『Cloudflare四半期DDoS脅威レポート第24版』へようこそ。このレポートでは、Cloudforce Oneが、分散型サービス拒否(DDoS)攻撃の進化する領域の状況を、Cloudflareネットワークに基づいて包括的に分析しています。本版は、2025年第4四半期に焦点を当てながら、2025年の全体的なデータを紹介するものです。
2025年第4四半期を特徴づけたのは、Aisuru-Kimwolfボットネットによる前例のない攻撃であり、「クリスマスの一夜」と呼ばれるDDoS攻撃キャンペーンでした。このキャンペーンはCloudflareのお客様をはじめ、Cloudflareのダッシュボードやインフラストラクチャを標的とし、記録的な毎秒31.4テラビット(Tbps)攻撃からわずか数週間後に、毎秒2億リクエスト(rps)を超える超大容量HTTP DDoS攻撃を仕掛けてきたのです。
2025年にはDDoS攻撃は121%急増し、毎時平均5,376件もの攻撃が自動的に回避されました。
2025年の最終4四半期になると、香港は12ランク上昇し、世界で2番目に多くDDoS攻撃を受けた地域となりました。イギリスも36ランクという驚異的な上昇を記録し、攻撃対象地域6位となっています。
Aisuru-Kimwolfボットネットの一部であるAndroid TVへの感染により、Cloudflareのネットワークには超大量のHTTP DDoS攻撃が浴びせられ、最も攻撃された業界として通信事業者が浮上しました。
2025年にDDoS攻撃の総数は倍以上に増え、4,710万件という驚異的な数字を記録しました。こうした攻撃は近年急増しており、2023年から2025年の間にDDoS攻撃の数は236%も急増しました。
Cloudflareは、2025年、毎時平均5,376件のDDoS攻撃を軽減しました。そのうち3,925件がネットワーク層DDoS攻撃、1,451件がHTTP DDoS攻撃でした。
2025年、ネットワーク層DDoS攻撃は3倍以上に増加
最も大幅な増加は、ネットワーク層のDDoS攻撃で、前年比で3倍以上に増えています。Cloudflareは、2024年の1,140万件に対し、2025年には3,440万件のネットワーク層DDoS攻撃を軽減しました。
ネットワーク層攻撃の大部分(約1,350万件)は、2025年第1四半期における18日間のDDoS攻撃作戦の一環として、Cloudflare Magic Transitで保護されるグローバルなインターネットインフラとCloudflareのインフラストラクチャを直接標的としました。これらの攻撃のうち、690万件はMagic Transitのお客様を標的とし、残りの660万件はCloudflareを直接標的にしていました。
この攻撃は、SYNフラッド攻撃、MiraiボットによるDDoS攻撃、SSDPアンプ攻撃などからなるマルチベクトルDDoSキャンペーンでした。当社のシステムは、これらの攻撃を自動的に検出し、軽減しました。実際、このキャンペーンを発見したのは、2025年第1四半期のDDoS脅威レポートを作成している最中でした。これはCloudflareのDDoS対策の有効性を示す一例になっています!
