UbuntuサーバーDDoS続報、Canonicalが認め攻撃者は恐喝へ
ubuntu.comはなお503を返し続けている。攻撃開始から半日以上が経った日本時間5月1日午後、事態は「ハクティビストの主張」段階から、CanonicalがDDoSを認め313 Teamが恐喝へ転じる新段階に入った。
ubuntu.comはなお停止、復旧は部分的
Canonicalの公式ステータスページによれば、ubuntu.comは日本時間5月1日午前2時12分(4月30日 17:12 UTC)から「Major Outage」状態に入り、本記事執筆時点でこのステータスから動いていない。実際にubuntu.comにアクセスすると相変わらず503エラーが返ってくる。第三者のサイト稼働監視サービスisitdownrightnow.comも、現時点でubuntu.comを「Server is down」と報告している。
一方で、すべてが落ちたままなわけではない。ステータスページのRSSフィードを丁寧に追うと、いくつかのコンポーネントは日本時間5月1日午後の早い時間帯に「Operational」へ復帰したことが記録されている。lists.ubuntu.comが14時37分、keyserver.ubuntu.com:11371が14時13分、images.maas.ioが14時38分。discourse.ubuntu.comは攻撃前から継続稼働しており、影響を受けなかったとみられる。
ところが、この部分復旧と入れ替わるようにして、新たな停止が広がった。日本時間5月1日10時30分にlaunchpad.netが、11時06分にlogin.ubuntu.comが、13時29分にppa.launchpad.netまでが「Major Outage」入りした。Launchpadはサードパーティのソフトウェアパッケージを配布する重要な経路で、Linux開発者コミュニティが日常的に依存しているコンポーネントだ。
部分的に守ってもまた別が落ちる。攻撃は単発で終わっていない。波状的に標的を変えている可能性が高い。
| 時刻 (JST) | コンポーネント | 状態の変化 |
|---|---|---|
| 5月1日 02:12 |
ubuntu.com | 停止入り |
| 5月1日 08:49 |
portal.canonical.com | 停止入り |
| 5月1日 08:50 |
maas.io | 停止入り |
| 5月1日 10:30 |
launchpad.net | 停止入り |
| 5月1日 11:06 |
login.ubuntu.com | 停止入り |
| 5月1日 13:29 |
ppa.launchpad.net | 停止入り |
| 5月1日 14:13 |
keyserver.ubuntu.com :11371 |
復旧 |
| 5月1日 14:37 |
lists.ubuntu.com | 復旧 |
| 5月1日 14:38 |
images.maas.io | 復旧 |
Canonicalが「DDoS」と公式に認めた
前夜の段階でCanonicalは、原因について「sustained, cross-border attack」(持続的で国境を越えた攻撃)という曖昧な表現にとどめていた。Ubuntu Community Hubと公式Xアカウントの双方で、このフレーズだけが流れた。
しかしこの数時間で態度が変わった。英国の技術メディアThe Registerの取材に対し、Canonicalの広報担当者は明確に「DDoS攻撃」と認める発言を寄せた。
Canonicalのウェブインフラが、持続的で国境を越えた分散型サービス拒否(DDoS)攻撃を受けていることを確認できる。我々のチームは影響を受けたすべてのサービスの完全な復旧に向けて作業中だ。
Canonicalがこれまでの障害対応で頑なに守ってきた「ステータスページ以上の説明はしない」スタイル。それを破り、外部メディアへの直接コメントで攻撃形態を明示する形になった。事態が重く、長引いていることをCanonical自身も認識しているサインとも読める。
攻撃の性格を「DDoS」と名指しすることは、Canonicalにとって踏み込んだ判断だ。被害を矮小化したい誘惑のなかで、原因の輪郭を外向きに語った意味は小さくない。
ただし重要な区別として、Canonicalは依然として攻撃者についての言及を避けている。313 Teamを名指しもせず、彼らの主張を肯定も否定もしていない。
313 Teamが恐喝に切り替えた
前夜の段階では、313 Teamの主張は「Beamed.SUを使って4時間継続する」という典型的なハクティビスト宣言にすぎなかった。攻撃時刻、ツール名、503スクリーンショット。お決まりのパッケージだ。
しかしThe Registerが報じた313 TeamのTelegramフォローアップメッセージは、性格がまったく違う。
単純な脱出方法がある。Session Contact IDをメールで送った。連絡してこなければ攻撃を続ける。あなた方はひどい状況にある、愚かな真似はしないことだ。
これはハクティビズムではない。恐喝だ。Sessionは末端から末端まで暗号化されたメッセンジャーで、身元の追跡を避けたい交渉に使われる。攻撃側が連絡経路を提供し、相手の対応次第で攻撃を継続するか止めるかを決めると通告した時点で、これは政治的アピールではなく金銭か何かの取引を要求する圧力に変わっている。
The Registerはこの動きを「ハクティビズムから本格的な恐喝への転換」と位置付けている。このメッセージは、313 Teamが過去のeBayやBlueskyへの攻撃ではほとんど見せなかった行動パターンだ。一線を越えてきた。
標的が変わったのか、グループが変わったのか
ここで踏みとどまって考えるべきことがある。
313 Teamは2023年12月以降、政治色の強いハクティビストとして活動してきた。サウジアラビア、クウェート、湾岸協力会議(GCC)諸国の政府機関や銀行、空港。標的は明確に親イラン地政学の延長線上にあった。Truth SocialやBluesky、eBayへの攻撃も、政治的可視性を狙ったものとして説明可能だった。
ところが今回のCanonicalへの恐喝メッセージは、その文脈に収まらない。
