新たな攻撃手法「Velvet DDoS」の紹介と調査による補足
2026年06月24日 水曜日
CONTENTS
はじめに
今回の記事では DDoS 攻撃の手法として知られている絨毯爆撃(Carpet Bombing)について紹介します。絨毯爆撃と呼ばれる手法は2018年頃から話題になっています。従来の DDoS 攻撃が単一の宛先に対して大量の攻撃パケットを送りつけるのに対して、絨毯爆撃は CIDR 単位(/24など)を標的としています。絨毯爆撃は現在では一般化された攻撃手法となっています。そして2026年6月18日に絨毯爆撃の発展型といえる手法「Velvet DDoS 」が紹介されました。Velvet DDoSは、DDoS プロテクションサービスを提供しているロシアの会社 CyberFirst から公表された内容で、主にロシア国内へ向けた DDoS 攻撃の手法だと考えられます。しかし、このような手法は特定の国だけの脅威で収まることは考えにくく、国内においても攻撃について事前に認識しておくことが重要です。そのため、本記事では従来型の絨毯爆撃と Velvet DDoS を比較しながらその違いについて紹介します。
従来型の絨毯爆撃の手法
冒頭で紹介したように、従来型の絨毯爆撃は CIDR 単位(/24など)に対して攻撃パケットを大量に送りつける攻撃です。単一の宛先に攻撃する DDoS 攻撃とは異なり、IP アドレス毎に送信される攻撃パケット数は相対的に少なくなります。そのため、絨毯爆撃は単一 IP アドレスにおけるアノマリ検出を回避する可能性がある攻撃手法として知られています。仮に検出できたとしても、防御側にとっては緩和措置が複雑なルールになることも知られており、攻撃パケットは送信・宛先アドレスやポート、プロトコルなどの組み合わせで構成されます。つまり攻撃トラフィック全体の特徴が様々な要素によって決まり、緩和のためのルールが攻撃毎にばらつきやすくなります。また、絨毯爆撃に対する防御の難しさは、正常通信と区別が付きにくいものがあることです。例えば、DigiCert, Inc. によれば2025年7月から8月に発生した絨毯爆撃の中で、HTTPS のデフォルトポートである 443/TCP が攻撃先として指定されていたことが紹介されています。このレポートでは具体的な防御方法について触れられていませんが、緩和が困難であったことが記述されています。
図1: 一般的なDDoS攻撃と絨毯爆撃の違い
Velvet DDoS とは?
新たに命名された Velvet DDoS は、従来型の絨毯爆撃と基本的には同じものです。ただし、従来の空間的な分散に加え、 時間的な分散を組み合わせている点が大きな特徴です。CIDR の範囲内へ攻撃を同時に行うのではなく、特定の時点において限られた数の IP アドレスにターゲットを絞って攻撃することが主な違いです。つまり、特定の CIDR 内に含まれる IP アドレスをいくつかのグループに小分けにし、時間の経過と共に別のターゲットグループへ移り変わっていく攻撃となります。
図2: 絨毯爆撃とVelvet DDoSの違い
図2では、単に攻撃対象となるグループをスケジュール化して攻撃しているように見えますが、CyberFirst によるとそうではないようです。公表された資料では、数ある仮説の一つとして、防御システムの動きとの相関がある可能性が示唆されています。攻撃に対応している最中に別の攻撃対象グループへ攻撃先が向き変わっているということです。
攻撃ツールの存在とその特徴
CyberFirst が仮説として提示しているように、攻撃インフラまでは紐づけられておらず実装部分については不明瞭な点が伺えます。ここでは、私が調査した絨毯爆撃を実行する攻撃ツールを紹介し、実装レベルで Velvet DDoS 攻撃の仮説について補足します。ツールの詳細はここで示しませんが、調査した攻撃ツールが対象を入れ替えるロジックは以下のとおりです。
- 攻撃ターゲットが健全な状態(防御・緩和、ダウンしていない状態)であれば優先的に攻撃し続ける。
- ある程度の頻度でターゲットリスト(CIDR)から健全な状態のターゲットを探索しておく。
- 健全な状態のターゲットが十分でないときには、探索を優先する。
- 攻撃している最中のターゲット群がダウンしていたりすると、ターゲットを入れ替える。
この他にも細かく探索と攻撃をバランスよくするための工夫がされていますが、攻撃ツールの仕様には攻撃対象の防御や緩和措置を監視する機能ではなく、攻撃ツールが無駄な攻撃や探索を行わないように調整する機能であると説明されていました。つまり、攻撃側は無駄なく攻撃パケットを生成する(無駄のないように攻撃を実行する)ための機能を開発したところ(図3)、防御側からみると緩和措置を回避しているようにみえている可能性があります(図4)。
図3: Velvet DDoS を発生させていると考えられるツール側の視点
図4: Velvet DDoS に対処する防御側の視点
またこのツールは、攻撃候補として CIDR 内で稼働しているオープンポートのリストを事前に保持しており、その中から攻撃が実行されます。そのため、実際に使用されている正常な通信と見分けが付きにくい可能性があります。
最後に
今回の記事では絨毯爆撃の発展形である Velvet DDoS について紹介しました。時間とその緩和措置の状況に応じて攻撃の対象が流れるように変わっていく様が、防御・緩和措置の難しさを表しています。本記事では、CyberFirst が仮説として紹介していた箇所を、私が普段調査している内容を踏まえて補足しました。ただし、紹介した攻撃ツールが CyberFirst で紹介された攻撃を実際に発生させているかは断言できません。ですが、絨毯爆撃の実装方法が攻撃の効率性を高める方向に進んでいることは確かで、その上で防御・緩和措置の難しさも増していると言えます。
このような絨毯爆撃に対応するためには、ISP といったネットワークインフラ側の対応に目が向きがちですが、Web サーバなどで特定の IP アドレスからのレート制限をかけるなど従来の防御方法も有効だと考えています。Velvet DDoS は従来型の絨毯爆撃よりも単一 IP アドレスに流れる攻撃パケットの総量が相対的に大きくなる可能性があるためです。新しい攻撃が発見されたとしても、現時点でできる防御方法を抜け目なく実施しておくことが重要です。
