エグゼクティブサマリー

アプリケーション層DDoS攻撃は2025年の主流の脅威ベクターとして浮上しました。Radwareは驚異的な550%のWebベース攻撃急増を報告し、Qrator Labsは2025年第2四半期にL7インシデントの前年比74%増加を記録しました。ネットワークエッジでフィルタ可能なボリューム型攻撃と異なり、Layer 7攻撃はアプリケーションロジックを標的とし、正当なトラフィックと区別できないよう設計されています ― それが検知と緩和を著しく困難にします。

金融セクターが主要な標的となり、全アプリケーション層攻撃の43.6%を占めました。Eコマースが22.6%で続き、ICTサービスは18.2%です。これらの業界は、取引の高い価値と短いサービス停止でさえもたらす深刻な事業への影響により、魅力的な標的となります。

2025年9月1日、Qrator Labsは観測史上最大のLayer 7ボットネット攻撃と思われるもの ― 政府組織を標的とする576万のユニークIPアドレス ― を阻止しました。この攻撃は、現在洗練された脅威アクターが利用できるインフラの規模と、L7 DDoSが準備のない組織にもたらす死活的なリスクを実証しています。

Layer 7攻撃ランドスケープ

550%
Web攻撃急増

Webベース攻撃の増加

576万
記録的ボットネット

最大のL7攻撃のユニークIP数

43.6%
金融が標的

L7攻撃の金融セクター標的率

74%
前年比増加

2025年Q2のL7インシデント成長

なぜLayer 7攻撃が急増しているか

検知がより困難

L7攻撃は正当なトラフィックパターンを模倣する。各リクエストは有効に見える ― サービス拒否を引き起こすのは累積的影響である。従来のボリュームフィルタは効果がない。

ネットワーク防御を回避

ボリューム型DDoS保護はLayer 3-4で動作する。アプリケーション層攻撃はこれらの防御を通過してアプリケーション自体を標的とし、異なる緩和戦略を必要とする。

事業への高い影響

チェックアウトエンドポイントや認証サービスへの成功したL7攻撃は即時的な収益への影響をもたらす。攻撃者は最大の混乱のため高価値機能を標的とする。

ボットの進化

高度なボットは現在、ブラウザ動作をエミュレートし、JavaScriptを実行し、CAPTCHAを解く。悪意ある自動化を正当なユーザーと区別することはますます困難になっている。

クラウドインフラの悪用

攻撃者はクラウドリソースを活用して「クリーンな」IPアドレスから地理的に分散した攻撃を生成し、IPベースのブロックを無効化する。

地政学的動機

ハクティビストグループはますますL7攻撃を政治目的に使用する。ピークは、特にロシア・ウクライナ紛争やEU・中国緊張など、地政学的事件と相関する。

記録的攻撃:576万のユニークIP

2025年9月1日、Qrator.AntiDDoSは政府セクター組織を標的とする**観測史上最大のLayer 7 DDoSボットネット攻撃**と考えられるものを阻止しました。この攻撃は**576万のユニークIPアドレス**を展開しました:約280万の侵害エンドポイントが最初の波を開始し、1時間後に約300万の追加デバイスの第2波が加わりました。これは現代IoTボットネットの巨大な規模と、アプリケーション層保護の重要性を実証しています。

業界別影響分析

Layer 7攻撃は、サービス停止が即時的な財務的または運用上の結果をもたらすセクターに集中しています。

業界L7攻撃シェア主要攻撃種別影響度
金融サービス43.6%ログインフラッド、API悪用、チェックアウト攻撃重大 ― 直接的な収益損失
Eコマース22.6%カート操作、検索悪用、在庫保留高 ― 売上中断
ICTサービス18.2%API枯渇、サービス低下高 ― 顧客SLA違反
ゲーム8.4%セッションフラッド、マッチメイキング悪用中 ― ユーザー体験
政府7.2%ポータルフラッド、市民サービス中断高 ― 公共サービスへの影響

攻撃発生源分析

17%
ロシア

L7攻撃の最大の発生源

16.6%
米国

2番目に大きい発生源

13.2%
ブラジル

3番目に大きい発生源

一般的なLayer 7攻撃手法

最も一般的なL7手法は、Webサーバーを圧倒するために大量のHTTP GETまたはPOSTリクエストを送信します。これらのリクエストは正当に見えますが、各リクエストの処理にサーバーリソースを消費します。現代の亜種は、シグネチャ検知を回避するためにランダム化されたパラメータとローテーションするUser-Agentを使用します。

これらの攻撃は、部分的なリクエストを送信したり応答を非常に遅く読んだりすることで、接続をできるだけ長く開いたままにします。単一の攻撃マシンがサーバーの接続プールを枯渇させ、正当なユーザーへのサービスを拒否できます。並行接続容量が限られたサーバーに特に効果的です。

攻撃者は計算的に高価なAPIエンドポイント ― 検索機能、レポート生成器、複雑なクエリ ― を標的とします。各リクエストが重要なバックエンド処理を強制し、攻撃の影響を増幅します。APIはしばしばWebフロントエンドにあるレート制限を欠いています。

認証にはデータベースクエリ、パスワードハッシュ、セッション作成が伴うため、ログインエンドポイントは標的となります。失敗したログイン試行は成功したものよりも多くのリソースを消費する可能性があります。資格情報詰込みキャンペーンは二重の目的を果たします:アカウント侵害とサービス拒否です。

