https://www.three-wise-monkeys.com/entry/2026/03/20/080000

DDos攻撃を受けるもバズか攻撃かに迷う架空のドキュメントです

[通常の状況] 東京にある中堅オンラインショッピングサイト「フレッシュマーケット」は、国内の有機野菜や銘菓を販売。
毎週月曜日の12時に商品の入荷状況を在庫に反映するため、月曜日はアクセスが増える特徴がある。
わたしはこのオンラインサイトの運用監視を担当。

[月曜日午後3時] 技術部門の管理するシステムに緊急アラートが点滅。
モニター画面には異常な数値。サイトへのアクセス数が多い日でも、1,000件程度のはずが、50,000件超に跳ね上がる。
サーバー負荷のグラフは真っ赤、CPU使用率は99%。
わたしは「DDoS攻撃かもしれない」と直感するも、その確信は持てなかった。

[判断の迷い] そもそも月曜日はアクセスが増える日。今日入荷した新商品の注文が殺到している可能性を考えた。
よくバズると言うが、今日は有名インフルエンサー「X子さん」がモニターを務める商品の発売日だった。
単なる話題沸騰によるアクセス急増か？それとも攻撃か？…判断に迷った。

[顧客からの苦情] 顧客から「サイトが開けません」「アクセスすると504エラーが出ます」との声が殺到。

[緊急会議] CISO率いる技術チームが緊急招集され、インシデントを宣言。
アクセスログ調査で、海外からの異常な同時接続多数を確認。
「これはBotネットワークによる分散型攻撃だ」とCISOが判断。

[初動対応] 海外の攻撃的IPをブロック。アクセス頻度の異常に高いIPを自動遮断。
しかし攻撃は巧妙で、IPを次々変更され、いたちごっこが続く。

[午後5時] サイトが完全ダウン。
外部サイバーセキュリティ企業に緊急支援を要請。
臨時サイトを立ち上げ、サービス停止をアナウンス。

[外部支援到着] 専門家チームがAIによるBot検知を導入。
CDN経由の分散処理で負荷を軽減。

[午後8時] 攻撃の勢いが弱まり、段階的に復旧。
正常アクセスが可能となり、504エラーも大幅減少。

[その後] 「フレッシュマーケット」は24時間監視体制を導入し、DDoS攻撃対策を大幅強化。

[アクセス急増の見分け方]

ポイント	バズによるアクセス急増	DDoS攻撃によるアクセス急増
発生タイミング	商品リリースやSNS投稿直後	ランダム・時間帯に関係なく突然
アクセス元	国内ユーザー中心、既知のSNS経路から	海外IPが多数、Botネットワークの可能性
ユーザー行動	ページ遷移や購入動作など自然	同一ページの連続リクエスト、異常な頻度
社内情報	マーケティング部やキャンペーン情報で説明可能	社内情報で説明できず、異常としか判断できない
対策	通常のサーバー負荷対応、キャッシュ最適化で十分	緊急遮断、IPブロック、CDN分散処理など専門対応が必要

用語解説

DDoS攻撃：複数のコンピュータから一斉にアクセスを送り、サービスを妨害する攻撃手法。
バズる：SNSなどで急速に話題が広がること。
インフルエンサー：SNSなどで大きな影響力を持つ人物。
504エラー：サーバーが処理を完了できずタイムアウトしたときに表示されるエラー。
CISO：最高情報セキュリティ責任者（Chief Information Security Officer）。
Botネットワーク：悪意ある目的で遠隔操作される多数のコンピュータ群。
サイバーセキュリティ企業：インターネット上の脅威や攻撃に対して防御や対策を提供する会社。
CDN：コンテンツ配信ネットワーク。世界中のサーバーにデータを分散配置し、高速配信する仕組み。