2026年4月30日午前9時33分(PDT、日本時間5月1日午前1時33分)、Ubuntuの中核インフラが大規模なDDoS攻撃を受けて長時間ダウンした。ubuntu.com・archive.ubuntu.com・security.ubuntu.comを含む主要ドメインが12時間以上にわたり503エラーを返し続け、世界中のapt updateが失敗、CI/CDパイプラインが止まり、新規CVEに対するセキュリティアップデートの取得が事実上不可能になった。攻撃の主体は313 Team(Islamic Cyber Resistance in Iraq)を名乗るハクティビスト集団で、Sessionアプリ経由で脅迫メッセージを送付し「交渉の窓口を開かなければ攻撃を続ける」と要求した。本記事ではこの事件の技術的経緯、影響範囲、運用者が取るべき暫定回避策、そしてOSSインフラを狙う脅迫型DDoSの構造的リスクを解析する。
この記事ではCanonical/Ubuntuに対するDDoS攻撃事件を解析します。OSSサプライチェーン全体のリスク像についてはサプライチェーンセキュリティ完全ガイド:OSSの依存関係をどう守るかをご覧ください。
この記事のポイント
- 2026年4月30日にCanonical/Ubuntuインフラが313 Teamを名乗るハクティビスト集団のDDoS攻撃で12時間以上停止
- 単なるダウンではなくsecurity API・CVEリポジトリを狙う「脅迫型」DDoS。Sessionで交渉要求が送られた
- 攻撃手法はBeamed.SU等のIPストレッサーを利用したL7/L3混在型と推定。
aptは国内ミラー切替で当面は回避可能
事実関係の注意:本記事は攻撃者側の声明・複数のセキュリティメディア・Ubuntu Discourseの投稿・Canonical公式ステータスページに基づく。Canonical自身は本記事執筆時点で詳細な公式声明を出しておらず、攻撃手法・脅迫内容の一部は攻撃者の自己申告である点に留意してほしい。
攻撃の発生経緯:12時間以上続いた長期停止
公式ステータスページと複数の独立した観測源を時系列で整理すると、攻撃は単発の波ではなく断続的に継続したことがわかる。
(JST 05/01 01:33)
ubuntu.comが503エラー"] --> B["09:35 PDT
archive.ubuntu.com / security.ubuntu.com
同時に応答停止"] B --> C["10:00 PDT前後
313 TeamがTelegram等で犯行声明
Beamed.SU使用と主張"] C --> D["12:17 PDT前後
断続的な復旧/再ダウン
(ステータスページが揺れる)"] D --> E["13:00 EST(=10:00 PDT)
VECERTによるultimatum検知
Session ID提示"] E --> F["18:00+ PDT
復旧途中で再攻撃
累計12時間超のサービス劣化"] F --> G["05/01 早朝
主要ドメイン部分復旧
ミラーは順次回復"]
ステータスページ上では多数のコンポーネントが同時に「Major Outage」となり、canonical.com・portal.canonical.com・maas.io・jaas.ai・assets.ubuntu.com・developer.ubuntu.com・blog.ubuntu.com・academy.canonical.comまで波及した。攻撃者は単一ドメインではなく、Canonical配下のCDN/オリジンを横断的に標的化していたと推定される。
313 Teamとは何者か:脅迫型ハクティビズムの新潮流
313 Teamは「Islamic Cyber Resistance in Iraq」を称する親イラン系ハクティビスト集団で、2023年12月以降に短時間DDoSを連続発射する手口で知られる。これまでの観測では以下の特徴が報告されている。
| 観測項目 | 内容 |
|---|---|
| 主な手口 | L3/L7混在のDDoS(ボリューメトリック+アプリ層) |
| 利用インフラ | Beamed.SU等のIPストレッサー(commercial booter)と推定 |
| 過去の標的 | TruthSocial(Trump系SNS)、Bluesky、各種西側企業ドメイン |
| 特徴 | Telegram/Sessionで犯行声明・脅迫を発信 |
| 動機 | 政治的アジェンダが中心、金銭目的は二次的 |
今回の事件で注目すべき点は、金銭ではなく「交渉の窓口を開け」と要求する“ultimatum型”の脅迫を行ったことだ。CanonicalがOSSの中核を支える企業であり、止められれば全世界の運用者が即時に困る非対称性を利用している。これはOpenClawなどのAIエージェントOSSを狙うリスク分析で議論されているような「OSSサプライチェーン圧力点」の典型例だ。
過剰評価への警鐘:脅威インテリジェンス企業hawk-eyeは「313 Teamの主張は誇張・捏造の傾向がある」と指摘している。彼らが2026年4月だけで主張した攻撃13件のうち、被害企業の公式確認はBlueskyの1件のみという観測もある。今回も「成功した」と即断するのではなく、Canonical側のオフィシャルなインシデント報告書(ポストモーテム)を待つ姿勢が必要だ。
何が止まったか:CVE取得経路の遮断という意味
今回の攻撃の真に深刻な側面は、止まった対象がセキュリティアップデートの配信経路そのものだった点にある。
| 影響を受けたサービス | 運用上の意味 |
