昨年2024年12月の初旬、ある夫婦が個人的な恨みから京都のスポーツジム会社にDDoS攻撃を仕掛けて大きな損害を与える事件が明らかになりました。衝撃的だったことは、この夫婦がサイバー攻撃どころかIT技術についてもほとんど知らず、簡単にDDoS攻撃を行えたことです。インターネット以前の世界であれば、誹謗中傷を紙に印刷して、スポーツジム会社付近に散布するということが行われたことでしょう。その後、SNSの世界に移り、SNSでの誹謗中傷が問題となっています。今回、SNSでの誹謗中傷を超えた、いわば直接的にダメージを与える方法が取られたのです。それがDDoS攻撃と呼ばれるサービス不能攻撃です。対象となるwebサイトやネットサービスに対して、特別な方法ではなく、単に大量のアクセスをすることによって、webをはじめ、サービスを行うサーバを過負荷にして、サービスを行えないようにする攻撃です。DDoS攻撃の最初のDはDistributed（分散）のDで、DoS攻撃自体は大量のアクセスを行い、過負荷にする攻撃ですが、たった一か所（一つのパソコン、一つのサーバ）から大量のアクセスを行えば、何処から攻撃しているのかすぐに発見され、そのパソコンあるいはサーバを排除することが可能です。それを困難にするために、数百、数千、あるいは数万といったパソコンや、サーバ、それにカメラや無線LAN機器と言ったIoT機器から攻撃を行うのです。

　このDDoS攻撃を誰もが、その攻撃をサービスとして扱えるようになったのです。つまり特別な技術や知見を操ることなく、それを代理で行ってくれるサービスが存在しているのです。しかも非常に安価であり、またそのサービスを行う組織や依頼するものの正体を明かすことはありません。秘匿性の高いダークウェッブや、テレグラム、シグナルといった通信手段、情報流通手段を用いるからです。そして、最も注目すべき点は非常に安価であるということです。1日間にわたっての攻撃が数十ドルとも言われています。先の夫婦の場合、1万5千円でDDoS攻撃を依頼したと報道されています。名実ともに誰もがDDoS攻撃を行えるようになったのです。DDoS攻撃に限らず、ランサムウェアでさえ、RaaSと呼ばれるサービスとして提供され、それを利用（悪用）することも可能となっています。

　このようなDDoS攻撃をサービスする組織の一部を欧州刑事警察機構（ユーロポール）と警視庁が協力し、摘発、機能停止に追い込んでいます。世界中で摘発されたサービスの利用者も検挙されています。その中には日本の中学生も存在し、興味本位で容易く不正アクセスに手を染めてしまう実態が明らかとなっています。

このDDoS攻撃で危惧されていることはランサムウェアに取って代わることがないかということです。2024年年末から2025年年始にかけて、航空会社や銀行、そして通信会社までDDoS攻撃の被害に遭い、その影響は大きなものでした。今回の犯人や犯行動機について現在のところ何も報告されていませんが、後々、金銭目的になるかもしれません。サイバー攻撃として有名なランサムウェアも20年以上前かDDoS攻撃を行うことで脅迫が行われていました。今回、DDoS攻撃が容易に実行でき、しかも大きな被害を与えられることが広く知られることとなりましたから、ランサムウェアのシステムの暗号化やデータ漏えいに代わって、脅迫の材料として使われるかもしれません。

【本記事は2024年12月にJDSF（日本データストレージフォーラム）でのメールマガジンに投稿した拙稿を基に加筆修正したものである】