https://error-daizenn.hatenablog.com/entry/2025/11/15/125919

2025年11月13日未明、世界中のX（旧Twitter）ユーザーが突然アカウントにアクセスできなくなる大規模な障害が発生しました。エラー内容は「You must re-enroll your YubiKey（あなたのYubiKeyを再登録する必要があります）」というもの。しかも、YubiKeyを持っていないユーザーまで同じメッセージでログイン不能に陥ったのです。

この障害はXのセキュリティシステム変更と「Twitter.com」ドメインの廃止に関係しており、2段階認証（2FA）の再登録を促す新仕様が想定外の混乱を引き起こしました。Windows Central、TechRadar、Redditなどの報告によると、影響は全世界的に及び、企業アカウントや広告主までもが一時的に凍結状態になった模様です。

発生の経緯とエラーの内容

現地時間11月13日午前1時30分ごろから、X.comにアクセスしたユーザーの多くが同じエラーメッセージに遭遇しました。
エラー表示： “You must re-enroll your YubiKey. It’ll just take a few minutes to re-enroll.”（YubiKeyを再登録してください。数分で完了します）

しかし、実際に再登録を試みても「認証ループ」に陥り、ログイン画面に戻されるだけ。しかも、YubiKeyを持っていないユーザーにまで同じメッセージが出るため、全員が完全にロックアウトされた状態になりました。Xアプリ（iOS・Android版）でも同様の挙動が確認され、「生体認証でのログイン（Face IDやTouch ID）」も通らない状態が続きました。

原因は「Twitter.com」ドメインの終了

今回のトラブルの根本原因は、Xが「twitter.com」ドメインを正式に終了し、「x.com」に統合したタイミングにありました。
Xのセーフティチームは、11月10日までにすべてのユーザーが2FA（2段階認証）を新しいドメインに再登録するよう求めていました。これにより、「YubiKey」や「Passkey（パスキー）」などの認証情報が新しいドメインと再連携されるはずでした。
ところが、サーバー側の設定移行が不完全なまま切り替えが進行した結果、“YubiKeyを持たないユーザーも再登録対象に誤判定される”という致命的なバグが発生したのです。

Reddit上ではユーザー「AuronQuake」が詳細な体験を投稿しています。

“I used Touch ID on my MacBook and Face ID on my iPhone to log in before, but now it forces me to insert a YubiKey I don’t even own.”
（以前はMacBookのTouch IDやiPhoneのFace IDでログインしていたのに、今は持ってもいないYubiKeyを差せと要求される。）

この投稿は瞬く間に数万件の「upvote（高評価）」を集め、世界中の利用者が同じ状況に陥っていることが明らかになりました。

被害の規模とユーザーの反応

障害が発生してからわずか1時間のうちに、DownDetectorには数十万件を超える報告が集中。Xのフォーラムでは「アカウントが乗っ取られたのかと思った」「広告出稿キャンペーンが止まった」などの悲鳴があふれました。
中には、企業の公式アカウントやインフルエンサーがアクセスできず、プロモーション投稿が滞る事態も発生。ニュースメディア「Windows Central」自身の編集チームでも同様の現象が発生しており、同サイト編集長のダニエル・ルビーノ氏は「YubiKeyの再登録エラーが全サーバーに広がっている」と速報しました。

一部のユーザーはYubiKeyを再度購入して試したものの、状況は改善せず。
これは、X側のシステムが再登録リクエストを「旧ドメイン（twitter.com）」に向けて送信してしまう仕様上の問題だったため、物理キーを追加しても意味がなかったのです。

Xのエンジニアが“ロールバック”を実施

11月13日午後3時（米国東部時間）頃、Windows Centralが報告したところによると、**Xの開発チームが直前のセキュリティ更新をロールバック（巻き戻し）**し、段階的にログインが再開され始めたとのこと。
「私はようやく個人アカウントにログインできた。YubiKeyエラーも消えた。DownDetectorの報告数も減少傾向だ」とルビーノ氏は記しています。

この回復は全サーバーに即時反映されたわけではなく、時間差で各国に伝播しました。日本では13日夜から14日未明にかけて正常化が確認されています。
ただし、一部のユーザーはキャッシュや古い認証トークンの影響で依然としてログインできない状況が続いており、完全復旧には数日を要する見込みです。

セキュリティ強化の“副作用”

今回の問題は、Xがセキュリティを強化しようとした結果生じた“副作用”とも言えます。
イーロン・マスク氏の指示のもと、Xは近年、生体認証や物理キーによるパスワードレス認証（passwordless authentication）への移行を進めてきました。YubiKeyやGoogle Titanなどの物理デバイスを使うことで、乗っ取りやフィッシング攻撃を防ぐ狙いがあります。

しかし、ドメイン変更という大規模なインフラ更新と2FAシステムの改修が同時に行われたことで、認証データの整合性が崩壊。結果として、セキュリティどころか**“誰もログインできないSNS”**という皮肉な結果を招いたのです。

