2026年2月20日(金)、インターネットインフラ企業Cloudflareに障害が発生し、同社のWebセキュリティおよびルーティングサービスに依存する数十のWebサイトやアプリがダウンした。
影響を受けたサービスにはUber Eats、Bet365、Amazon Web Services、Steam、Counter-Strike、Wikipedia、Microsoft 365、Uber、Sky Bet、Betfair、Sky Vegas、PlentyOfFish、WorkDay、Airtableが含まれる。ゲーム分野ではMinecraft、Overwatch 2、Call of Duty、Dead by Daylightにも障害が及んだ。障害は米国および英国を含む海外のユーザーに影響を与えた。
From: 
Cloudflare outage causes problems with UberEats, Bet365, AWS
【編集部解説】
今回の障害は、Cloudflareが提供するBYOIP(Bring Your Own IP)サービスにおける内部設定変更のバグが原因でした。Cloudflareが2026年2月21日に公開した公式インシデントレポートによると、障害は日本時間2月21日午前2時48分(UTC 17:48)に始まり、総継続時間は6時間7分に及んでいます。
技術的には、IPアドレスプレフィックスの削除を自動化するサブタスクにおいて、APIクエリのパラメータ「pending_delete」に値が設定されていなかったことが問題でした。これにより、削除対象のプレフィックスだけでなく、全BYOIPプレフィックスが削除対象として返され、システムが順次それらを撤回し始めたのです。
全6,500プレフィックスのうち、BYOIPプレフィックス4,306件の約25%にあたる1,100件が意図せず撤回されました。なお、サイバー攻撃や悪意ある活動が原因ではなかったことをCloudflareは明言しています。
注目すべきは、この障害が「Code Orange: Fail Small」と名付けられた同社の耐障害性改善イニシアチブの一環として行われた変更によって引き起こされた点です。2025年11月と12月に発生した大規模障害を受けて開始されたこの取り組みは、手動で行われていたリスクの高い操作を安全な自動化へ移行することを目指していました。皮肉にも、障害を防ぐための変更が新たな障害を招く結果となりました。
復旧が長時間を要した理由も技術的に興味深い点です。影響を受けたプレフィックスは「撤回のみ」「撤回+一部バインディング削除」「撤回+全バインディング削除」という異なる状態にあり、それぞれ異なる復旧手順を必要としました。一部の顧客はダッシュボードから自力で復旧できましたが、最も深刻なケースではCloudflareのエンジニアによるグローバル設定の再適用が必要でした。
W3Techsのリバースプロキシ利用統計によると、Cloudflareは全Webサイトの約20%で利用されています。この数字は、単一のインフラプロバイダーへの集中がもたらすリスクの大きさを端的に示しています。フレームワークのLaravel Cloudも今回の障害で約3時間15分のダウンタイムを経験し、IPアナウンスメント層の冗長性確保を最優先課題に据えたと報告しました。
今回の事例は、現代のインターネットが分散型ネットワークとして設計されながらも、経済合理性の追求によって少数のインフラ企業に依存する構造になっている現実を改めて浮き彫りにしています。Cloudflareの株価は障害発生日の時間外取引で約3.4%下落した後、その後の取引で大部分を回復しました。
Cloudflareは再発防止策として、APIスキーマの標準化、運用状態と設定状態の分離、大規模な撤回操作を検知して自動停止するサーキットブレーカーの導入を発表しています。これらの改善が実効性を持つかどうかが、今後の焦点となります。
【用語解説】
BYOIP(Bring Your Own IP)
企業が自社で保有するIPアドレスをCloudflareのネットワーク上で広告・利用できるサービスである。自社IPを維持したまま、Cloudflareのセキュリティやパフォーマンス機能を活用できる。
BGP(Border Gateway Protocol)
インターネット上の自律システム(AS)間でルーティング情報を交換するためのプロトコルである。インターネットの「郵便制度」に例えられ、データが最適な経路で宛先に届くよう制御する。
IPアドレスプレフィックス
IPアドレスの範囲を示す表記である。例えば「203.0.113.0/24」は256個のアドレスを含むブロックを意味する。BGPではこのプレフィックス単位でルーティング情報を広告・撤回する。
サーキットブレーカー
電気回路のブレーカーと同様に、異常な変更が検知された際にシステムを自動的に停止させる安全機構である。今回の障害を受け、Cloudflareが導入を発表した再発防止策の一つ。
Code Orange: Fail Small
2025年11月・12月の大規模障害を受けてCloudflareが宣言した全社的な耐障害性改善プログラムである。設定変更の段階的ロールアウト、緊急時のロールバック改善、障害モードの網羅的テストの3本柱で構成される。
【参考リンク】
Cloudflare公式サイト(外部)
CDN、DDoS防御、DNS等を提供するインターネットインフラ企業。120か国以上・330都市以上にネットワークを展開する。
Cloudflare BYOIP ドキュメント(外部)
BYOIPサービスの公式技術ドキュメント。プレフィックス設定、BGP広告管理、サービスバインディング構成方法を解説している。
Cloudflare System Status(外部)
Cloudflareの各サービスの稼働状況をリアルタイムで確認できる公式ステータスページ。障害時のインシデント報告も公開される。
DownDetector(外部)
Webサービスやアプリの障害報告をリアルタイムで集約・可視化するプラットフォーム。ユーザー報告数に基づき稼働状況を把握できる。
W3Techs(外部)
Webテクノロジーの利用状況を調査・公開するオーストリアの調査機関。CDN、CMS、サーバーソフトウェア等の市場シェアデータを提供。
Laravel Cloud(外部)
PHPフレームワークLaravelの公式クラウドホスティングサービス。今回の障害でBYOIP依存により約3時間15分のダウンタイムが発生した。
【参考記事】
Cloudflare outage on February 20, 2026(外部)
Cloudflare公式インシデントレポート。BYOIPのAPIバグにより1,100プレフィックスが撤回、6時間7分の障害の原因と復旧過程を詳述。
How a Single Misconfigured Rule Took Down 15% of Cloudflare’s Global Network(外部)
障害当日の株価約3.4%下落を報告。ピアレビュー必須化やサーキットブレーカー導入など再発防止策を分析している。
Cloudflare Down — 6 Hour of Massive Global Service Outage(外部)
BYOIPプレフィックスの25%が影響を受け、1.1.1.1でHTTP 403エラーが発生。内部設定変更が原因であることを確認した記事。
Laravel Cloud Incident Report: February 20, 2026(外部)
CloudflareのBYOIP障害による約3時間15分の接続障害を報告。自己復旧手順が利用不可だった経緯とIP層冗長化の方針を詳述。
Cloudflare Statistics (2026) — Users, Traffic, Outage History(外部)
Cloudflareの全インターネットトラフィック処理量20%超、4,100万以上のWebサイト保護、2024年売上16.7億ドル等の統計データを掲載。
【編集部後記】
皆さんが日常的に利用しているWebサービスの裏側で、どのようなインフラが動いているか意識する機会はあまりないかもしれません。今回のCloudflare障害は、たった一つのAPIクエリのバグが数千のサービスに波及するという、現代のインターネットの構造的な特性を改めて示した事例でした。
ご自身が関わるサービスやプロダクトが、どのインフラプロバイダーに依存しているのか、この機会に一度確認してみるのも面白いかもしれません。
