2026年3月に海外でS3へのDDoS攻撃により3日で15,000ドルの請求が発生した実例をもとに、クラウド従量課金の隠れたリスクと対策を解説。
きっかけ:S3への攻撃で高額請求が発生した事件
2026年3月、海外の個人開発者がAWS S3バケットへのDDoS攻撃を受け、3日間で約15,000ドル(約200万円相当)の請求が発生する事件がありました。この事件の詳しい原因と、AWSでの具体的な防御策については以下のQiita記事がよくまとめられています。
本記事では、AWSを使っていない人に向けて、同じリスクが自分の環境にもあるのか、どう対策すればいいのかを解説します。
従量課金の「青天井」問題
今回の事件の本質は、S3の設定ミスではなく従量課金モデルには使用量の上限がないという構造です。
レンタルサーバーは月額固定なので、どれだけアクセスが来てもサーバーが耐えきれなくなるだけで請求額は変わりません。一方、従量課金のクラウドサービスはアクセスが増えた分だけスケールし、その分だけ課金されます。
| 項目 | 月額固定(レンタルサーバー等) | 従量課金(クラウド) |
|---|---|---|
| 大量アクセス時 | サーバーダウン(課金なし) | 処理継続(課金あり) |
| コスト上限 | 月額料金が上限 | 基本的に上限なし |
| DDoS攻撃時 | サイトが落ちるだけ | 被害者が転送料金を負担 |
つまり、従量課金サービスを使っているなら、AWSに限らず同じリスクを抱えています。
サービス別:あなたの環境のリスクと対策
Cloudflare を使っている場合
Cloudflareは多くのWebサイトで利用されているCDN・セキュリティサービスです。
リスク:低い
Cloudflareの無料プランでも、帯域幅に従量課金はありません。DDoS対策も標準で含まれており、L3/L4/L7すべてのレイヤーで自動的に攻撃を緩和します。
Cloudflareが今回のような事件に強い理由
- 帯域幅無制限(無料プランでも従量課金なし)
- DDoS自動緩和が標準搭載
- レート制限ルールを無料プランでも設定可能
- Bot Fight Modeで悪意のあるボットを自動ブロック
ただし、Cloudflareを通さずオリジンサーバーに直接アクセスされる経路が残っている場合は意味がありません。オリジンサーバーのIPアドレスを秘匿し、Cloudflare経由のアクセスのみを許可する設定が重要です。
Vercel を使っている場合
Next.jsなどのフロントエンドをVercelにデプロイしている開発者は多いでしょう。
リスク:中程度
Vercelの無料プラン(Hobby)には月間100GBの帯域制限があります。Proプラン(月額$20)では1TBまで。超過分は1GBあたり$0.15で従量課金されます。
SNS上では、Vercelで予想外の帯域超過が発生し高額請求を受けたという報告が定期的に見られます。
対策:
- Vercelダッシュボードで使用量を定期的に確認する
- Spend Management機能で支出上限を設定する(Proプラン以上)
- 画像やアセットはCloudflare等の外部CDNから配信し、Vercelの帯域消費を減らす
Netlify を使っている場合
リスク:中程度
Netlifyの無料プランには月間100GBの帯域制限があります。Proプラン(月額$19)では1TBまで。超過分は1GBあたり$0.20で従量課金です。
2024年には、無料プラン利用者がDDoS攻撃を受け約10万ドルの請求が届いた事件がありました。この件はNetlify CEOの介入により請求が免除されましたが、大きな批判を受けました。現在、無料プランには帯域のハードリミットが設けられ、超過による課金は発生しない仕組みに改定されています。
対策:
- 帯域使用量の監視
- 大容量ファイルは外部ストレージやCDNから配信
Firebase を使っている場合
モバイルアプリやSPAのバックエンドとしてFirebaseを使っている場合。
リスク:高い
Firebaseは複数の課金軸があり、それぞれが従量課金です。
- Cloud Firestore: 読み取り・書き込み・削除の操作数に応じて課金
- Cloud Storage: ダウンロード量に応じて課金
- Cloud Functions: 実行回数と実行時間に応じて課金
特にFirestoreのリアルタイムリスナーを多用しているアプリでは、接続数やデータ同期の頻度によってコストが急増するリスクがあります。
対策:
- Firebaseコンソールで使用量アラートを設定する
- セキュリティルールで認証済みユーザーのみアクセスを許可する
- Firestoreのクエリを最適化し、不要な読み取りを減らす
- Cloud Functionsにはタイムアウトと最大インスタンス数を設定する
DigitalOcean / VPS を使っている場合
リスク:低〜中
DigitalOceanのDroplet(VPS)は月額固定で、一定量の転送が含まれています(例:月間1TB〜)。超過分は1GBあたり$0.01と安価です。
ただし、DigitalOcean Spacesなどのオブジェクトストレージを使っている場合は、S3と同様にデータ転送量に応じた従量課金が発生します。
対策:
- Spacesを直接公開せず、CDN機能を有効にする
- DigitalOceanのアラート機能で転送量を監視する
Xserver・さくら・ConoHa等のレンタルサーバーを使っている場合
リスク:ほぼなし
月額固定のレンタルサーバーは、転送量に応じた従量課金がありません。DDoS攻撃を受けた場合、サーバーが過負荷で落ちるか、ホスティング会社側で遮断されるのが一般的です。
料金が青天井になるリスクは基本的にありませんが、サーバーが落ちるとビジネス機会の損失にはなります。
サービス別リスクまとめ
どのサービスでも共通して確認すべきこと
サービスの種類を問わず、以下の点を確認しておくことをお勧めします。
サーバー管理、丸ごとお任せください
サーバー保守・運用
監視・障害対応・パフォーマンス改善まで、安定稼働をサポートします
※ 通常1営業日以内にご返信します
まとめ
AWSのS3で起きた高額請求の事件は、従量課金のクラウドサービスを使う全員にとって教訓になります。
自分が使っているサービスが月額固定なのか従量課金なのか。従量課金なら、使用量の上限やアラートは設定されているか。まずはそこを確認するだけでも、想定外の請求を防ぐ大きな一歩になります。