世界を襲った2度目の悲劇:最悪級脆弱性への「緊急対応」が招いたインターネット麻痺の全貌
2025年12月5日、再び世界中のインターネットが震撼しました。Cloudflareのネットワークで発生した大規模障害により、Zoom、LinkedIn、人気ゲームのフォートナイトなどが軒並みアクセス不能に。画面には「500 Internal Server Error」の文字が踊り、わずか2週間前に起きた悲劇が脳裏をよぎりました。この2度目の障害は、ある「世界最悪級の脆弱性」への緊急対応が皮肉な結末を招いたことによって引き起こされたのです。
25分間の混乱:世界を麻痺させた「500エラー」の連鎖
協定世界時8時47分、日本時間では同日17時47分、Cloudflareのネットワークで異変が始まりました。世界各地のユーザーがウェブサイトにアクセスしようとすると、サーバー側の問題を示す「500エラー」に直面。Cloudflareの発表によると、同社が処理する全HTTPトラフィックの約28%が影響を受け、インターネット全体で見ても甚大な規模の障害となりました。ビデオ会議サービスのZoom、ビジネスSNSのLinkedIn、人気ゲームのフォートナイトやリーグ・オブ・レジェンズ、さらにはAI企業アンソロピックのクロードなど、多岐にわたるサービスが巻き込まれ、多くのビジネスや日常活動が一時的に停止。Cloudflareは問題を認識してから約25分後の協定世界時9時12分に復旧を完了させましたが、このわずかな時間が世界に大きな混乱をもたらしました。
最高深刻度10.0の「React2Shell」:ウェブを脅かす未知の脆弱性
今回の障害の背景には、「React2Shell」と名付けられた、セキュリティ深刻度最高値の10.0を記録する脆弱性が存在しました。ReactはMetaが開発したJavaScriptライブラリーで、ウェブサイトやアプリのユーザーインターフェースを構築するために世界中で広く使われています。Facebook、Instagram、Netflix、AirBNBなど、数多くの巨大サービスがReactで構築されており、その利用は開発者の約4割に及びます。
この致命的な欠陥は、正式名称「CVE-2025-55182」として2025年11月29日に発見され、12月3日に公開されました。React Server Componentsのフライトプロトコルにおけるデシリアライゼーション処理に血管があり、攻撃者は特殊なHTTPリクエストを送るだけで、認証なしにサーバーを完全に乗っ取ることが可能でした。セキュリティ企業の実験では、攻撃成功率はほぼ100%と報告され、Next.jsのバージョン15.xおよび16.xも影響を受ける対象となりました。さらに恐ろしいのは、アプリケーションが明示的にサーバー機能を使っていなくても、React Server Componentsをサポートしているだけで攻撃対象になる点です。開発者が意図しない場所に攻撃の入り口が開いている可能性が指摘されました。
国家レベルの攻撃が開始:脆弱性公開からわずか数時間で
「React2Shell」の脆弱性が公開されてから何が起きたのでしょうか。Amazonのセキュリティチームは衝撃的な報告を発表しました。公開からわずか数時間で、中国政府との関連が指摘されるハッカー集団「アースラミア」と「ジャックポットパンダ」が悪用を開始したというのです。Amazonは「MAD」と呼ばれるハニーポットシステムでこの活動を観測しました。イギリスの国家サイバーセキュリティオペレーションセンターも、機能する概念実証コードがすでに複数で回っており、継続的な悪用はほぼ確実であると警告。Cloudflareは、世界中のWeb環境の39%にこの脆弱性の影響を受けるインスタンスが存在し、12月5日にはすでに侵害された被害者の存在も確認されています。攻撃者たちはCVE-2025-55182だけでなく、他の脆弱性も併用し、組織的かつ迅速な対応で世界中のサーバーを調べ上げていました。GoogleもCloud Armorの新しいWAFルールを公開するなど、各社が緊急対応に追われる中、Cloudflareも同様の対応を急いでいたのです。
緊急対応の代償:皮肉な結末と「見えないもの」
Cloudflareが急いでいたのは、悪意のあるデータを検知・ブロックするWAFの強化でした。HTTPリクエストの内容をメモリに一時保存して分析する際の上限を、これまでの128KBから1MBに引き上げようとしたのです。これは、Next.jsアプリケーションのデフォルト上限が1MBだったため、より多くの顧客を保護するための措置でした。この変更は「段階的デプロイメント」という、少しずつ範囲を広げていく安全な方法で展開されていましたが、ここで思わぬ問題が発生します。
展開中、社内のWAFテストツールでエラーが発生。顧客トラフィックには影響しない内部システムであるため、セキュリティ修正を優先し、テストツールを一時的に無効にすることを決定しました。しかし、この無効化に「グローバル設定システム」が使われたことが悲劇を生みます。これは変更を数秒以内に全世界に一斉に反映させるシステムで、段階的デプロイメントとは異なり即座に適用されてしまいます。このシステムは11月18日の障害後にもレビュー対象となっていましたが、見直しが完了する前に再び使用されてしまったのです。
結果、Cloudflareの旧型プロキシ「FL1」で、この変更が特定の条件でエラーを引き起こしました。Luaというプログラミング言語で書かれた部分で例外が発生し、サーバーは「500エラー」を返す状態に。根本的な原因は、長年存在しながら発見されなかったコードの欠陥でした。新型プロキシ「FL2」がRustという言語で書かれ、コンパイル時にこのような誤りを検出できるのに対し、旧型FL1の脆弱性が露呈した形です。迅速な復旧により25分で問題は巻き戻されましたが、これはわずか2週間前の悲劇の再現でもありました。