セキュリティ専門家の見解によると、ドメイン移行時に古い公開鍵と新しい証明書の整合性を誤って検証した可能性が高く、ユーザー端末側の生体認証データが「信頼されない認証」として弾かれたのではないかと分析されています。

公式発表と今後の見通し

Xの公式サポートアカウント（@Support）は11月14日午前、「一部ユーザーでログイン問題が発生しており、修正を適用中」とポストしました。
現時点で正式な謝罪声明は出ていませんが、社内ではセキュリティキー関連のコード変更を一時停止したことが確認されています。
一方で、今後もXは物理キー認証を推奨していく方針を変えていません。

MicrosoftやGoogleなど他社では、同様の「パスキー移行」に際して段階的な切り替えを採用しており、今回のXのような大規模障害は発生していません。
専門家は「ドメイン統合と認証再登録を同日に行うのは極めてリスクが高い」と警鐘を鳴らしています。

ユーザーが今できる対処法

障害の影響を受けた場合、次の手順で回復を試みることが推奨されています。

(1) ブラウザのキャッシュとCookieを削除する
(2) 端末を再起動してから、再度x.comにアクセスする
(3) 物理キーを登録している場合は、認証画面が出るまでUSBを抜かない
(4) YubiKeyを持っていない場合は「別の方法でログイン」を選び、SMSコード認証を試す
(5) それでも入れない場合は「サポートに連絡」ボタンから申請を行う

なお、アプリ版で同様のループが続く場合は、アプリをアンインストール→再インストールすることで改善するケースも確認されています。

世界的なSNSの脆さと、問われる信頼

今回の“YubiKey騒動”は、SNSがいかにインフラとして人々の生活に深く入り込んでいるかを改めて示しました。
ログインできないたった数時間で、情報発信・広告・顧客対応などがすべて止まる。
私たちはもはやSNSを「娯楽」ではなく「社会的機能」として使っており、その信頼性が揺らぐと世界が一瞬で静まり返るのです。

皮肉にも、このエラーの英語メッセージ「It’ll just take a few minutes（数分で終わります）」は、数百万ユーザーにとって“長い一夜”を意味しました。
ドメイン統合やセキュリティ強化という名の下で、Xはまた一つ、SNSとしての信頼を試される出来事に直面しています。

X（旧Twitter）の“YubiKey地獄”が象徴するデジタル認証の限界

今回の障害を単なるシステムバグとして片づけるのは簡単ですが、実はもっと根深い問題が横たわっています。それは、セキュリティ強化とユーザビリティ（使いやすさ）の両立がいまだに難しいという現実です。
YubiKeyのような物理デバイスによる二要素認証（2FA）は、理論上は最も安全な仕組みの一つとされています。しかし、いくら安全でも「使えない」瞬間があるなら、そのセキュリティは社会的に破綻します。

実際、Redditではこんな投稿も見られました。

“Security is great, but what’s the point if I can’t even get in to secure my account?”
（セキュリティがどれほど優れていても、ログインできなければ意味がない。）

この一文は、まさに現代のデジタル社会のジレンマを突いています。
安全性を高めるほど、利便性が下がる。利便性を追求すると、リスクが高まる。
Xがこのトラブルで突きつけられたのは、まさにその“両立不能の壁”でした。

“Twitter”という名前の消失が引き起こした混乱

もうひとつ忘れてはならないのが、ドメイン移行のタイミングです。
Xが旧ドメイン「twitter.com」を完全に廃止する方針を発表したのは2025年11月10日。つまり、障害が発生した13日はその直後でした。
一見すると単なるURL変更のように思えますが、SNSのドメイン移行は、銀行のシステム移行並みにリスクが高いのです。

理由は単純。インターネット上のあらゆる認証トークン、API、クッキー、リダイレクト設定などが、旧ドメインと密接に結びついているからです。
たとえば、ユーザーがTwitter時代に登録した2FA情報は「twitter.com」ドメインに紐づけられています。これをX.com側に自動的に移行するには、サーバー側とブラウザ側の双方で「信頼関係（トラストチェーン）」を再構築する必要があります。
それを一斉に切り替えた結果、システムが古い証明書を“無効”と判断し、ログインが弾かれるという悪循環が起きたわけです。

つまり今回の騒動は、“Twitter”というブランドの消失が技術的にも引き金になった。
言い換えれば、名前を変えるだけでも、巨大なプラットフォームにとっては命がけの手術なのです。

「YubiKeyを買えば解決」とは限らない理由

障害発生直後、多くのユーザーがYubiKeyをAmazonで注文しました。
「物理キーが必要なら買えばいい」と考えたわけですが、これもまた誤解でした。
実際にはYubiKeyがあってもログインできないケースが大半だったのです。
これは、YubiKeyを再登録しようとしたときに、X側のサーバーが旧ドメイン宛てにリクエストを送信してしまい、新しい認証情報を受け取れなかったため。ユーザーの行動ではなく、サーバー設定そのものが障害の根源でした。