2025年の最終四半期、DDoS攻撃件数は前四半期比で31%増、2024年比で58%増となりました。ネットワーク層のDDoS攻撃がその増加に拍車をかけています。2025年第4四半期には、ネットワーク層のDDoS攻撃がDDoS攻撃全体の78%を占めました。HTTP DDoS攻撃の量は変わりませんでしたが、2023年のHTTP/2 Rapid Reset DDoSキャンペーン以来、見られない規模の急増を見せました。こうした最近の急増のきっかけとなったのは、Aisuru-Kimwolfボットネットであり、これについては次のセクションで紹介します。
2025年12月19日(金)、Aisuru-Kimwolfボットネットが、CloudflareのインフラストラクチャとCloudflareのお客様に超帯域幅消費型DDoS攻撃を仕掛け始めました。このキャンペーンで新しくなったのは、その規模でした。ボットネットは、毎秒2000万リクエスト(Mrps)を超える超大容量HTTP DDoS攻撃を使用しています。
Aisuru-Kimwolfボットネットとは、マルウェアに感染したデバイス、主にAndroid TVの膨大な集合体です。ボットネットは推定100万~400万の感染ホストで構成されています。重要なインフラストラクチャを麻痺させ、ほとんどの従来型クラウドベースのDDoS保護ソリューションをクラッシュさせます。さらにそれだけではなく、国全体の接続を妨害するDDoS攻撃を開始することを可能にします。
このキャンペーンを通じて、Cloudflareの自律型DDoS防御システムが検出・軽減したすべての攻撃は、パケット集中型攻撃384件、ビット集中型攻撃329件、リクエスト集中型攻撃189件になります。合計902件の超帯域幅消費型DDoS攻撃であり、1日平均53件ありました。
キャンペーン中の超帯域幅消費型DDoS攻撃の平均規模は、3Bppsと4Tbps、54Mrpsでした。キャンペーン中に記録された最大レートは、9Bpps、24Tbps、205Mrpsでした。
このことを踏まえると、205MrpsのDDoS攻撃の規模は、英国、ドイツ、スペインの総人口が同時にウェブサイトのアドレスを入力し、同じ瞬間に「Enter」キーを押すのと同等の規模と言えます。
非常に劇的ではあったとはいえ、クリスマス前夜キャンペーンは、年間を通じて見られた超帯域幅消費型DDoS攻撃のごく一部に過ぎません。
2025年を通じて、Cloudflareは超帯域幅消費型DDoS攻撃の継続的な増加を観測しました。2025年第4四半期、超帯域幅消費型攻撃は前四半期と比較して40%増加しています。
2025年の間、攻撃数が増加するにつれて、攻撃の規模も増加し、700%以上成長し、わずか35秒間のDDoS攻撃で1件31.4Tbpsを記録しました。下のグラフで示しているのは、Cloudflareが確認し、ブロックしたDDoS攻撃の規模が急速に増加していることです。攻撃はいずれも世界記録、すなわち当時どの企業が公表した中でも最大のものでした。
他のすべての攻撃と同様に、31.4TbpsのDDoS攻撃は、Cloudflareの自律型DDoS防御によって自動的に検出・軽減されました。この防御によって、Aisuru-Kimwolfなどのボットネットに適応し、迅速にロックオンすることができました。
Cloudflareの超帯域幅消費型DDoS攻撃のほとんどは、通信、サービスプロバイダー、通信事業者業界のお客様を標的にしていました。さらに、Cloudflareのゲーミング業界のお客様や、生成AIサービスを提供するお客様も標的とされていました。最後に、Cloudflare自社のインフラストラクチャ自体が、HTTPフラッド、DNS攻撃、UDPフラッドなど複数の攻撃ベクトルの標的になっていたのです。
あらゆる規模のDDoS攻撃を分析したところ、電気通信サービスプロバイダーおよび通信事業者業界も最大の標的とされていました。かつて、その不名誉な称号を保持していたのは、情報技術・サービス業界でした。
ギャンブル&カジノ業界およびゲーミング業界は、それぞれ3位と4位に位置していました。今四半期、トップ10で最も大きな変化が見られたのは、コンピューターソフトウェア業界とビジネスサービス業界です。それぞれ、いくらか順位を上げました。
極めて攻撃を受けやすい業界という定義は、重要なインフラストラクチャとしての役割、他の企業にとっての中心的なバックボーンとしての役割、あるいはサービス中断や遅延に対する即座かつ重大な財務的影響を被りやすいという特性によってなされます。
