Engadgetが報じたところによると、分散型SNS「Bluesky」が2026年4月16日(米国東部時間午前1時42分頃)から大規模なDDoS攻撃を受け、サービスが断続的に停止する事態となった。コントリビューティングレポーターのKris Holt氏が現地時間16日から17日にかけて継続的に追い、最終更新は17日午後4時47分(UTC)に行われた。
何が起きたか——DDoS攻撃の経緯
Blueskyは当初、「リージョンの1つでインシデントを調査中」と発表(原文にはtypoがあったことをEngadgetも指摘している)。その後、東部時間午後7時47分の公式アップデートで「一日を通じて激化した高度なDDoS(分散型サービス拒否)攻撃を緩和しようとしてきた」と正式に認めた。
障害の影響を受けた機能は以下の通りだ。
- フィード(タイムライン表示)
- 通知
- スレッド表示
- 検索
Engadgetの取材チームも当日これらの障害を実際に経験したと報じている。また、ユーザーが障害状況を確認できるはずのステータスページ(status.bsky.app)自体も断続的にアクセス不能になるという皮肉な状況も発生した。
セキュリティ上の懸念——ハックの隠れ蓑になっていないか
DDoS攻撃はしばしばサーバへの不正侵入を隠すための「煙幕」として使われることで知られる。この点についてBlueskyは「プライベートユーザーデータへの不正アクセスの証拠は確認されていない」と明言し、4月17日の追加アップデートでも改めてこの立場を繰り返した。
DDoS攻撃は「現在も継続中」としながらも、米国太平洋時間4月16日午後9時頃以降はサービスが安定していると報告。次の詳細アップデートは現地時間金曜日(4月18日)中に行う予定とされていた。
なお、Blueskyは今月初旬にも別の短時間の障害を起こしており、今回が直近2度目のサービス停止となる。
海外レビューのポイント(Engadgetの取材より)
良い点
- 攻撃を受けてからの公式コミュニケーションは比較的迅速で、原因を隠さずDDoS攻撃と明示した
- プライベートデータへの不正アクセスがないと繰り返し明言し、ユーザーへの誠実な情報開示を維持した
気になる点
- 障害開始から「DDoS攻撃」と認める公式声明まで約18時間を要した
- 障害を確認するためのステータスページ自体が落ちるという設計上の課題が露呈した
- 今月だけで2度目の障害であり、インフラの冗長性に疑問が生じる
日本市場での注目点
Blueskyは国内でも、特にTwitter(現X)の代替SNSを探す技術者・研究者・ジャーナリストを中心に利用者が増加している。AT Protocolという分散型プロトコルを採用しているため、単一企業の判断でアカウントが消えるリスクが低いとして評価されてきた。
ただし今回の障害が示すのは、分散型プロトコルを採用していても、インフラが特定の事業者(Bluesky PBC)に集中している間はDDoS攻撃に対して脆弱という現実だ。Blueskyが目指す完全な分散化(Federation)が進めば耐障害性は向上するが、現時点では「Xより分散されているから安全」とは単純には言えない。
日本のエンジニアにとっては、Federationの進捗状況と自前サーバ(PDS: Personal Data Server)の運用実績を引き続き注視することが重要だ。
筆者の見解
BlueskyがDDoS攻撃を受けたこと自体は、ある意味「注目を集めている証拠」でもある。かつてXが大規模攻撃のターゲットになったのと同様に、利用者が増えるほどインフラは狙われやすくなる。
今回特筆すべきは、Bluesky側の情報開示のスタンスだ。攻撃を隠蔽せず、プライベートデータの安全性について繰り返し声明を出した姿勢は評価できる。一方で、ステータスページが落ちるという体験は「インフラ設計としてもったいない」と感じる部分だ。ステータスページはメインサービスと独立したインフラで運用するのが鉄則であり、成長フェーズにあるサービスなら早期に対処しておきたい課題だ。
AT Protocolが掲げる「誰もがサーバを運営できる分散型SNS」というビジョンは今も意義深い。しかし分散化の恩恵を得るには、実際に多くのユーザーが独自サーバやサードパーティAppViewに移行する必要がある。現状はプロトコルだけが分散していて、実体はBluesky PBCのサーバに集中している——この現実と向き合いながら、インフラの成熟を見守っていきたい。
出典: この記事は Bluesky blames DDoS attack for server outages の内容をもとに、筆者の見解を加えて独自に執筆したものです。