『Cloudflare DDoS脅威レポート第21版』へようこそ。四半期ごとに発表されるこのレポートでは、Cloudflareネットワークのデータに基づいて、分散型サービス拒否(DDoS)攻撃の進化する脅威の状況を包括的に分析しています。本版では、2025年第1四半期に焦点を当てています。過去のレポートは、www.ddosreport.comでご覧いただけます。
本レポートは、主に2025年第1四半期に焦点を当てたものですが、2025年4月に観測された超帯域幅消費型DDoSキャンペーンの最新データも含まれており、公開されている過去最大規模の攻撃のいくつかを紹介しています。歴史的なアクティビティの急増の中で、当社は記録上最も激しいパケットレート攻撃をブロックしました。そのピークは毎秒48億パケット(Bpps)に達し、これまでのベンチマークを52%上回るものでした。また、別途、最大級とされる帯域幅攻撃に匹敵する毎秒6.5テラビット(Tbps)の大規模なフラッド攻撃にも防御を成功させました。
2025年第1四半期、Cloudflareは2,050万件のDDoS攻撃をブロックしました。これは、前年比358%増、前四半期比198%増に相当します。
そのうち約3分の1にあたる660万件は、18日間にわたるマルチベクトル攻撃キャンペーンの一環として、Cloudflareネットワークインフラ自体を直接標的としたものでした。
さらに、2025年第1四半期には、Cloudflareは約700件の1 Tbpsまたは1 Bppsを超える超帯域幅消費型DDoS攻撃をブロックしました。これは1日平均約8件の攻撃数に相当します。
すべての攻撃は、当社の自律型防御機能によってブロックされました。
DDoS攻撃やその他の種類のサイバー脅威の詳細については、ラーニングセンターを参照してください。Cloudflare Radarでは、このレポートのインタラクティブ版を閲覧でき、さらに詳細な分析が可能です。インターネットのトレンド調査に興味のある方のために、無料のAPIがあります。また、レポート作成の際に使われた方法についてもご覧いただけます。
2025年第1四半期、当社は2,050万件のDDoS攻撃をブロックしました。ちなみに、2024年全体では2,130万件のDDoS攻撃をブロックしました。この四半期だけで、2024年にブロックした件数の96%を阻止したことになります。
最も大幅な増加は、ネットワーク層のDDoS攻撃でした。2025年第1四半期、当社は1,680万件のネットワーク層DDoS攻撃をブロックしました。これは、前四半期比397%増、前四半期比509%増です。HTTP DDoS攻撃も増加し、前四半期比7%増、前年同期比118%増となりました。
Cloudflareでは、当社システムが生成した独自のリアルタイムフィンガープリントを基にDDoS攻撃をカウントしています。場合によっては、単一の攻撃またはキャンペーンであっても、異なる緩和戦略が適用されると複数のフィンガープリントが生成されることがあります。そのため、時としてカウント数が多くなることもありますが、この指標は特定期間中の攻撃活動を示す強力な全体的指標となります。
攻撃の標的はCloudflareネットワークおよびインターネットインフラ
第1四半期にブロックされた2,050万件のDDoS攻撃のうち、1,680万件がネットワーク層のDDoS攻撃であり、そのうち660万件はCloudflareのネットワークインフラストラクチャを直接標的にしていました。さらに690万件は、Cloudflareが保護するホスティングプロバイダーとサービスプロバイダーが標的でした。
これらの攻撃は、SYNフラッド攻撃、MiraiボットによるDDoS攻撃、SSDPアンプ攻撃などからなる18日間にわたるマルチベクトルDDoSキャンペーンの一環でした。これらの攻撃は、2,050万件の攻撃と同様に、当社のDDoS防御機能によって自律的に検出され、ブロックされました。
以下のグラフでは、Cloudflareに対する攻撃の1日ごとの集計が青い線で示されており、その他の色は、CloudflareのMagic Transitサービスを利用している各種ホスティングプロバイダーおよびインターネットサービスプロバイダーに対して同時に行われた攻撃を表しています。
