分散型SNS「Mastodon」のフラッグシップサーバー「mastodon.social」が、大規模なDDoS(分散型サービス拒否)攻撃を受け、一時的にアクセス不能に陥ったと、Engadget・TechCrunchが2026年4月21日(現地時間)に報じた。

何が起きたのか

Engadgetの報道によると、Mastodonの広報責任者であるAndy Piper氏は今回の攻撃を「major(重大)」なインシデントと表現した。攻撃はUTC月曜日早朝から始まり、Mastodonが運営する主力サーバーの大部分がアクセス不能となった。数時間後、Mastodonはステータスページ上で対策措置(カウンターメジャー)の実施を発表し、mastodon.socialへのアクセスが回復したことを伝えた。ただしPiper氏は「回復中のため、引き続き不安定な状態が続く可能性がある」とも述べており、完全復旧には時間を要した模様だ。

攻撃者の特定には至っておらず、攻撃の目的や背後関係は依然として不明である。また、mastodon.social以外のインスタンスが標的になったかどうかも現時点では明らかになっていない。

なぜこの攻撃が注目されるのか

最大の注目点は、これがここ数日で分散型SNSを標的にした2件目のDDoS攻撃であることだ。先週はBlueskyが大規模なDDoS攻撃を受け、一部サービスが数時間にわたってオフラインになる事態が発生している。Blueskyはその後「サービスは安定を維持しており、個人ユーザーデータへの不正アクセスの証拠はない」と発表したが、同日中に再び「一部サービスでエラーとタイムアウトが増加している」という報告が上がり、調査中の状態となった。

Bluesky、Mastodonともに中央集権型のプラットフォーム(X、Threadsなど)に対抗する分散型アーキテクチャを採用しており、短期間にこれらが立て続けに標的となった事実は業界内で広く注目されている。

分散型SNSのセキュリティ——構造的な課題

MastodonはActivityPubプロトコルを採用した連合型(フェデレーション型)のSNSプラットフォームだ。mastodon.socialは同プラットフォームにおける最大のサーバーであり、非営利団体によって直接運営されている。フェデレーション構造上、複数のインスタンスが独立して動作するため、あるインスタンスが落ちても他は影響を受けない設計ではある。しかし、最も利用者が集中する「旗艦インスタンス」が標的になった場合、プラットフォーム全体のイメージへの影響は避けられない。

Blueskyが採用するATプロトコルも同様の分散設計を持つが、PDS(Personal Data Server)の多くがBluesky社のインフラに集中しているのが現状で、「分散型」と言いながら実質的に中央集権的な脆弱性を抱えているとの指摘も以前からある。

日本市場での注目点

Mastodon自体は日本でも根強い利用者層を持ち、mstdn.jpやfedibird.comなどの国内インスタンスが独立して運営されている。今回の攻撃はmastodon.socialに限定されており、国内インスタンスへの直接的な影響は報告されていないが、ActivityPubによる連合ネットワーク全体への信頼性に影響を与える可能性がある点は注視しておきたい。

特にXのポリシー変更に反発してMastodonやBlueskyに移行したユーザーにとって、今回の攻撃は「代替プラットフォームのインフラ信頼性」という観点で一つの試練となった。国内企業がフェデレーション型SNSを業務利用や情報発信に活用する場合、インスタンスの選定やセルフホスティングの検討も含めたリスク管理が必要になってくるだろう。

筆者の見解

分散型・非中央集権型のプラットフォームへの攻撃がこれほど短期間に相次ぐのは、偶然とは考えにくい。誰が何の目的で攻撃しているかの特定には至っていないが、「分散型プラットフォームが注目を集めるほど、攻撃対象としての価値も上がる」というのはセキュリティの世界では至極当然の話だ。

気になるのは、Mastodonのような非営利組織が大規模DDoS攻撃に対して十分なインフラ投資を継続できるかという点だ。技術的な分散設計は優れていても、運営リソースが限られていれば防御も限界がある。BlueskyとMastodonがそれぞれ異なるアーキテクチャでこの問題に取り組んでいるが、どちらも「本物の分散化」と「運用コスト」の間でトレードオフを迫られていることがよく分かる出来事だった。

「仕組みを作れる少数の人間とAIが回す」という方向性が今後のインターネットインフラの主流になるとしたら、分散型SNSの運営コストをどう賄うかという問いはより切実になる。今回の攻撃が、分散型プラットフォームの持続可能性を問い直すきっかけになることを期待したい。

出典: この記事は Mastodon was hit by a ‘major’ DDoS attack that briefly took down parts of the service の内容をもとに、筆者の見解を加えて独自に執筆したものです。