はじめに
2022年に話題になった、CloudFront×S3で静的サイト運用している個人ブログに対するEDoS攻撃(Economic Denial of Sustainability)。
「あれから数年経ったけど、今もクラウドのコスト攻撃は現実的なリスク?」
「防御策やAWSのサービスは進化してる?」
そんな疑問をお持ちの方に向けて、2025年の最新事情と対策をまとめます。
1. EDoS(Economic Denial of Sustainability)攻撃とは?
-
クラウド従量課金の“弱点”を突く攻撃
- サーバーダウン目的のDDoSではなく、「大量アクセスでクラウド利用料金を跳ね上げて経済的に継続不能にさせる」新手の攻撃
- 静的サイトの場合もCloudFrontの従量課金部分(データ転送/リクエスト数)に直撃
- キャッシュ返却でも、トラフィック量増加=請求増加は避けられない
2. AWS公式の防御機能と課金の仕組み(2025年最新)
◆ CloudFrontの従量課金はどうなっている?
- データ転送量・リクエスト数で課金
- キャッシュ返却でもリクエストが多い=費用増となる
- 日本リージョンでも、1TB/月までは無料枠(2025年7月現在)
◆ AWS Shield Standard(無料)
- レイヤ3/4(インフラ層)DDoS対策はデフォルトで有効
- 静的サイトには無料で自動保護されている
- ただし、EDoSのような“アプリ層・料金狙い”攻撃には非対応
◆ AWS Shield Advanced(有料)
- レイヤ7(アプリ層)のDDoS/EDoSにも対応
- 攻撃による高額請求が発生した場合、返金(クレジット)申請可能
- ただし、月額30万円前後(3,000 USD/月)は小規模サイトには高すぎる
◆ AWS WAF(Web Application Firewall)
- IP制御やレート制限ルールを柔軟に設定可能
- CloudFront/S3のフロントで使える
- 1WebACLあたり約5 USD/月+ルールごとに1 USD/月前後
- 実質「個人ブログ〜小規模事業者」向けの現実的なEDoS防御策
3. 2025年時点で推奨されるEDoS/コスト対策
1. AWS WAFでレート制限・IPブロックを設定する
- 例:「1分間に1000件を超えるIPからのアクセスは自動ブロック」
- 国単位・ASN単位でブロックも可能
- Bot/スクリプトを弾きやすい
- 正規ユーザーの影響も少ない
2. Cost Anomaly Detectionを有効化
- 2023年〜「AWS Cost Explorer」内で異常コスト検知機能が標準提供
- 普段の利用パターンから逸脱した利用料発生時、即メール通知
- 万が一、攻撃を受けても早期に気付きやすい
3. Lambda@Edge / CloudFront Functionsで前段フィルタ
- リクエストヘッダーやUser-Agentで明らかに不審なアクセスを即レスポンス/拒否
- 「WAFルール通過前にカット」することでリソース消費も抑制
4. Bot管理サービス・追加認証導入
- Cloudflare Bot ManagementやAWS MarketplaceのBot対策ツールも選択肢
- 静的サイトでも必要に応じて認証レイヤー(BASIC認証、Cognito等)を用意
5. CloudFront無料枠/定額制サービスも検討
- CloudFrontには1TB/月の無料枠あり(2025年現在も継続)
- VercelやNetlify等「定額・無料」系の静的ホスティングも選択肢
4. 実際に発生している“課金攻撃”の事例
- 2023〜2024年にかけても、個人/中小規模サイトに対し「短期間で大量リクエスト→数十万円超課金」が国内外で報告あり
- 攻撃対象はブログ、LP、ポートフォリオサイトなど「静的ホスティング」が多い
- WAFやレート制限で防げていたケース、未設定で被害拡大したケースの両方存在
5. まとめ|CloudFront静的サイト運用時の“2025年最新版”チェックリスト
| 項目 | 対応 |
|---|---|
| インフラ層DDoS | AWS Shield Standard(無料/自動) |
| アプリ層/EDoS対策 | AWS WAFでレート制限/ブラックリスト |
| 異常コスト検知 | Cost Anomaly Detection |
| 高額課金の備え | Shield Advanced(コスト重視なら要検討) |
| キャッシュ戦略 | キャッシュ返却も課金発生する点に注意 |
| 境界コスト管理 | CloudFront無料枠/定額制サービス活用 |
| エッジ前処理 | Lambda@Edge / CloudFront Functions |
| Bot/認証強化 | Bot Mitigation/追加認証 |
おわりに
- 2025年時点でも、CloudFront+S3運用サイトに対する「コスト攻撃」は現実的な脅威です。
- “WAFによるレート制限”+“異常検知”+“定額ホスティング検討”が最小コストで最大リスク回避となります。
- 高額課金被害が発生した場合、Shield Advanced加入時のみ返金交渉可能。
- 個人・小規模運用なら、まずはWAFとCost Anomaly Detectionの設定を強くおすすめします。
【補足】実装例(2025年推奨)
AWS WAFレート制限例
{
"Type": "RateBasedRule",
"RateLimit": 1000,
"AggregateKeyType": "IP",
"Action": { "Block": {} }
}
CloudFront FunctionsでUser-Agentチェック例
function handler(event) {
var request = event.request;
if(request.headers['user-agent'] &&
request.headers['user-agent'].value.indexOf('python-requests') !== -1) {
return {statusCode: 403, statusDescription: 'Forbidden'};
}
return request;
}
※2025年7月時点の情報です。サービス仕様や料金は随時変動するため、最新の公式ドキュメントもご確認ください。