超帯域幅消費型DDoS攻撃とは、1~2 Tbpsまたは1 Bppsを超える攻撃のことです。2025年第1四半期、当社はこのような攻撃のうち700件以上をブロックしました。ネットワーク層DDoS攻撃の10万件に約4件が超帯域幅消費型攻撃でした。超帯域幅消費型DDoS攻撃は、UDPを介して行われる傾向があります。
本レポートは、主に2025年第1四半期に焦点を当てたものですが、第2四半期にも継続した、大規模で超帯域幅消費型の記録的なDDoS攻撃についても強調することが重要だと考えています。そのため、このキャンペーンに関する初期のインサイトを含めました。
2025年4月後半、Cloudflareのシステムは集中的なキャンペーンの一環として数十件の超帯域幅消費型DDoS攻撃を自動的に検出し、ブロックしました。最大規模の攻撃はピーク時に4.8 Bppsと6.5 Tbpsで、これらの急激な上昇は通常35~45秒続きました。この攻撃は6.5 Tbpsで、これまでに公表された最大のDDoS攻撃に匹敵します。4.8 Bppsの攻撃は、パケット強度の観点から過去最大の攻撃で、それまでの3.15 Bppsの記録を約52%上回ったことになります。
この攻撃は147か国から発信され、Cloudflare Magic Transitが保護しているホスティングプロバイダーの複数のIPアドレスとポートを標的としました。すべての攻撃はCloudflareのネットワークによってブロックされました。
DDoS攻撃の標的となったCloudflareのお客様を対象にアンケートを実施したところ、過半数が「誰に攻撃されたかわからない」と回答しています。一方、特定できたと回答した中で最も多かったのは「競合他社」で、これは攻撃主体全体の39%を占め、前四半期と同様の傾向でした。特にゲーミング業界やギャンブル業界ではこの傾向がよく見られます。
その他の17%は「国家レベルまたは国家が支援する脅威アクターが攻撃の背後にある」と報告し、それに近い割合が「不満を抱いたユーザーや顧客が攻撃の背後にある」と報告しています。
さらに11%は「誤って自分自身にDDoS攻撃を仕掛けてしまった(セルフDDoS)」と回答し、同程度の割合が「恐喝者」が攻撃を仕掛けたと報告しました。6%は「不満を持つ現職または元従業員」が攻撃の発信元だったと報告しています。
ネットワーク層においては、SYNフラッドが引き続き最も一般的なレイヤー3/4のDDoS攻撃ベクトルであり、それにDNSフラッド攻撃が続きます。Miraiボットによって仕掛けられたDDoS攻撃は、UDPフラッド攻撃に代わって3位となりました。
HTTP領域では、攻撃の60%以上が既知のボットネットによるものとして特定・ブロックされました。21%は疑わしいHTTP属性を持つ攻撃、さらに10%はブラウザを偽装するボットネットによる攻撃であり、残りの8%は一般的なフラッド攻撃、異常なリクエストパターンを持つ攻撃、キャッシュバスティング攻撃(キャッシュ破壊攻撃)でした。
2025年第1四半期、CLDAPリフレクション/アンプ攻撃は前四半期比で3,488%増加しました。CLDAP(Connectionless Lightweight Directory Access Protocol)は、LDAP(Lightweight Directory Access Protocol)の変形版で、IPネットワーク上で動作するディレクトリサービスのクエリと変更に使用されます。CLDAPはコネクションレスで、TCPの代わりにUDPを使用しており、よりスピードが速まるものの信頼性が薄まります。UDPを使用していることによりハンドシェイクの要件がなく、攻撃者が送信元のIPアドレスを詐称できるため、攻撃者がリフレクションベクトルとして悪用できてしまいます。これらの攻撃では、なりすました送信元IPアドレス(被害者のIP)から小さなクエリが送信されるため、サーバーに被害者に大きなレスポンスを送信されることで圧倒します。対策には、異常なCLDAPトラフィックのフィルタリングと監視が必要になります。
また、ESPリフレクション/アンプ攻撃は前四半期比2,301%増加しました。ESP(Encapsulating Security Payload)プロトコルはIPsecの一部であり、ネットワーク通信に機密性、認証、完全性を提供します。しかし、DDoS攻撃で悪用される可能性があり、悪意のあるアクターが設定ミスや脆弱性のあるシステムを悪用し、標的に向けてトラフィックをリフレクションまたはアンプリフィケーションさせ、サービスの中断に至る恐れもあります。他のプロトコルと同様に、DDoS攻撃のリスクをブロックするためには、ESPを使用するシステムの安全性を確保し、適切に設定することが極めて重要です。
