 2025年7月22日閲覧。