2025年11月18日、クラウドインフラ大手Cloudflareのネットワーク障害により、X(旧Twitter)、ChatGPT、Spotifyなど世界中の主要サービスが6時間停止した。原因は外部攻撃ではなく、内部設定変更が引き起こした「潜伏バグ」による連鎖反応だった。インターネットの約20%を支えるCloudflareの停止は、デジタルインフラが少数の企業に依存している構造的脆弱性を露呈した。
障害発生の経緯
Cloudflareの障害は2025年11月18日11:20 UTC(タイ時間18:20)に発生した。当初は外部からのDDoS攻撃の可能性が報じられたが、Cloudflareが公開した事後分析報告書により、真の原因は内部的なものであることが判明した。
起点は、データベース権限の変更という一見無害な内部作業だった。この変更がBot Managementシステムの設定ファイルを異常に肥大化させ、そのファイルが世界中の全ネットワークマシンに自動的に伝播された。皮肉にも、効率性のために設計された自動分散システムが障害を拡大させるメカニズムとなった。
肥大化したファイルを読み込もうとした各ノードのルーティングソフトウェアは、ファイルサイズの制限を超過し、世界中で同時にクラッシュした。障害発生から約3時間後の14:30に伝播が停止され、17:06に全システムが正常に戻った。
広範な影響と経済的損失
Cloudflareの障害は、デジタル経済のコア部分だけでなく、社会インフラにまで波及した。
AI分野では、X、ChatGPT、Google Gemini、Anthropic Claudeなどの主要サービスがアクセス障害に直面した。金融セクターでは、Coinbase、Krakenといった暗号通貨取引所やDeFiプロトコルが停止した。分散型ネットワークでさえ、フロントエンドやトラフィック管理をCloudflareに依存していたためだ。公共サービスでは、ニュージャージー州交通局やフランス国鉄の公式ウェブサイトも一時利用不能となった。
経済的影響も深刻だった。障害当日、Cloudflareの親会社NETの株価は急落し、約18億ドルの市場価値が失われた。顧客企業に対しては、サービスレベル合意(SLA)違反によるサービスクレジットや払い戻しが発生する。業界の分析では、中規模企業にとって1時間のダウンタイムが平均30万ドルの損失に相当する。Cloudflareの30万以上の顧客全体では、数千万ドルから数億ドルの経済的損失が発生した可能性がある。
インターネット構造の脆弱性
今回の障害は、インターネットが少数のハイパースケーラーに過度に依存している構造的脆弱性を露呈した。Cloudflareは世界のウェブサイトの約20%にサービスを提供しており、DDoS防御、コンテンツ配信、トラフィック管理で重要な役割を担っている。
この事象は、単一障害点(SPOF)が物理的なサーバーだけでなく、グローバルに展開される設定ファイルといったソフトウェアレイヤーにも存在することを示した。
2025年後半は大規模障害が頻発した時期だ。10月20日にはAmazon Web Services(AWS)がUS-EAST-1リージョンで15時間の大規模障害を経験し、同月下旬にはMicrosoft Azureも障害を経験した。この連鎖的な障害は、少数の企業がデジタル基盤を掌握している「インターネットの寡占化」という構造的問題を反映している。
インフラの集中化は技術的な可用性の問題に留まらず、国家安全保障上の懸念事項となっている。少数の企業がクラウドエコシステムを支配している状況は、国家主体のサイバー攻撃者にとって魅力的な「単一の標的」を提供する。
企業への影響と対応
今回のCloudflare障害は他人事ではない。多くの企業がウェブサイトやアプリケーションの配信にCloudflareやその他のCDNサービスを利用している。また、AWS、Microsoft Azure、Google Cloudなどのクラウドプラットフォームに依存している。
障害時、分散型システムでさえ、ユーザーがアクセスするWebサイトやAPIレイヤーがCloudflareに依存していたために停止した。ユーザーインターフェースが集中型インフラに依存している限り、真のレジリエンスは達成できない。
企業は、サードパーティへの依存リスクを体系的に管理する必要がある。第三者リスク管理(TPRM)を強化し、依存関係マッピングを実施することが重要だ。これには、直接的なサービスプロバイダ、プロバイダが依存している基盤サービス、地理的な集中の3つを特定することが含まれる。
今回の障害は、テスト環境では検出されない「潜伏バグ」がルーチンな設定変更で発現した。このような未知の故障モードに対応する手法として、故障モード影響解析(FMEA)の導入が選択肢の一つとなる。
規制環境の動向
この障害は、政策立案者がインフラリスクを「国家的な脅威」として認識し、規制措置を加速させる契機となる可能性がある。
欧州連合(EU)では、ネットワーク情報セキュリティ(NIS2)指令が導入されている。この指令は、サイバー攻撃やシステム障害に対応するための事業継続計画(BCP)の策定と訓練を求めている。
今回の障害でDNS/CDNが最大のSPOFの一つであることが再認識されたため、単一プロバイダに依存しないDNS冗長化が、重要インフラ企業に対して事実上の規制義務として課される流れが加速すると見られる。
米国においても、少数の企業がインターネットインフラの大部分を制御している現状への懸念が高まっている。ハイパースケーラーに対する透明性の確保やレジリエンス要件の強化が公的な議論の対象となる可能性がある。
今後の対応戦略
今回の障害を受けて、企業はFastly、Akamai、AWS CloudFrontなどの代替CDNサービスへの関心を高めている。マルチCDN戦略への投資を強化する動きも見られる。
しかし、単純なマルチクラウド戦略には課題がある。人材コスト増大(各クラウドの専門家確保と複数倍の研修費用)、運用コスト増大(データ転送費用とセキュリティ設定の重複投資)、管理複雑化(複数プラットフォームの統一管理とガバナンスの困難)といった問題だ。
より現実的なアプローチは、信頼度の高いクラウドベンダーを選択し、そのエコシステム内で冗長性を確保することだ。例えば、AWSを選択した場合、複数のリージョンにまたがるアーキテクチャを構築し、Route 53などのDNSサービスで自動フェイルオーバーを設定することで、単一リージョンの障害に対する耐性を高められる。
ただし、CDNやDNSといった「アクセス層」については、マルチベンダー戦略が選択肢の一つとなる。これらのサービスは比較的統合が容易で、複数のプロバイダを並行利用することで、単一プロバイダの障害に対する耐性を高められる。
重要なのは、自社のビジネスモデル、技術的能力、予算を考慮して、最適なリスク管理戦略を選択することだ。実際のリスクと対策のコストを冷静に評価する必要がある。
参考記事リンク
- Cloudflare outage on November 18, 2025 – Cloudflare Blog
- Cloudflare outage cripples X, ChatGPT and swaths of the internet in latest infrastructure failure – Tehran Times
- Cloudflare outage impacts thousands, disrupting transit systems, ChatGPT, X and more – PBS NewsHour
- Cloudflare Outage And How Wall Street Should Respond – Forbes
- Global Cloudflare outage – After almost a month of AWS failure – From decentralized utopia to internet oligopoly – Xpert.Digital