「西側インフラを停止させた」と宣言してTelegramで広めれば事足りるのが従来のパターン。Sessionでの個別交渉を持ちかける必要がない。
二つの解釈がありえる。ひとつは、313 Team自体が金銭目的のサイバー犯罪組織へと変質しつつあるという解釈。もうひとつは、313 Teamの名を借りた別の動機を持つアクターが混入しているという解釈。脅威インテリジェンス企業のHawkEyeは3月のアドバイザリで、313 Teamにイラン情報・治安省(MOIS)との連携が疑われると指摘していた。仮にそれが正しいなら、政治的攻撃と恐喝を組み合わせる戦術にも合理性が見えてくる。
現時点では情報がなさすぎる。だが恐喝メッセージが本物であれば、これは「派手だが浅い」DDoSハクティビズムの枠を超えた事態だ。
CopyFail脆弱性との不気味な同期
タイミングの問題はさらに重い。
障害が始まる前日の4月29日、Linuxの重大な脆弱性「Copy Fail」(CopyFail、CVE-2026-31431)が公開された。Ubuntuサーバー管理者は、本来なら今この瞬間にCanonicalのSecurity Notice APIから情報を取得し、パッチ適用を急ぐべき場面にいる。
ところがそのSecurity Notice APIが、まさに落ちている。
これが偶然なのか、攻撃側が同期を狙ったのかは確認できない。Reddit上では「攻撃者は今日を選んだのではないか」と疑う声と「ひどい偶然だ」とする声が混じっている。だが結果として、世界中のサーバー管理者が脆弱性の影響範囲を確認できない時間が長引いている。
APTパッケージのミラーは別系統で配信されているため、apt updateそのものは多くの環境で通る。だがUbuntu Security Notice APIはミラー化されておらず、CVE情報の自動取得が止まっている。
OMG! Ubuntuが指摘するように、Ubuntu OS自体は侵害されていないし、APTパッケージへの改ざんも示唆されていない。ISO配布もミラー経由で生きている。ユーザーデータの流出は起きない。だがセキュリティ自動化の視野が一時的に塞がれている影響は、地味だが広く効いている。
いま開発者が直面している現実
具体的に何が止まっているか。
Canonicalアカウントへのログインができない。Ubuntu Pro契約者向けポータルが繋がらない。Snap StoreとSnapcraftが応答しない。Launchpad経由のサードパーティPPAからaptがパッケージを引けない(5月1日午後から新たに発生)。Livepatch APIが落ちており、無停止カーネルパッチの取得が止まっている。CIパイプラインでubuntu:latestを使うコンテナビルドが、ベースイメージのapt updateで詰まる。
| 停止中のサービス | 具体的な影響 |
|---|---|
| ubuntu.com | 公式サイト・ダウンロード ページが閲覧不可 |
| login.ubuntu.com | Canonicalアカウントへの ログインができない |
| portal.canonical.com | Ubuntu Pro契約者向け ポータルが繋がらない |
| launchpad.net | Snap StoreとSnapcraftが 応答しない |
| ppa.launchpad.net | サードパーティPPAから aptがパッケージを引けない |
| Livepatch API | 無停止カーネルパッチの 取得が止まっている |
| Ubuntu Security Notice API |
CVE情報の自動取得が停止し、 脆弱性管理ツールが盲目化 |
| archive.ubuntu.com | 本体は停止だがミラー経由で apt updateは多くの環境で通る |
「無料で使えるOS」が世界の本番環境の配管そのものになっている事実が、こういう形で可視化される。
復旧したコンポーネントもあるが、それは「攻撃が止んだ」のではなく「Canonical側の防御が部分的に効いた」結果だ。攻撃継続中である以上、いつまた別のコンポーネントが標的になるか分からない。
続報を待つ間に分けておくべきこと
ふたつの軸を整理しておきたい。
ひとつは事実が一段確定したこと。前夜「Canonicalは原因を明示していない」と書ける段階だったが、いまはCanonical自身がDDoSと認めている。これは事態の格上げだ。
もうひとつは攻撃の性格が変わりつつあること。313 Teamが従来のハクティビストパフォーマンスを続けるなら、4時間の宣言通りに止まったはずだった。代わりに恐喝メッセージが来た。半日を超えて攻撃が止まらない理由は、おそらくここにある。
Canonicalが恐喝に応じる可能性は低いだろう。だがその選択は、復旧時間と引き換えに払うべきコストとして同社の前に置かれている。沈黙の長さがそれを物語っている。
オープンソースの「公の配管」は、いつから取引対象になったのだろうか。
参照元
- Canonical and Ubuntu Status
- Update concerning DDOS attack on Canonical and Ubuntu - Ubuntu Community Hub
他参照
- The Register - Pro-Iran crew turns DDoS into shakedown as Ubuntu.com stays down
- OMG! Ubuntu - Attack knocks Ubuntu websites, services and Snap store offline
関連記事
- Ubuntu主要サーバーが停止、親イラン集団が犯行を主張
- Ubuntu 26.04、完全Rust化先送り44件のCVE
- Copy Fail続報、パッチなき開示で世界が混乱
- UbuntuのAIキルスイッチ、正体はSnap削除
- UbuntuがAI機能を本格搭載へ、ローカル推論優先の設計哲学
- PackageKitに12年潜んだ脆弱性、AIが発見を支援
- Ubuntu 26.04 LTS公開、Linux 7.0搭載
- Linux 7.0リリース——Rust正式採用、AIが新常態へ
- トーバルズ、Linux 7.0来週リリースへ rc7で最終確認
- Ubuntu 26.04 LTSが最小RAM要件を6GBに引き上げ――価格高騰の真っ只中に