|---|---|
ubuntu.com |
ドキュメント・公式情報の参照不可 |
archive.ubuntu.com |
apt update/パッケージ取得失敗 |
security.ubuntu.com |
セキュリティパッチ配信が停止 |
| Ubuntu Security API | CVE情報の自動チェック不可 |
| Snapcraft | snapパッケージ更新の遅延 |
canonical.com系 |
商用サポート・MAAS/JAASへの影響 |
たとえば本サイトでも先日扱ったLinux Kernel Container Escape脆弱性 CVE-2026-31431(Copy Fail)の解説のような重大CVEが連続している現状で、security.ubuntu.comが落ちる=CVE適用が遅れるという事実は、攻撃の「副次効果」ではなく明確な狙いとみるべきだ。攻撃者声明にもCVE経路への言及があり、ハクティビズムの目的が単なる嫌がらせから、OSSの脆弱性窓を意図的に広げる段階に進化していると評価できる。
運用者が今すぐ取れる暫定回避策
公式の復旧を待つ間にも、現場のサーバーは脆弱性を抱えたまま動き続ける。Ubuntu運用者が即座に取れる現実的な対策を3段階で整理する。
1. 国内ミラーへの切り替え
/etc/apt/sources.listのarchive.ubuntu.com・security.ubuntu.comを国内ミラーに差し替えることで、Canonical本体が落ちていても更新を継続できる。日本国内の主要ミラーは次のとおり。
| ミラー運営 | エンドポイント | 特徴 |
|---|---|---|
| JAIST | ftp.jaist.ac.jp/pub/Linux/ubuntu |
北陸先端、長年安定 |
| 理研 | ftp.riken.jp/Linux/ubuntu |
関東、HTTPS対応 |
| 山形大学 | ftp.yz.yamagata-u.ac.jp/pub/linux/ubuntu |
大学系では最古参 |
| KDDI研究所 | ftp.kddilabs.jp/Linux/packages/ubuntu |
商用回線で帯域広い |
| Cloudflare Mirror | mirror.ubuntu.cloudflare.com/ubuntu/ |
グローバルCDN |
# JAIST(北陸先端科学技術大学院大学)
sudo sed -i.bak \
-e 's|http://archive.ubuntu.com/ubuntu|http://ftp.jaist.ac.jp/pub/Linux/ubuntu|g' \
-e 's|http://security.ubuntu.com/ubuntu|http://ftp.jaist.ac.jp/pub/Linux/ubuntu|g' \
/etc/apt/sources.list
# あるいは理研(RIKEN)
sudo sed -i.bak \
-e 's|http://archive.ubuntu.com/ubuntu|http://ftp.riken.jp/Linux/ubuntu|g' \
/etc/apt/sources.list
sudo apt update
ただしsecurity mirrorはCanonical本体の信頼チェーンに依存しているため、本体が完全停止していると更新タイムスタンプが古くなる場合がある。あくまで「攻撃が部分的で本体側の同期が動いている」前提での回避策だ。
2. apt実行時のリトライ/タイムアウト調整
DDoSが間欠的な場合、apt側の再試行回数を増やすだけで体感の改善ができる。/etc/apt/apt.conf.d/99-retryに以下を追加する。
# /etc/apt/apt.conf.d/99-retry
Acquire::Retries "5";
Acquire::http::Timeout "60";
Acquire::https::Timeout "60";
Acquire::ForceIPv4 "true";
ForceIPv4はDDoS時にIPv6側のルーティングが不安定になる現象を回避する保険として有効だ。
3. ローカル/オフラインキャッシュの活用
中規模以上の組織ではapt-cacher-ngやAptlyを社内に立て、ミラーから取得したパッケージをローカルキャッシュ化しておくと、上流ダウンの影響を最小化できる。CIランナーや本番サーバー群が同じパッケージを並列取得する場合、平常時のトラフィック削減にもなる。
# apt-cacher-ng クイックスタート
docker run -d --name apt-cacher-ng \
-p 3142:3142 \
-v $(pwd)/apt-cacher-ng-cache:/var/cache/apt-cacher-ng \
--restart unless-stopped \
sameersbn/apt-cacher-ng:latest
# クライアント側
echo 'Acquire::HTTP::Proxy "http://apt-cache.local:3142";' \
| sudo tee /etc/apt/apt.conf.d/01proxy
Tip:Snapパッケージはsnapの自動更新が裏で走る仕組みのため、ストア側がDDoSを受けると自動更新が遅延する。クリティカルなSnap(特にsnapd自身、core、firefoxなど)はバージョン固定運用も検討する価値がある。