Xのサポートチームはその後、「新規購入したYubiKeyの登録は不要」と発表しています。
しかし、すでに世界中で“YubiKeyパニック買い”が起き、販売店によっては一時的に在庫切れになるほどの騒動に。
この様子を見たネットユーザーからは「XがYubiKeyの販売促進キャンペーンをやっているのか？」という皮肉すら飛び出しました。

“再登録ループ”に閉じ込められた人々

もっとも厄介だったのは、エラーによって“再登録ループ”に陥る現象です。
認証画面に「数分で完了します」と表示されながら、何度やっても再登録が完了せず、再び最初のページに戻される。
これは単なるUIの不具合ではなく、サーバーが認証トークンを「すでに登録済み」と誤検出していたためでした。つまり、登録は完了しているのに、サーバーが「完了を認めていない」状態。まさにシステム同士の食い違いです。

あるユーザーはXに直接問い合わせをしましたが、返ってきた自動応答は「ログイン後にサポートフォームをご利用ください」というもの。
ログインできない人がログイン後のフォームを使えるはずもなく、サポート体制への不満も爆発しました。
テクノロジーがいくら進歩しても、最後は人間のサポートが頼みの綱になる。
この事件は、そんな皮肉な現実も浮き彫りにしました。

広がる経済的・社会的影響

SNSの障害は、単に“使えなくなる”というだけで終わりません。
今回のように数百万人規模でログイン不能が続くと、情報発信の停止・広告キャンペーンの遅延・顧客対応の途絶など、経済的損失が一気に拡大します。
特にインフルエンサーやメディア運営者にとって、Xは生活の基盤そのもの。広告ツイート（ポスト）が投稿できないだけで収入が減る人も少なくありません。

マーケティング企業「Social Data Labs」は今回の障害による広告損失額を**推定で1日あたり約3,800万ドル（約57億円）**と試算しています。
また、セキュリティ認証の問題で企業アカウントがロックされると、ユーザーサポートや顧客とのやりとりも止まり、信用失墜にもつながります。
もはや、SNSの障害は社会インフラの停止と同義です。

Xの信頼回復に必要な“人間的対応”

Xのシステムは日々進化し、AIによるスパム検知やリアルタイム翻訳など、便利な機能が増えています。
しかし、その裏で「人間の感情」への配慮が置き去りになっているのではないでしょうか。
ユーザーが最も求めていたのは、技術的な説明ではなく“安心できる言葉”です。

障害発生直後、X公式からは「調査中」の短いポストが出ただけで、具体的な経過説明はありませんでした。
多くのユーザーは「自分だけがロックアウトされたのか」と不安になり、サポートに殺到。
しかし、対応は自動返信だけで、人間の声がまったく聞こえない――その冷たさが混乱を拡大させました。

これは単なるSNSの障害ではなく、**「デジタル時代における信頼の喪失」**を象徴しています。
ログインできないという事実よりも、「誰も助けてくれない」という感覚の方が、ずっと恐ろしいのです。

SNSとアイデンティティの関係

ここまでの流れを見ていくと、私たちはSNSアカウントを「自分の一部」として扱っていることが分かります。
アカウントに入れない＝自分の存在を証明できない。
それは、まるでデジタル社会で“戸籍を失う”ような感覚に近いものがあります。
そしてその“戸籍”が、一枚の物理キーや一行のコードで奪われてしまう。
便利である一方で、あまりに脆い現実が露呈しました。

セキュリティとは、本来「信頼を築く仕組み」であるはずが、いつの間にか「信頼を失わせる要因」にもなっている。
今回のYubiKey再登録エラーは、そんな逆説を私たちに突きつけた出来事でした。

今後の展望とユーザーへの教訓

Xはこの混乱を教訓に、今後段階的に認証システムの改修を進めるとみられています。
また、AIによるトラブル検知やユーザー通知の改善にも取り組む方針を示唆しています。
ただし、完全な復旧と再発防止には時間がかかるでしょう。

ユーザー側としては、以下の点を改めて意識することが大切です。

(1) どんなSNSも永遠ではない。バックアップと連携先を複数持つこと。
(2) セキュリティキーの登録情報を定期的に確認する。
(3) 生体認証やパスキーを設定する場合、代替手段（SMSやメール認証）も必ず確保しておく。
(4) トラブル発生時は焦らず、他ユーザーの報告状況を確認する。

これらは地味な対策に見えますが、“デジタルの命綱”を守る唯一の方法でもあります。

まとめ：安全よりも「信頼」が大切な時代へ

YubiKey再登録エラーという一見小さな事件は、実は私たち全員にとっての大きな警告でした。
テクノロジーがどれほど進化しても、そこに“人間の理解”がなければ安心は生まれません。
SNSの未来は、AIでも暗号でもなく、「ユーザーとの信頼」で決まるのです。

そして皮肉にも、ログインできないその瞬間こそが、私たちがテクノロジーにどれほど依存しているかを思い知らされる瞬間でした。

あなたは今回の障害でログインできましたか？
もし同じようなトラブルに遭遇したら、どんな対応をしますか？
ぜひコメント欄で意見を共有してください。
あなたの声が、次のアップデートをより良いものに変えるかもしれません。