超帯域幅消費型攻撃の増加にもかかわらず、DDoS攻撃のほとんどは小規模なものです。2025年第1四半期、レイヤー3/4 DDoS攻撃の99%が1 Gbpsおよび1 Mpps以下でした。同様に、HTTP DDoS攻撃の94%が毎秒100万リクエスト(rps)でした。しかし、「小規模」とは相対的な用語であり、ほとんどのインターネットプロパティはこのような小規模な攻撃にも耐えることはできないでしょう。保護されていないインターネットリンクは簡単に飽和状態になり、保護されていないサーバーはクラッシュします。
さらに、ほとんどの攻撃は非常に短時間で終了します。レイヤー3/4 DDoS攻撃の89%、HTTP DDoS攻撃の75%は、10分以内に終了しています。最大規模で記録的な超帯域幅消費型DDoS攻撃でさえ、上記の例で見られた35秒の攻撃のように非常に短時間になる場合があります。35秒であろうと10分であろうと、手動での軽減策やオンデマンドソリューションの有効化には十分な時間とは言えません。セキュリティアナリストがアラートを受け、攻撃を分析する頃には、すでに攻撃は終わっているのです。また、攻撃自体は非常に短時間でも、その攻撃の余波により、ネットワークやアプリケーションの障害が発生し、復旧には数日かかることがあります。その間、サービスは停止または品質低下状態に陥ります。現在の脅威状況では、人為的な介入は一切できません。検出と軽減は常時有効で、インラインかつ自動化されていなくてはならず、十分な容量とグローバルなカバレッジを備えていて、攻撃トラフィックと正当なピーク時トラフィックを処理できなければなりません。
一方、1 Mrpsを超える超帯域幅消費型HTTP DDoS攻撃の割合は倍増しました。2025年第1四半期、HTTP DDoS攻撃の100件に6件が1Mrpsを超えました。ネットワーク層では、10万件に1件が1 Tbpsまたは1 Bppsを超える攻撃でした。
Cloudflare Magic Transitのお客様を標的にした攻撃の一例があります。このお客様は米国に拠点を置くホスティングプロバイダーで、ソリューションとしてWebサーバー、Voice of IP (VoIP)サーバー、ゲームサーバーを提供しています。この特定の攻撃では、ポート27015が標的となりました。このポートは一般的にマルチプレイヤーゲーミングサーバー、特にCounter-Strike: Global Offensive(CS:GO)、Team Fortress 2、Garry's Mod、Left 4 Dead、Half-Life 2: DeathmatchなどのValveのソースエンジンゲームに関連することが多いです。
このポートは、クライアントがゲームサーバーに接続してオンラインプレイを行うために使用されます。多くの場合、このポートはゲームやどのような通信を行っているかに応じてUDPとTCP の両方に対して開放されています。このお客様は、複数の帯域幅消費型攻撃の標的となりましたが、それらはすべてCloudflareによって自律的にブロックされました。
2025年第1四半期には、世界の最も攻撃を受けた地域トップ10に大きな変動が見られました。ドイツは著しい上昇を見せ、4ランク上昇して最も攻撃を受けた国となりました。2位のトルコも11ランクの大幅な上昇を記録しました。一方、3位の中国は前四半期と比べて2ランク下落し、香港は順位に変動がありませんでした。インドは4ランク上昇し、ブラジルは順位を維持しました。台湾は4ランク下落しました。フィリピンは最大の下落幅を記録し、6ランク低下しました。しかし、韓国とインドネシアはそれぞれ2ランクずつ上昇しました。
2025年第1四半期の最も攻撃を受けた業界トップ10には、いくつかの注目すべき変動がありました。ギャンブル&カジノ業界は4ランク上昇し、最も攻撃を受けた業界となりました。一方で、通信、サービスプロバイダー、キャリア業界は1ランク下落しました。情報技術&サービス業界およびインターネット業界は、それぞれ1ランク上昇、2ランク下落と小幅な変動を見せました。ゲーミング業界と銀行&金融サービス業界はともに1ランク上昇しましたが、サイバーセキュリティ業界は前四半期比で37ランクという大幅な上昇を記録しました。小売業界は1ランクのわずかな下落を見せ、製造、機械、技術&エンジニアリング業界は28ランク急上昇しました。航空、航空&宇宙業界は最も大きなジャンプを見せ、40ランク上昇して第10位の最も攻撃を受けた業界となりました。