沈黙の重さ:繰り返される悲劇とインターネットの現状
11月18日、世界は6時間の沈黙を経験しました。X、ChatGPT、Spotify、Discordなど、多くのサービスが停止し、経済損失は最大3億6000万ドルと試算されました。原因はデータベースの権限変更という些細なミス。CEOは「二度と同じ過ちは繰り返さない」と誓い、段階的な展開や緊急停止の仕組み強化を進めていましたが、わずか17日後、その計画は未だ「展開を終えていない」状態で2度目の障害が発生。この一文が、今回の悲劇の重さを物語っています。
私たちは普段、蛇口をひねれば水が出、スイッチを押せば明かりがつくように、インターネットも「そこにあって当然のもの」と捉えがちです。しかし、その「当たり前」は、世界中に張り巡らされた光ファイバー、冷却され続けるサーバールーム、そして昼夜を問わずモニターを見つめ続けるエンジニアたちの無数の「見えない手」によって支えられています。Cloudflareは、その「手」の一つとして、世界最悪級の脆弱性からウェブを守ろうとし、皮肉にもその「緊急対応」が自らを傷つける結果となりました。
インターネットは、核戦争にも耐えうる分散型ネットワークとして設計されたはずでした。しかし、効率と利便性を追求するうちに、巨大な弱点を作り上げてしまったのです。分散は集中へ、冗長性は依存へ。設計思想と現実が静かに乖離していった結果が、今回の連続障害と言えるでしょう。エンジニアたちは今夜も、次の脆弱性が公開され、次の攻撃者が動き出す前に、見えない戦いを続けています。私たちが当たり前のように享受するインターネットの光の下には、誰かが書いたコードがあり、誰かが設定したサーバーがあり、誰かが見張り続ける夜があります。「見えないものは存在しないのではない。見ようとしていないだけだ」。この言葉は、現代社会におけるインターネットの複雑さと、それを支える人々の献身を深く示唆しています。
ネットの反応
ハッカーを国家ぐるみで支援とか、もうネットから締め出した方が良いだろ中国前に深海ケーブルの切断とかもしてたし、そのうち致命的なシステムにアクセスされて世界が終わりかねんわ…
「見えない物は存在しないのではない」🙂危機管理しかり、様々な事柄に言える『言葉』ですね!想像力と感受性が大事になりますね😊
もう国際的なテロとして、終身刑以上の罪でいいのでは。
今回は攻撃か某国も最近は自国上げから他国下げに情報戦術をシフトしたようだし、この間の障害発生を見て「いま攻撃すれば既存システムの信頼を効果的に破壊できる」とでも考えたのかね
ロシアとか中国とか北朝鮮とか、悪の枢軸3か国が国家レベルでAI使って短期での復旧が不可能な致命的な攻撃手法を見つけ出したら、ある日突然世界が止まるだろうな
なんで社内のテストツールでエラーが出ているのにそれを止めてdeployしようとしたんだろう?
この手の異常は忘れた頃にまた来る。冗長化等を含む耐障害性の向上は、不安定なシステムでは助けになるが、安定したシステムでは非効率で利益を生まない設備に写る。総じて経営者は利益を生まないモノを必要だとは考えない。
世界のインターネットからCNとRUを排除するだけでリスクは大幅に軽減する
昨日CrystalDiskInfoを公式から入れようとしても弾かれたのはそういうことだったのか
中国はネットから完全に封鎖されても文句言わないんじゃないかな?金門に使うコストいらなくなるからその分お得だろ。
Cloudflare….頑張ってくれ….ホントにまじで頑張ってくれ….俺は信頼してるで、いつかしっかり今回の件含め一時的な修正を、構成見直してしっかり落ち着いて練り直して安定させた後、どういう行動とるかねぇ
二度あることは三度ある
テスト環境と本番環境に致命的な差があるんかなと思ったらテストツールでエラーなのに精査しないで無視って最悪の選択やな
?「我が社の再発防止策は世界一ィィィ!」
今回の障害はしょうがない気がする…運が悪かったとしか…
2度あることは・・・😏
いやLinkedInも!?そこはAzureでガチガチに組んどいてくれよ
金曜日の夕方、これに当たって、Claude が使えなくなったから、仕方ないので仕事打ち切って週末に突入した
WEB技術の大概がセキュリティだからな。Windowsがどんどん重くなっていくのもセキュリティだしな。しばらくはこんな感じだろうな。
ネットしてなかったわー(笑)
AIの所感
Cloudflareによる2度目の大規模障害は、現代のインターネットが抱える構造的な脆弱性と、それを運用する巨大企業のセキュリティ対策の難しさを浮き彫りにしました。特に、「世界最悪級の脆弱性」への緊急対応が、結果的にシステム全体の麻痺を招いたという皮肉な結末は、技術的な複雑さに加えて、人的判断や過去の教訓が十分に活かされなかった側面を示唆しています。国家レベルの攻撃者の存在や、脆弱性公開からわずか数時間で悪用が開始されるという事実は、サイバーセキュリティの脅威が常に進化し、その対応がいかに困難であるかを物語っています。インターネットが「当たり前」に利用できる社会の裏側には、無数のエンジニアたちの献身的な努力と、時には今回のような痛ましい失敗が存在します。効率と利便性を追求する中で、インターネットが当初の分散型ネットワークという設計思想から乖離し、少数の巨大インフラへの依存度を高めてしまった現状は、今後のインターネットのあり方について深く再考を促すものでしょう。今回の事態は、私たちユーザーにとっても、デジタル社会の恩恵を享受する上で、その土台にある脆弱性と、それを支える見えない努力に目を向ける重要性を改めて教えてくれています。