「サイバー攻撃」と一言で言っても、その種類はさまざまです。ニュースでよく聞くDDoS(ディードス)攻撃やXSS(クロスサイトスクリプティング)、結局何が違うの?と思っている方も多いのではないでしょうか。
今回は、これらを「家への侵入」に例えて、その本質的な違いを解説します。
1. DDoS攻撃:鍵穴にボンドを流し込む「営業妨害」
DDoS攻撃とは、大量の通信を送りつけることでサーバーに過剰な負荷をかけ、サービスをダウンさせる攻撃です。
家で例えると、、、
玄関の鍵穴にボンドや接着剤を大量に流し込むようなものです。
家の中の物を盗むのが目的ではなく、「鍵を壊して、家主が家に入れないようにする(=サービスを使えなくする)」ことが目的です。
DDoS攻撃は負荷テストをしていれば防げる?
結論から言うと、負荷テストだけでDDoS攻撃を完全に防ぐことはできません。しかし、無意味というわけでもありません。
負荷テストはいわば「家の健康診断」です。
- 「一度に何人までなら玄関をスムーズに通れるか?」(同時接続数の限界)
- 「一気に水道を使ってもパンクしないか?」(データベースの処理能力)
これを知っておくことは非常に重要です。なぜなら、自分の家の「限界」を知らなければ、どこからが「攻撃(異常な負荷)」なのか判断できないからです。
ただし、負荷テストが「家の強度を確認すること」なのに対し、DDoS攻撃は「家の前に数万人のサクラを並べて、本当のお客さんを一歩も入れなくする」ような妨害行為です。
強固な家を建てる(負荷テストと改修)だけでなく、怪しい行列を整理する「警備員(WAF/DDoS防御サービス)」を配置して初めて、DDoSへの実効力のある対策となります。
Webシステム負荷テスト – 株式会社GENZ – [GENZ, Inc.] | ソフトウェアの検証業務、品質管理、負荷テスト、脆弱性診断などのサービスをご提供
2. XSS(クロスサイトスクリプティング):侵入できそうな場所を狙う「不法侵入」
一方、XSSはWebサイトの隙を突いて悪意のあるスクリプトを仕込み、情報を盗んだりサイトを改ざんしたりする攻撃です。
家で例えると、、、
「鍵のかかっていない窓はないか?」「勝手口の鍵が古くてすぐ壊せないか?」と、侵入できそうな場所を調べて中に入り込むような行為です。
DDoSが「入り口を塞ぐ」攻撃なのに対し、XSSは「中に入り込んで悪事をおこなう」攻撃であり、本質的に全くの別物なのです。
XSS(クロスサイトスクリプティング)について、もう少し詳しく知りたい方はこちらの記事をご参照ください!
【初心者向け】3分でわかる!クロスサイトスクリプティング(XSS)とは?手口と対策の基本
余談)ランサムウェア:家主と一緒に上がり込む「立てこもり」
最近ニュースを賑わせているランサムウェア(身代金要求型ウイルス)も、例えるとイメージしやすくなります。
家で例えると、、、
家主が帰宅したタイミングで一緒に家の中に押し入り、暴れまわる攻撃です。そして「これ以上家具を壊されたくなかったら、金を払え!」と脅してくる状態です。
ここまでご紹介したDDoSやXSSなどと比較してもこのような違いがそれぞれあるのがわかります
| 攻撃名 | 家での例え | 攻撃の目的 | 対策の考え方 |
|---|---|---|---|
| DDoS | 鍵穴にボンド / 大行列 | 営業妨害(入れなくする) | 交通整理 / 門を増やす |
| XSS | 伝言板への罠の書き込み | 情報奪取 / 悪事の代行 | 書き込み内容のチェック |
| ランサムウェア | 居座り・立てこもり | 金銭の要求 | 鍵の強化 / バックアップ |
防げる攻撃は、今のうちに対処しませんか?
サイバー攻撃には、DDoS攻撃のように事前予測や完全な防御が難しいものもあります。しかし、XSSなどの脆弱性を突く攻撃は、事前の診断と対策で防ぐことが可能です。
「泥棒が入りやすい窓(脆弱性)」が開いたままになっていませんか?
手遅れになる前に、まずは自分のシステムの状態を知ることが大切です。
サイバー攻撃への対策・ご相談はGENZへ!
「何から手を付ければいいかわからない」「自社のシステムは大丈夫?」そんな不安をお持ちの方は、ぜひ一度GENZにご相談ください。専門家があなたのシステムをしっかりチェックし、最適な守り方をご提案します。
脆弱性診断・セキュリティ テスト -株式会社GENZ – [GENZ, Inc.]
<過去の関連記事>
脆弱性診断スキャンツール比較まとめ|費用・機能・強み/弱み・開発国まで徹底整理
脆弱性診断とフォレンジック調査の違いとは?“事前”と“事後”をつなぐセキュリティ対応戦略
