sg sg-security-overview threat_vulnerability network
まず結論
Flood攻撃は、大量の通信や要求を送り付けて、サーバ・ネットワーク・回線を過負荷にし、サービスを使えなくする攻撃です。
SG試験では、Flood攻撃そのものの細かい実装よりも、何を大量に送っているかで攻撃名を切り分けられるかが問われます。
特に混同しやすいのは、次の4つです。
| 攻撃名 | 大量に送るもの | 判断ポイント |
|---|---|---|
| ICMP Flood | pingなどのICMP要求 | 回線や相手までの通信を過負荷にする |
| SYN Flood | TCP接続開始のSYNパケット | 接続開始処理を大量に発生させる |
| HTTP GET Flood | Webページ取得要求 | Webサーバにコンテンツ送信処理をさせる |
| Connection Flood | TCP接続そのもの | 接続を維持させてリソースを枯渇させる |
選択肢では、ping、SYN、HTTP GET、TCP接続のどれが出ているかを見ると判断しやすくなります。
直感的な説明
Floodは「洪水」という意味です。
Flood攻撃は、サーバに対して水のように大量の通信を流し込み、処理しきれない状態にするイメージです。
たとえば、お店に電話をかけ続ける人が大量にいると、本当に問い合わせたいお客さんの電話がつながらなくなります。
Flood攻撃も同じで、攻撃者が大量の通信を発生させることで、正規の利用者がサービスにアクセスしづらくなります。
ここで大事なのは、Flood攻撃は情報を盗む攻撃ではなく、使えなくする攻撃だという点です。
SG試験では、機密情報の窃取や改ざんではなく、可用性を低下させる攻撃として整理すると選択肢を切りやすくなります。
定義・仕組み
Flood攻撃は、DoS攻撃やDDoS攻撃の一種として扱われます。
DoS攻撃は、攻撃対象のサービスを妨害する攻撃です。DDoS攻撃は、それを複数の端末や踏み台から分散して行う攻撃です。
Flood攻撃では、主に次のような流れで負荷を掛けます。
- 攻撃対象に大量の通信を送る
- サーバやネットワーク機器が処理しようとする
- CPU、メモリ、接続数、回線帯域などが圧迫される
- 正常な利用者の通信が遅くなる、またはつながらなくなる
IPAの資料でも、Flood攻撃はシステムの容量を逼迫させ、新しい接続を確立できないようにする攻撃として説明されています。参考として、IPAが公開している コンピュータセキュリティ インシデント対応ガイド では、DDoS攻撃の一例としてFlood攻撃が整理されています。
代表的なFlood攻撃は、次のように切り分けます。
| 種類 | 何を悪用するか | 試験での見分け方 |
|---|---|---|
| ICMP Flood | ICMP、ping | pingコマンド、大量の要求パケット、回線過負荷 |
| SYN Flood | TCPの接続開始 | SYNパケット、接続開始要求、応答待ちの負荷 |
| HTTP GET Flood | Webアクセス | HTTP GET、コンテンツ送信、Webサーバ負荷 |
| Connection Flood | TCP接続の維持 | 大量のTCP接続、接続維持、リソース枯渇 |
SG試験では、「大量に送る」という表現だけではなく、どの層・どの処理に負荷を掛けているかを見ることが大切です。
どんな場面で使う?
