2025年3月10日、SNSプラットフォームのX(旧Twitter)は一時アクセス障害が発生し利用できない状態になりました。X社のイーロン・マスクCEOは障害原因がサイバー攻撃によるものと明らかにし、複数のセキュリティ組織などはDDoS攻撃によるものであった可能性をあげています。ここでは関連する情報をまとめます。
Xで断続的に発生した半日にわたる広範なアクセス障害
- Xでアクセス障害が始まったのは2025年3月10日19時頃(日本時間)で、その後一時復旧するなどしたが翌11日までは断続的に接続しづらい状況が継続した。*1 障害発生中は、アプリとWebサイト双方で投稿などの表示が遅延したり、接続できなくなるなどの事象が日本や米国、英国、フランス、インドなど広域で生じた。*2
- Ciscoの観測チームであるThousandEyesは、継続時間の異なる5回の障害を観測したと観測データを公開している。障害発生中、Downdetector社にも米国の利用者からは4万件以上、英国でも8000件など、多数の報告が寄せられた。*3 *4 *5
CEOの攻撃地域発言に専門家らは懐疑的な見方
- イーロン・マスクCEOは、3月11日未明にアクセス障害は大規模なサイバー攻撃であるとXに投稿した。また投稿時点で攻撃は継続しており、多くのリソースが投入された組織的なグループや国の関与があるとも投稿している。同氏はDDoS攻撃によるものかについて明言をしていないが、複数のセキュリティ専門家やセキュリティベンダは、観測されている情報などよりXへの攻撃がボットネットによるDDoS攻撃によるものであった可能性があると言及している。またインターネット接続性について監視を行っているNetblocksは今回のインシデントについて、国家レベルのインターネット障害や検閲は認められないと投稿した。
There was (still is) a massive cyberattack against 𝕏.
— Elon Musk (@elonmusk) 2025年3月10日
We get attacked every day, but this was done with a lot of resources. Either a large, coordinated group and/or a country is involved.
Tracing … https://t.co/aZSO1a92no - マスクCEOはFox Bussiness Newsに出演し、「何が起きたのかは正確にはわからないが、ウクライナ地域を発信源とするIPアドレスによりXのシステムをダウンさせようとする大規模な攻撃があった」とインタビューで述べている。*6 一方でウクライナ地域とCEOが主張した根拠はこれまでのところ示されていない。
- CEOの主張に関して懐疑的な見方をする専門家は、自身が観測した情報に基づけば、米国やメキシコ、スペイン、イタリア、ブラジルが主な発信元であって、他のボットネット同様に地理的に非常に分散していると分析した結果を明らかにしている。大手セキュリティ会社の研究者も、使用されたIPアドレスの上位20か国にウクライナは含まれていなかったと取材に答えている。攻撃への国家関与の可能性については、今回のXの障害発生時間は短く、今後さらに大きな問題が起こりでもしない限り「意味がないもの」として、否定的な見方をする意見がある。*7
- XはDDoS攻撃からの保護目的でCloudflareを導入したとみられており、HelpページなどではCloudflareのCAPTCHAが表示されることがあった。*8 一方で適切にCDN後方への配置ができておらずオリジンサーバーが標的にされた可能性を指摘する声もある。セキュリティ研究者のBeaumont氏は、XのサブネットにあるIPアドレスが直接攻撃を受けていたと言及している。*9
IoTボットネットが攻撃に使用された可能性
- XへのDDoS攻撃にはIoTボットネットマルウエアのMirai亜種が使用された可能性があると複数のセキュリティ関係者らが言及している。中国のサイバーセキュリティ企業 奇安信(Qi An Xin)の研究組織 Xlabは、攻撃時間とXのアクセス障害時間との一致が見られることなどから攻撃にはMirai亜種「RapperBot」が使用されたと分析結果を報告している。またXlabは2025年の中国春節の際にDeepSeekへの攻撃に使用されたボットネットと同じグループであるとの見解を示している。*10
- Xlabの調査によれば、RapperBot ボットネットは有料の攻撃サービスを提供しており、攻撃対象は世界中。平均して毎日数百の標的への攻撃が行われており、ピーク時は数千のコマンドが実行されるほどで1年を通じて活動を行っている。今回の攻撃との関連は不明だが、過去には日本国内のNVR、DVR機器などにおいてもこのIoTマルウエアへの感染例が報告されていた。*11
ハクティビストによる真偽不明な攻撃声明
- Xのアクセス障害に対し、自身が関与をしたと主張する投稿をTelegramに行った親パレスチナとされるハクティビストグループが確認されている。*12このグループはWebサイトの稼働チェックを行うサービスであるCheck-hostで確認を行った結果を合わせて投稿を行っていたが、実際に関与をしていたかについての真偽はこの投稿だけでは不明。また別のグループも今回の攻撃に関与したと主張を自身のWebサイト上に掲示していることが報告されている。これらの主張の真偽についての検証は困難であり、また直接関与がなくとも自分らの功績と偽ることも珍しくない(別目的での便乗疑惑)とする指摘もある。*13
- 親パレスチナのハクティビストグループについては、Xへの攻撃主張の投稿とともにTelegram上でさらなる攻撃のための資金調達を行うとして暗号資産トークンの宣伝をチャット上で行い送金を受けていたとみられる。(受け取った金が実際に攻撃に使用されているかなどは不明。)また攻撃元がウクライナ地域とするCEOの投稿については否定するコメントも行っている。このグループについては、セキュリティ研究者が行った調査によればエジプトの大学生とみられる情報が関係者として確認されたとの報告がある。*14
更新履歴
- 2025年3月14日 AM 新規作成
*1:Xで一時閲覧できないトラブル 障害か、「問題が発生しました」と表示,産経新聞,2025年3月10日
*2:Xが広域障害で利用不能に、サイバー攻撃か マスク氏「組織化されたグループか国が関与」,産経新聞,2025年3月11日
*3:Xで大規模障害、世界各地で影響 サイバー攻撃の可能性も,BBC,2025年3月11日
*4:Xの大規模障害 イーロン・マスク氏「大規模なサイバー攻撃を受けた」「IPアドレスはウクライナの地域を示していた」,TBS,2025年3月11日
*5:Live X outage: Twitter was down due to ‘massive cyberattack’,digitaltrends,2025年3月11日
*6:Elon Musk says X facing 'massive cyberattack' originating from the Ukraine area,FOX Business,2025年3月10日
*7:Elon Musk claims X being targeted in 'massive cyberattack' as service goes down,The Minnesota Star Tribune,2025年3月11日
*8:X hit by 'massive cyberattack' amid Dark Storm's DDoS claims,Bleeping Computer,2025年3月10日
*9:Unsecured X servers led to DDoS outage, say security researchers,cyberdaily.au,2025年3月12日
*10:马斯克X平台被打瘫三次!奇安信:与春节攻击DeepSeek的僵尸网络相同,快科技,2025年3月11日
*11:日本国内で暗躍しDoS攻撃を行うRapperBot,NICTER Blog,2024年6月6日
*12:Xにサイバー攻撃、テスラ販売店に「ナチ」…狙われるマスク氏の企業,朝日新聞,2025年3月11日
*13:Hackers Take Credit for X Cyberattack,Security Week,2025年3月11日
*14:“Script kiddie” hackers behind Dark Storm cyberattack on Musk's X, security researcher says,cybernews,2025年3月12日