DDoS攻撃の状況は、世界で最も攻撃の覆い場所における、予測可能な安定性と劇的な変化の両方が見られました。中国、ドイツ、ブラジル、米国はトップ5であり、攻撃者にとって一貫した関心対象であり続けています。
香港は著しく大きな動きを見せ、12ランクアップして2位にランクインしました。しかしながら、より大きなニュースは英国の急上昇です。同国は今四半期に36ランクという驚異的な上昇を見せ、攻撃対象として6番目になった地域です。
ベトナムは攻撃対象として7番目になった地域です。続くアゼルバイジャンは8位、インドは9位、シンガポールは10位になりました。
2025年第4四半期、バングラデシュがインドネシアを抜いてDDoS攻撃の最大の発生源となりました。インドネシアは1年間DDoS攻撃の最大発生源でしたが、3位に後退しています。エクアドルも2ランク上昇して発生源2位になりました。
注目すべきはアルゼンチンです。20位と急上昇し、DDoS攻撃の発信源4位になったことです。香港は3ランク上昇して5位でした。6位はウクライナ、次いでベトナム、台湾、シンガポール、ペルーと続きます。
攻撃元ネットワークのトップ10リストはインターネット大手企業のリストのように読むことができ、現代のDDoS攻撃の構造に関する興味深い話を明らかにしています。その共通点は明らかです。すなわち、脅威アクターは、世界で最もアクセスしやすく強力なネットワークインフラストラクチャ(主として大規模パブリックサービス)を利用しているということです。
ほとんどのDDoS攻撃が、 DigitalOcean(AS 14061)、Microsoft(AS 8075)、 Tencent(AS 132203)、Oracle(AS 31898)、 Hetzner (AS 24940)などのクラウドコンピューティングプラットフォームおよびクラウドインフラストラクチャプロバイダーに関連するIPアドレスから発生していることが確認されています。これは、簡単にプロビジョニングできる仮想マシンと大容量の攻撃との関係を示しています。これらのクラウドの発信元は主に米国に集中しており、従来の電気通信プロバイダー(Telcos)に関連するIPアドレスからの攻撃がそれに次ぐ規模で大量に発生しています。これらの電気通信事業者は、主にアジア太平洋地域(ベトナム、中国、マレーシア、台湾を含む)から発生しており、トップ10の残りの部分を占めています。
このような地理的および組織的な多様性は、2つの要素から成る攻撃の現実を裏付けています。すなわち、最高ランクの発信元の膨大な規模は、多くの場合、グローバルなクラウドハブから発信されますが、問題はまさに世界規模であり、世界中からインターネットの最も重要な経路を経由していることです。多くのDDoS攻撃では、何千ものさまざまなソースASNが見られ、ボットネットノードが真にグローバルに分布していることが浮き彫りになっています。
ホスティングプロバイダー、クラウドコンピューティングプラットフォーム、およびインターネットサービスプロバイダーが、これらの攻撃を仕掛ける不正なIPアドレスやアカウントを特定し、削除できるように、CloudflareはDDoS攻撃に関する独自の視点を活かして、サービスプロバイダー向け無料DDoSボットネット脅威フィードを提供しています。
世界中で800以上のネットワークがこのフィードに登録しており、コミュニティ全体での協力によりボットネットノードを排除することができました。
DDoS攻撃は急速に高度化・大規模化しており、以前は想像できなかった規模を超えています。このように進化する脅威の状況は、多くの組織にとって対応していく上で大きな課題となっています。現在、オンプレミスの緩和アプライアンスまたはオンデマンドのスクラビングセンターに依存している組織は、防御戦略を見直すことでメリットが得られる可能性があります。
Cloudflareは、 無料で無制限のDDoS防御を、攻撃の規模・期間・量にかかわらず、すべてのお客様に提供することに努めております。そのために、 広大なグローバルネットワークと 自律型DDoS軽減システムを活用しています。
インターネットの防御を支援するというミッションに基づいたCloudforce Oneは、Webの約20%を保護するCloudflareのグローバルネットワークからのテレメトリを活用し、脅威の調査と運用対応を推進し、世界中の何百万もの組織の重要なシステムを保護しています。