2025年第1四半期のDDoS攻撃の最大発信元トップ10ランキングも大きな変動が見られました。香港は前四半期から3ランク上昇し、1位に急浮上しました。インドネシアは2位に後退し、アルゼンチンは2ランク上昇して3位となりました。シンガポールは2ランク下がって4位、ウクライナは1ランク下がって5位となりました。ブラジルは大きな躍進を見せ、7ランク上昇して6位にランクインし、タイも同じく7ランク上昇して7位につけました。ドイツも2ランク上昇して8位となりました。ベトナムは最も劇的な上昇を記録し、15ランクアップして9位に入りました。ブルガリアは2ランク下がり、10位でトップ10を締めくくりました。
ASN(自律システム番号)は、インターネット上で単一のルーティングポリシーの下で動作するネットワークまたはIPネットワークグループに割り当てられた一意の識別子です。これは、BGP(Border Gateway Protocol)などのプロトコルを使用して、システム間のルーティング情報を交換するために使用されます。
DDoS攻撃、特にHTTP DDoS攻撃の発信元を見ると、際立っている自律システムがいくつかあります。2025年第1四半期において、ドイツ拠点のHetzner(AS24940)がHTTP DDoS攻撃の最大発信元としての地位を維持しました。それに続くのは、フランス拠点のOVH(AS16276)が2位、米国拠点のDigitalOcean(AS14061)が3位、同じくドイツ拠点のContabo(AS51167)が4位でした。
その他の主要な発信元には、中国拠点のChinaNet Backbone(AS4134)、Tencent(AS132203)、オーストリア拠点のDrei(AS200373)、そして米国拠点のMicrosoft(AS8075)、Oracle(AS31898)、Google Cloud Platform(AS396982)がトップ10を締めくくりました。ランキングしたネットワークのほとんどが有名なクラウドコンピューティングまたはホスティングプロバイダーであり、クラウドインフラストラクチャが意図的または悪用によってDDoS攻撃に悪用される頻度が高いことを示しています。
ホスティングプロバイダー、クラウドコンピューティングプロバイダー、およびインターネットサービスプロバイダーが、これらの攻撃を仕掛ける不正なアカウントを特定し、削除できるように、Cloudflareは独自の視点を活かして、サービスプロバイダー向け無料DDoSボットネット脅威フィードを提供しています。すでに世界中で600以上の組織がこのフィードに登録しています。このフィードは、各自律システム番号内から発生しているHTTP DDoS攻撃の発信元IPアドレスのリストをサービスプロバイダーに提供します。完全無料で、必要なのはCloudflareの無料アカウントを開設し、PeeringDB経由で自律システム番号を認証し、その後APIを通じて脅威インテリジェンスを取得することだけです。
Cloudflareの使命は、より良いインターネットの構築をサポートすることです。そのコミットメントの重要な部分は、DDoS攻撃に対する無料の保護を提供するだけでなく、他のネットワークがそのインフラストラクチャ内で動作するボットネットを検出および除去するための無料ツールを提供することにより、より広範なインターネットコミュニティをサポートすることです。
脅威の状況は進化し続けているため、多くの企業が依然として攻撃を受けてからDDoS攻撃対策を導入するか、時代遅れのオンデマンドソリューションに依存していることがわかります。一方、当社のデータからは、事前予防的なセキュリティ戦略を持つ企業の方が、耐障害性がはるかに高いことがわかります。そのため、当社では既存の脅威と新たな脅威の両方に先手を打つために、自動化と包括的で常時稼働型のセキュリティアプローチに注力しています。
335都市にまたがり348Tbpsの容量を持つグローバルネットワークに支えられ、Cloudflareは、攻撃の規模や期間、頻度にかかわらず、定額制で無制限のDDoS攻撃対策を提供することに全力を注いでいます。