Flood攻撃は、Webサイト、メールサーバ、DNSサーバ、社内システムなど、ネットワーク経由でサービスを提供している環境で問題になります。
たとえば、次のような場面です。
- Webサイトに大量アクセスが発生して応答が遅くなる
- ping要求が大量に届き、通信回線が圧迫される
- TCP接続要求が大量に届き、サーバが接続処理で忙しくなる
- 多数の接続が維持され、サーバの接続数やメモリが枯渇する
実務では、Flood攻撃への対策として、ファイアウォール、IPS、WAF、DDoS対策サービス、通信量の監視、しきい値設定などを組み合わせます。
ただし、SG試験では「どの製品を入れるか」よりも、攻撃の目的がサービス妨害であり、可用性を低下させるものだと判断することが重要です。
選択肢では、次のように書かれていたら注意します。
- 「大量の要求パケット」→ Flood攻撃を疑う
- 「pingコマンド」→ ICMP Floodを疑う
- 「SYNパケット」→ SYN Floodを疑う
- 「HTTP GET」→ HTTP GET Floodを疑う
- 「TCPコネクションを維持」→ Connection Floodを疑う
よくある誤解・混同
ICMP FloodとHTTP GET Floodの違い
ICMP Floodは、pingなどで使われるICMP要求を大量に送る攻撃です。
一方、HTTP GET Floodは、Webページを取得するHTTP GET要求を大量に送る攻撃です。
| 比較 | ICMP Flood | HTTP GET Flood |
|---|---|---|
| キーワード | ping、ICMP | HTTP GET、Web、コンテンツ送信 |
| 主な負荷 | 回線や通信処理 | Webサーバの処理 |
| 判断基準 | pingが出たらICMP | GETが出たらHTTP |
SG試験では、HTTP GETと書かれているのにICMP Floodを選ばないことが大切です。
ICMP FloodとSYN Floodの違い
SYN Floodは、TCP接続を始めるためのSYNパケットを大量に送る攻撃です。
サーバは接続を確立しようとして応答や管理情報を保持するため、接続処理に負荷が掛かります。
| 比較 | ICMP Flood | SYN Flood |
|---|---|---|
| キーワード | ping、ICMP | SYN、TCP接続開始 |
| 狙う処理 | 通信要求への応答 | TCP接続確立処理 |
| 判断基準 | pingならICMP | SYNならSYN Flood |
選択肢では、「コネクション開始要求」「SYNパケット」と書かれていたら、ICMP FloodではなくSYN Floodです。
SYN FloodとConnection Floodの違い
SYN Floodは、接続を始める段階に負荷を掛けます。
Connection Floodは、大量のTCP接続を確立し、それを維持することでリソースを枯渇させます。
| 比較 | SYN Flood | Connection Flood |
|---|---|---|
| 攻撃の位置 | 接続開始時 | 接続確立後 |
| キーワード | SYNパケット | TCPコネクションを確立・維持 |
| 判断基準 | 始めるだけ | つないだままにする |
SG試験では、「SYNパケットを大量に送る」ならSYN Flood、「大量のTCP接続を確立して維持」ならConnection Floodと切り分けます。
Flood攻撃と情報漏えい攻撃の違い
Flood攻撃は、情報を盗むことが主目的ではありません。
主目的は、サービスを使えなくすることです。
そのため、CIAで整理すると、主に影響を受けるのは可用性です。
| 観点 | Flood攻撃での影響 |
|---|---|
| 機密性 | 情報を盗む攻撃ではない |
| 完全性 | データを書き換える攻撃ではない |
| 可用性 | サービスを使えなくする |
選択肢で「情報を盗み出す」「データを改ざんする」と書かれていたら、Flood攻撃の説明としてはずれている可能性があります。
まとめ(試験直前用)
- Flood攻撃は、大量通信でサービスを妨害する攻撃
- 主な影響は、CIAのうち可用性の低下
- pingならICMP Flood、SYNならSYN Flood、HTTP GETならHTTP GET Flood
- TCP接続を維持して枯渇ならConnection Flood
- SG試験では、攻撃名よりも何を大量に送っているかで選択肢を切る
🔗 関連記事
- AESとは?鍵長とラウンド数も押さえる共通鍵暗号【SG試験】
- 攻撃の事前調査とは?偵察・スキャン・脆弱性探索の流れ【SG試験】
- 攻撃者の種類とは?目的と特徴で整理する【SG試験】
- 認証方式とは?3要素と多要素認証を整理【SG試験】
- 生体認証とは?指紋・顔・虹彩・静脈認証の違い【SG試験】