攻撃手法の技術的解析:L3/L7ハイブリッドDDoS
公開情報と過去の313 Teamの行動パターンから推測される今回の攻撃の技術的構造を整理する。あくまで状況証拠ベースの推定だが、再発時の検知・対処のヒントになる。
推定される攻撃ベクトル
| 層 | 想定手法 | 影響 |
|---|---|---|
| L3/L4 | UDP reflection(DNS/NTP/memcached) | オリジン回線の帯域飽和 |
| L4 | SYN Flood/ACK Flood | フロントエンドLBの接続テーブル枯渇 |
| L7 | HTTPSのGET/POST flood、TLS handshake消費 | アプリケーションサーバーのCPU飽和 |
| L7 | Slowloris/slow read | ワーカー枯渇 |
security.ubuntu.comのように静的ファイル中心のオリジンに対しては、ボリューメトリック攻撃でCDN/オリジン間回線を埋めるのが効きやすい。一方で動的処理を含むcanonical.com系は、L7のTLSハンドシェイク消費がCPU側のボトルネックになる。今回複数のドメインが同時に長時間落ちたのは、両方を組み合わせた「ハイブリッドDDoS」と見るのが妥当だろう。
商用booterの経済性
313 Teamが利用したと主張するBeamed.SUのようなcommercial booter(IPストレッサー)は、月額数十ドル〜数百ドルでGbps級のDDoSを発射可能だ。ハクティビストにとって費用対効果が極めて高く、「金銭目的の犯罪者」と「政治的動機の集団」の境界が曖昧になりつつある。
booter利用料の概算:
- 月額$30: 〜10Gbps、数分単位
- 月額$200: 〜100Gbps、長時間
- 月額$500+: 数百Gbps、複数キャンペーン同時
数十万円の月額コストで世界規模のOSSインフラに圧力をかけられる構造そのものが、今回の事件の根本にある。
OSSインフラを標的にしたDDoS/脅迫はこれが初めてではない。文脈を整理すると今回の攻撃の位置づけが見える。
| 年 | 事件 | 概要 |
|---|---|---|
| 2014 | sourceforge改ざん | OSSバイナリにマルウェア混入 |
| 2018 | event-stream npm乗っ取り | 依存性経由で暗号通貨ウォレット攻撃 |
| 2021 | log4shell(CVE-2021-44228) | 脆弱性悪用、配布経路は無事 |
| 2024 | XZ Utils backdoor | 信頼ある開発者を装った長期工作 |
| 2026 | 313 TeamによるCanonical DDoS | 配布経路を直接停止する圧力型攻撃 |
過去の主流は「悪意あるコードを混入させる」「特定脆弱性を悪用する」攻撃だったが、今回はインフラそのものを止めて影響力を交渉カードにする点で性質が異なる。npmやPyPI、cargo、Docker Hubなど他のOSSパッケージレジストリも同様の標的になり得る。コミュニティ運営の依存関係解析についてはRenovate・Dependabot防御|サプライチェーン攻撃の最新対策も併せて読むと、配布経路と依存性管理の両面でリスクの輪郭がつかめる。
構造的リスク3点
- OSS中核インフラの寡占:DebianやUbuntuのarchiveが落ちるだけで、世界中のサーバーが同時に困る。攻撃インセンティブが大きい
- ハクティビストの商業化:commercial booterサービス(IPストレッサー)の発達で、技術力が低くても大規模DDoSが打てる
- 公式コミュニケーション不足:Canonicalほどの組織でも初動の声明が遅い。混乱拡大と二次被害(フィッシング偽サイト誘導等)を招く
BCP(事業継続計画)として考えるOSS依存リスク
今回の事件を一過性のニュースとして消費するのではなく、自社の事業継続計画(BCP)に「OSS配布インフラの停止」を正式に組み込む契機とすべきだ。具体的なシナリオベースの想定と対応を表にまとめる。
| シナリオ | 発生確率 | 影響度 | 推奨対策 |
|---|---|---|---|
| Ubuntu archive停止(24h以内) | 中 | 中 | 国内ミラーfallback/apt-cacher-ng |
| Ubuntu archive停止(72h以上) | 低 | 高 | オフラインミラー構築/代替OSへの一時切替 |
| Snap Store停止 | 中 | 低 | 重要Snapはdebに置換 |
| Docker Hub停止 | 中 | 高 | プライベートレジストリ常設 |
| npm/PyPI停止 | 中 | 高 | バージョンロック+プライベートレジストリ |
「想定外の停止」を「想定内の運用」に組み替える発想転換が、SRE組織にとっての真の学びになる。
監視テンプレート例(Prometheus/Blackbox Exporter)
外部依存サービスの可用性を継続的に監視するためのblackbox-exporter設定例を示す。これがあれば、次回似たような事象が発生したとき早期に気づける。
# prometheus.yml の抜粋
scrape_configs:
- job_name: 'oss-supply-chain-health'
metrics_path: /probe
params:
module: [http_2xx]
static_configs:
- targets:
