最終更新日:2026年6月2日
sg sg-security-measures threat_vulnerability it_security_operations risk_assessment
まず結論
EDoS攻撃とは、クラウドサービスの従量課金や自動拡張を悪用し、利用企業に不要な利用料金やリソース消費を発生させる攻撃です。
SG試験では、単なるサービス停止ではなく、「経済的損失」「従量課金」「クラウドリソースの大量消費」が出てきたらEDoS攻撃を疑います。
このページで切り分けること(先にここだけ)
このページは、EDoS攻撃とDoS/DDoS攻撃の違いを中心に整理します。
- DoS/DDoS:大量通信などでサービスを使えなくする攻撃
- EDoS:クラウドの従量課金やリソース消費を悪用し、費用負担を発生させる攻撃
- 不正アクセス・情報窃取:システム侵入やカード情報取得が中心の攻撃
迷ったら、「止める話か、費用を発生させる話か」を見ます。
SG試験で選択肢を切る判断軸(EDoS編)
-
「従量課金」「クラウド利用料金」「リソース大量消費」と書かれている → EDoS攻撃の正答候補です。
-
「カード情報を盗む」「認証情報をだまし取る」と書かれている → 情報窃取やフィッシング寄りで、EDoS攻撃ではありません。
-
「パスワード解析のためにクラウド資源を使う」と書かれている → 攻撃者がクラウド資源を悪用する話であり、被害企業に課金負担を与えるEDoS攻撃とは切り分けます。
関連記事との役割分担(混同防止)
- サービス停止を狙う攻撃全般を確認したい → DDoS攻撃とは?サービス停止を狙う攻撃の仕組み【SG試験】
- DoSとDDoSの違いを確認したい → DoS攻撃とDDoS攻撃の違いを整理【SG試験】
- クラウド利用者側のリスク管理を確認したい → クラウドサービス利用のための情報セキュリティマネジメントガイドラインとは?利用者視点で整理【SG試験】
直感的な説明
EDoS攻撃は、クラウドサービスの「使った分だけ料金が増える」仕組みを悪用する攻撃です。
たとえば、クラウド上でWebサービスを運用している企業があるとします。アクセスが増えると、クラウド側でサーバや通信量などのリソースが増え、利用料金も増える契約になっていることがあります。
攻撃者が不要なリクエストを大量に送ると、次のようなことが起こります。
- サーバやネットワークの利用量が増える
- オートスケーリングで追加リソースが起動する
- クラウド利用料金が想定外に増える
- 対応のための運用コストも増える
つまりEDoS攻撃は、サービスを止めるだけでなく、被害者にお金を使わせることを狙う攻撃です。
定義・仕組み
EDoSは、Economic Denial of Service または Economic Denial of Sustainability と説明されます。
DoS/DDoS攻撃と同じように大量リクエストや過負荷が関係することがありますが、試験での中心は経済的な損失です。
| 観点 | DoS/DDoS | EDoS |
|---|---|---|
| 主な狙い | サービス停止、可用性低下 | 費用負担、経済的損失 |
| 典型的なキーワード | 大量通信、過負荷、サービス停止 | 従量課金、クラウド利用料金、リソース消費 |
| 影響 | 利用できない、応答が遅い | 利用料金が増える、運用コストが増える |
クラウドサービスでは、次のような要素がEDoS攻撃と結び付きやすくなります。
- 従量課金
- 通信量に応じた課金
- ストレージやCPUなどのリソース使用量
- オートスケーリング
- 外部からの大量アクセス
SG試験では、「クラウドだからリソースを増やせる」こと自体ではなく、「その結果として不要な費用を負担させられる」ことに注目します。
どんな場面で使う?
