1カ月で2度目となるCloudflareのシステム障害が発生した。原因は攻撃ではなく、深刻な脆弱性を防ぐためのセキュリティ対策だったという。複雑化するシステム運用において、変更管理のリスクをどう最小化すべきか。
CDN(コンテンツ配信ネットワーク)サービス事業者のCloudflareにおいて、2025年11月18日の大規模障害から3週間もたたないうちに2度目となるシステム障害が発生した。その原因はサイバー攻撃ではなく、皮肉にも脆弱(ぜいじゃく)性対策にあった。大手ベンダーでもパッチ(修正プログラム)適用を誤ってしまう現実から、システム管理者が学ぶべき教訓を明らかにする。
障害は協定世界時間の2025年12月5日午前8時47分(米国東部時間午前3時47分、日本時間午後5時47分)に発生。一時的に管理ツール「Cloudflare Dashboard」および関連API(アプリケーションプログラミングインタフェース)がダウンし、複数のオンラインサービスが利用できない状態に陥った。「Canva」「Coinbase」「LinkedIn」「X」(旧Twitter)、「Zoom Workplace」といった主要サービスへのアクセスが遮断された他、Web障害監視サービス「DownDetector」そのものも影響を受けた。
Cloudflareは障害発生当日の午前9時12分(協定世界時間)時点で問題が解消したことを表明しており、サービスページではグローバルネットワーク全体でのサービスの正常稼働が報告された。
Cloudflareによると、障害の原因はWebアプリケーションファイアウォール(WAF)のリクエスト解析(パース)処理に加えられた変更であり、これによって約25分間にわたりネットワークの可用性に影響が生じた。
「今回の障害はサイバー攻撃によるものではない。『React Server Components』の脆弱性に対処するため、運用チームが加えた変更が原因だ」とCloudflareの担当者は説明する。React Server Componentsとは、WebアプリケーションのUI(ユーザーインタフェース)開発用ライブラリ「React」の機能で、Webアプリケーションの処理の一部をサーバで実行できるようにする仕組みだ。
問題となった脆弱性は「CVE-2025-55182」として追跡されている。当初、Reactを利用するフレームワーク「Next.js」の脆弱性に「CVE-2025-66478」という別の識別子が割り当てられていたが、根本原因がReactにあることが分かり、その後CVE-2025-55182に集約された。「React2Shell」とも呼ばれるこの欠陥は、Webアプリケーション開発の主流ライブラリであるReactに存在する、深刻なリモートコード実行(RCE)の脆弱性だ。
セキュリティベンダーRapid7の研究者によると、CVE-2025-55182はReact Server Componentsを利用可能な全てのバージョンのReactを用いているWebアプリケーションに影響を及ぼす。WebサーバでReact Server Functionを稼働させるアプリケーションを明示的に実装していなくても、React Server Componentsが利用可能なだけでWebアプリケーションが脆弱になる可能性がある点が厄介だという。Rapid7の研究者は、Next.jsを含むReactベースのツールもCVE-2025-55182の影響を受けると指摘している。
認証されていない攻撃者がCVE-2025-55182を悪用すると、標的サーバで任意のプログラムを実行できるようになる恐れがある。CVE-2025-55182を悪用して実装された概念実証コード(PoC)も共有されている可能性がある。
「Reactやその派生ツールを使用している企業は、通常のパッチ適用サイクルを待たず、広範な悪用が始まる前に緊急で修正する必要がある」とRapid7の研究者は警告する。
APIの監視およびテストサービスを提供するAPIContextのCEO、マユール・ウパディヤヤ氏は今回の障害について次のように語る。
「CDNやWAFといったインフラレイヤーで発生する障害の影響は甚大だ。単にシステムがダウンしたという以上に、われわれが普段、こうしたサービスを『舞台裏で動いていて当然のもの』と信じ、全幅の信頼を寄せているからだ」
ウパディヤヤ氏は「あらゆるサービスには不具合が付き物だ」と述べた上で、重要なのは「『レジリエンス』(回復力)とは、単に『システムを止めないこと』だけではない」ことだと強調する。同氏によると、重要なのは以下の3点だ。
「システムが複雑化する中、一刻を争う緊迫した局面をベンダーとユーザー企業が共に乗り切るためには、日頃の継続的なテストと、リアルタイムな状況把握こそが鍵を握る」とウパディヤヤ氏は助言する。
今回の障害はサイバー攻撃によるものではなく、ベンダーがユーザー企業を保護するためのセキュリティ対策を実施した結果、意図せず発生したものだった。しかし、セキュリティベンダーESETのグローバルセキュリティアドバイザーであるジェイク・ムーア氏は「防御側は依然として攻撃への警戒を怠るべきではない」と警鐘を鳴らす。
「ここ数カ月、設定変更のミスによってWebサイトが壊滅的な障害に見舞われる事例を何度も目にしてきた。サービス運用を支えるシステム障害などの混乱は、平常時よりも大きな隙を生み、大規模な破壊活動をもくろむ攻撃者に機会を提供する」とムーア氏は注意を促す。
Cloudflareは、2025年11月にも大規模障害を経験したばかりだ。この大規模障害では、bot管理システムの変更によって想定サイズを超えた設定ファイルが配信され、広範囲なシステムクラッシュを引き起こした。これは同社にとって2019年以来最悪レベルのシステム障害であり、当初は同社チームが大規模分散型サービス拒否(DDoS)攻撃を疑うほどの規模だった。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