一般的なCMSプラットフォームには既知のリソース集約型エンドポイントがあります。攻撃者はXML-RPC、wp-admin、検索機能を標的とします。これらのプラットフォームの遍在性は、攻撃者が数百万の標的にわたって手法を再利用できることを意味します。

2025年攻撃量の文脈

CloudflareのQ1 2025レポートは、より広範なDDoSランドスケープの文脈を提供します。同社はQ1だけで2,050万件のDDoS攻撃を遮断しました ― 前年比358%の増加です。ネットワーク層攻撃は前年比509%増加し、HTTP DDoS攻撃は前年比118%の増加を示しました。

四半期統計が加速を明らかにしています:HTTP DDoS攻撃は年間118%成長に加えて、四半期比7%の増加を示しました。攻撃継続時間は依然として短く ― HTTP DDoS攻撃の71%、ネットワーク層攻撃の89%が10分未満 ― ですが、それらのウィンドウ内の強度は劇的に増加しました。

2025年9月までに、Cloudflareは40秒間続いた22.2 Tbps攻撃を緩和し、これまでの記録をほぼ倍増させました。これはボリューム型攻撃でしたが、攻撃者が現在指揮するインフラと、それを展開しようとする意思を実証しています。

Layer 7 DDoS防御戦略

1

アプリケーション認識WAAPを導入

従来のファイアウォールはLayer 3-4で動作します。アプリケーション層攻撃には、ディープパケットインスペクション、行動分析、アプリケーション固有のトラフィックパターンの理解を備えたWAAPが必要です。

2

行動分析を実装

シグネチャベース検知は、正当なトラフィックを模倣するL7攻撃に対して失敗します。ベースラインを確立し、異常なリクエストパターン、タイミング、シーケンスを識別する行動パターン分析モデルを導入します。

3

エンドポイントごとのレート制限

すべてのエンドポイントが同等ではありません。エンドポイントの感度に基づいてきめ細かなレート制限を適用します ― 認証、チェックアウト、APIエンドポイントには厳格な制限、静的コンテンツにはより寛容に。

4

ボット管理の統合

高度なボットがL7攻撃を駆動します。IPレピュテーションのみに依存するのではなく、JavaScript実行、ブラウザフィンガープリント、行動パターンを分析するボット検知を導入します。

5

地理的フィルタリングは慎重に

攻撃元は地理的に集中する一方、洗練された攻撃は世界規模で分散したインフラを使用します。地理的ポリシーは防御の1層として実装し、主要戦略としないでください。

6

チャレンジ・レスポンスメカニズム

正当なブラウザが自動的に通過するが攻撃者にコストを課す透明なチャレンジを実装します。JavaScriptチャレンジ、Cookie検証、Proof-of-Workが自動トラフィックをフィルタできます。

7

スケーラブルなインフラ

インフラがトラフィック急増を吸収できることを確保します。オートスケーリング、CDN分散、エッジコンピューティングがオリジンサーバーに到達する攻撃の影響を低減します。

8

インシデント対応計画

防御があっても、攻撃は劣化を引き起こす可能性があります。トラフィック迂回、機能の低下、コミュニケーションプロトコルを含むL7攻撃用のランブックを準備します。

TR7がLayer 7 DDoSからどのように保護するか

アプリケーション層WAAP

ディープパケットインスペクションとアプリケーション認識フィルタリング。HTTPフラッド、スロー攻撃、API悪用パターンを検知・遮断します。

インテリジェントなボット緩和

洗練されたボットを正当なユーザーから区別します。ユーザー体験に影響を与えずに自動トラフィックをフィルタするチャレンジ・レスポンスメカニズム。

きめ細かなレート制限

エンドポイントごと、ユーザーごと、アクションごとのレート制限。正当なトラフィックの可用性を維持しつつ、機密機能を保護します。

DDoS保護プラットフォーム

L3-L7統合DDoS保護。ボリューム型攻撃をエッジで吸収しつつ、アプリケーション層でインテリジェントな緩和を適用します。

リアルタイム分析

行動ベースライン監視を伴うライブトラフィック分析。新興の攻撃パターンに対する自動異常検知とアラート。

高可用性アーキテクチャ

分散インフラがトラフィック急増を吸収します。攻撃中のサービス継続性を確保する自動スケーリングとフェイルオーバー。

参考文献と情報源

550%のWebベース攻撃急増と攻撃パターン分析の主要情報源。https://www.radware.com/threat-analysis-report/

記録的な576万IPボットネット攻撃と74%前年比L7増加の詳細。https://www.itpro.com/security/cyber-attacks/application-layer-ddos-attacks-are-skyrocketing-heres-why

2,050万件の攻撃遮断、前年比358%増加、HTTP DDoS 118%成長。https://blog.cloudflare.com/ddos-threat-report-for-2025-q1/

グローバルDDoS統計とL7インシデント成長分析。https://stormwall.network/resources/blog/ddos-report-q1-2025

セクター別L7攻撃の内訳:金融43.6%、Eコマース22.6%、ICT 18.2%。

アプリケーションをL7 DDoSから守る

アプリケーション層攻撃の550%急増と企業を標的とする記録的ボットネットを踏まえ、L7 DDoS保護は不可欠です。TR7の統合プラットフォームは、現代のアプリケーション層脅威から守るために必要な行動分析とインテリジェントな緩和を提供します。

DDoS保護を見る