EDoS攻撃は、クラウドサービスを利用している組織で問題になります。
たとえば、次のような場面です。
- ECサイトや予約サイトをクラウドで運用している
- アクセス増加に応じてサーバ台数が自動で増える
- APIの利用回数に応じて課金される
- ストレージや通信量が増えると料金が増える
このような環境で不要なアクセスや処理を大量に発生させられると、クラウド利用企業は想定外の請求や運用負担を受ける可能性があります。
対策の考え方としては、次のようなものがあります。
- WAFやDDoS対策サービスで異常な通信を抑える
- レート制限を設定する
- アラートや予算上限を設定する
- APIキーや認証情報を適切に管理する
- 利用量の急増を監視する
SG試験では、細かいクラウド設定よりも、クラウド利用者がリスクを想定して監視・制限・対策を行うという考え方を押さえます。
よくある誤解・混同
誤解1:EDoS攻撃は、カード情報を盗む攻撃である
これは誤りです。
カード情報の取得を目的にする攻撃は、情報窃取、不正アクセス、フィッシングなどの文脈で考えます。
EDoS攻撃は、情報を盗むことよりも、クラウド利用料金やリソース消費を増やして、被害者に経済的損失を与えることが中心です。
誤解2:EDoS攻撃は、課金機能を使えなくする攻撃である
これも誤りになりやすい表現です。
EDoS攻撃では、課金機能そのものを停止させるというより、従量課金の仕組みを悪用して不要な料金を発生させる点が重要です。
「課金を止める」ではなく、「余計に課金させる」と考えると切り分けやすくなります。
誤解3:クラウドリソースを使えば何でもEDoS攻撃である
クラウドリソースを使う攻撃がすべてEDoS攻撃になるわけではありません。
たとえば、攻撃者が自分のクラウド環境でパスワード解析を行う場合、クラウドリソースは使っていますが、EDoS攻撃の中心である「被害企業に従量課金の負担を与える」という点がありません。
SG試験では、誰に費用負担が発生しているかを見ます。
誤解4:DDoS攻撃とEDoS攻撃はまったく無関係である
両者は無関係ではありません。
DDoSのような大量アクセスが、クラウド環境ではEDoS攻撃につながることがあります。
ただし、選択肢では次のように切り分けます。
| 表現 | 判断 |
|---|---|
| サービス停止、可用性低下 | DoS/DDoS寄り |
| 従量課金、経済的損失、リソース大量消費 | EDoS寄り |
確認問題(SG試験対策)
公開しているWebサービスに対して不要なアクセスが続き、オートスケーリングで利用量が増え、想定外のクラウド費用が発生した。この状況をEDoS攻撃として判断する根拠として、最も適切なものはどれか。
- ア. 利用量に応じて費用が増える仕組みを悪用し、被害組織に余分な負担を与えている。
- イ. 利用者を偽サイトに誘導し、決済情報を入力させている。
- ウ. 暗号通信で使う鍵ペアを生成し、通信相手を認証している。
- エ. 攻撃者自身の計算資源を使って、パスワード候補を総当たりで試している。
▶ クリックして答えと解説を見る(ここを開く)
正解:ア
解説
- ア:適切。費用が利用量に連動するクラウドの性質を悪用し、被害組織のコストを増やしているためEDoS攻撃と判断できます。
- イ:不適切。偽サイトへの誘導や決済情報の入力は、フィッシングや情報窃取の観点です。
- ウ:不適切。暗号鍵や認証の説明であり、EDoS攻撃の費用負担とは関係しません。
- エ:不適切。クラウドや計算資源が出てきても、被害組織の利用料金を増やす話でなければEDoS攻撃とは切り分けます。
👉 判断ポイント クラウドの利用量増加が、被害組織の不要な費用負担につながっているかを見る。
まとめ(試験直前用)
- EDoS攻撃は、クラウドの従量課金や自動拡張を悪用する攻撃
- 目的は、被害企業に不要な利用料金や運用コストを発生させること
- 「経済的損失」「従量課金」「リソース大量消費」がキーワード
- DoS/DDoSはサービス停止、EDoSは費用負担に注目して切り分ける
- カード情報取得やパスワード解析とは目的が違う