- https://archive.ubuntu.com/ubuntu/dists/noble/Release
- https://security.ubuntu.com/ubuntu/dists/noble-security/Release
- https://registry-1.docker.io/v2/
- https://registry.npmjs.org/
- https://pypi.org/simple/
relabel_configs:
- source_labels: [__address__]
target_label: __param_target
- source_labels: [__param_target]
target_label: instance
- target_label: __address__
replacement: blackbox-exporter:9115
応答時間とHTTPステータスをアラート化し、5分以上継続失敗で通知すれば、ニュースで知る前に運用側で気づける。
まとめ:「アップデートを止められた日」を運用設計に組み込む
今回の事件が突きつけたのは、「OSSインフラは無条件で動いているもの」という前提を捨てるべき時代に入ったという事実だ。apt updateが世界規模で失敗するシナリオは、これまで想定外だった運用者も多いはずだ。
具体的には次のチェックを各組織で実施したい。
sources.listに複数のミラーURLを冗長化しているかapt-cacher-ng等のローカルキャッシュを構築済みか- CVE通知をCanonical Security APIだけでなく、CVE.org・OSV・GitHub Advisory Databaseなど複数経路で監視しているか
- CI/CDで
apt失敗時の自動リトライ/代替ミラー切替が機能するか - サプライチェーンインシデントを想定したランブック(手順書)が整備されているか
OSSは「タダで動くもの」ではなく、コミュニティとインフラ運営者の善意とコストで成り立っている。今回のような攻撃は、その脆さを露呈させる一方で、運用者側にも「依存関係の冗長化」という当事者意識を要求している。
FAQ
Q. 攻撃の規模(Gbps、PPS等)は確認できますか?
A. 本記事執筆時点ではCanonical公式の発表がなく、Cloudflareなど第三者ベンダーからの数値も公開されていません。攻撃側はBeamed.SUを使用したと主張していますが、これも自己申告です。
Q. 自社サーバーは攻撃の踏み台にされていないか心配です。
A. 一般的なDDoSはbotnet経由で行われるため、自社のLinuxサーバーがマルウェアに感染して踏み台化されている可能性はゼロではありません。/var/log/auth.log、netstatでの不審な外向き接続、CPU使用率の急上昇を確認してください。
Q. Snap更新が止まるとどんなリスクがありますか?
A. Snapは自動更新の停止はリスクですが、即時の脆弱性悪用に直結することは多くありません。優先度はカーネルパッケージ・OpenSSL・systemdなどコアコンポーネントが上です。
Q. ミラーを切り替えるとセキュリティ的に問題ありませんか?
A. JAISTや理研などの公的・教育機関ミラーは長年運用実績があり信頼できます。ただしaptはパッケージ署名を検証するため、ミラー経路が変わってもCanonical署名のないパッケージはインストールされません。
Q. 同様の攻撃がDebianやFedoraに来たらどうしますか?
A. 各ディストリの国内ミラー切替・ローカルキャッシュ構築は同様に有効です。長期的には複数OS/パッケージマネージャを束ねるアーティファクトキャッシュ(Sonatype Nexus、JFrog Artifactoryなど)の導入が有効な対策となります。
Q. AIエージェントによる自動運用環境はどう備えるべきですか?
A. AIエージェントがaptを自動実行する場合、上流障害時に無限リトライループに入らないようタイムアウトとサーキットブレーカーを必ず実装してください。エラー時はSlack等に通知して人間の判断を待つフローが安全です。
Q. 攻撃者と交渉してはいけない理由は?
A. 政治的アジェンダのハクティビストとの交渉は、「次の標的」へのインセンティブを与えてしまいます。法執行機関と連携し、技術的・法的対応に集中するのが推奨されます。Canonicalもこの方針を取っているとみられます。
参照ソース
- Canonical and Ubuntu Status - 公式ステータスページ
- April 30 ubuntu.com outage (Ubuntu Community Hub) - Ubuntu公式コミュニティでの議論スレッド
- Massive Attack Against Ubuntu Infrastructure: 313 Team Issues Extortion Ultimatum (The CyberSec Guru) - 攻撃の詳細と脅迫メッセージの分析
- VECERT Analyzer (X) - リアルタイム観測と脅威インテリジェンス
- Ubuntu Update Backlog: How a Brief Canonical Outage Cascaded into Multi-Day Delays (Linux Journal) - 影響波及の分析
- Welcome to the New Cyber Battleground (Fortinet CISO Collective) - ハクティビズム動向の俯瞰
