アカウントのセキュリティのために「すべて正しいこと」を行ったX(旧Twitter)の何百万人ものユーザーが、過去24時間ロックアウトされ、終わりのない2要素認証ループにはまり、混乱を招くメッセージに直面しています:
「YubiKeyを再登録する必要があります。」
この不具合は、イーロン・マスクによるtwitter.comの痕跡を消し去り、ログインを完全にx.comへ移行するという長期的な取り組みに直接関係しています。これは、すでに批評家から「テック業界で最も混乱したリブランディングの一つ」と見なされているブランドとドメインの移行です。 Creative Bloq
ここでは、何が起きたのか、今日(2025年11月13日)新しく分かったこと、そして現在Xアカウントが認証地獄に陥っている場合にできることを解説します。
何が起きたのか:Xのセキュリティキー切り替えが混乱
10月24日~27日、Xはハードウェアセキュリティキー(YubiKeyなど)やパスキーで2要素認証(2FA)を利用しているユーザーに対し、新しいx.comドメイン用に再登録2025年11月10日までに行わないと、ロックアウトされるリスクがあると静かに警告していました。 The Verge
当時、Xのセーフティチームは次の点を強調していました:
- この変更は「セキュリティインシデントとは無関係」
- 影響を受けるのはセキュリティキーとパスキーのみ
- そして、この変更はそれらのキーが暗号的にtwitter.comに紐付いており、Xがそれを廃止したいから必要だということです。 The Verge
BleepingComputerやThe Registerなどのセキュリティ系メディアは、twitter.comがなくなれば、そのドメインに紐付いたキーは単純に機能しなくなるため、x.comで再登録が必要だと説明しました。 BleepingComputer
それが計画でした。
現実は今週やってきました。
11月12日~13日:YubiKeyエラーと無限ログインループ
11月12日(米国時間)深夜から2025年11月13日未明にかけて、Xユーザーはウェブやモバイルでログインできなくなったと報告し始めました:
- パスワードを入力した後、「YubiKeyを再登録する必要があります」と表示され、x.comに紐付けるよう求められました。 Android Central
- 彼らが指示に従おうとしたとき、フローは単に…ループしてしまった。
- そもそもYubiKeyを持っていない人もいたが、それでも同じ「YubiKeyを再登録してください」という画面に強制的に進まされた。 Reddit
Android Central、Windows Central、TechCrunchはいずれも同じパターンを記録している:セキュリティキーやパスキーに紐づくアカウントでのグローバルなログイン問題であり、ユーザーが正しく指示に従っても認証の行き止まりや完全なロックアウトに陥ることが多かった。 Android Central
セキュリティ重視のメディアThe Tech Buzzは、これを率直に「失敗したセキュリティキー移行」と表現し、ドメインの管理作業が「認証地獄」へと変わったと述べている。これは、最もセキュリティ意識の高いユーザーにとっての出来事だった。 The Tech Buzz
本日のアップデート(2025年11月13日):部分的な復旧、残る混乱
本日発表された新たな報道やユーザー投稿によれば、障害の最悪期は和らいでいるようだが、まだ全員が復旧したわけではない。
報道機関:問題を確認、Xは依然ほぼ沈黙
- NewsBytesは、Xが「必須の二要素認証変更後に重大な問題に直面している」と報じ、ユーザーが「終わりのないループに陥るか、完全にロックアウトされている」と伝えている。また、Xがこの不具合について公にコメントしていないことも指摘している。 NewsBytes
- Storyboard18も同様に、「失敗したセキュリティアップデート」によりユーザーがロックアウトされたりログインループに閉じ込められたりしたと述べている。ここでも、Xが公式な説明を出していない一方で、イーロン・マスクは自身のアカウントから通常通り投稿を続けていることが強調されている。 Storyboard18
- Tech Buzzは今朝、認証失敗が続いていることと、Xから正式な声明が依然として出ていないことを反映するよう記事を更新した。 The Tech Buzz
TechCrunchは、Xが「コメント要請に応じなかった」と指摘しつつ、自身のログイン関連報道でも11月10日の期限以降、終わりのないループや広範なロックアウトが発生していることを詳述している。 TechCrunch
ユーザー報告:ロールバック進行中、ただし全員ではない
Windows Centralのライブブログは、内部情報筋の話として、11月12日にXのエンジニアが最近の変更をロールバックしていると報じ、午後には筆者が再びログインできるようになり、DownDetectorでの障害報告も減少傾向となった。 Windows Central
Redditのr/Yubikeyおよびr/Twitterコミュニティでは、ユーザーが次のように述べている: Reddit
- XのYubiKey/パスキーによるログインフローでのグローバルな問題。
- パスキーや認証アプリのみを使っていた人にも「YubiKeyを再登録してください」という混乱を招くプロンプトが表示される。
- 本日早朝には「再びログインできた」や「両方のアカウントで直った」といったコメントが相次ぐ一方で、まだロックアウトされたままの人もいる。
広く共有されたRedditのコメントのひとつには、認証済みのXエンジニアによる投稿が引用されており、「セキュリティキーのログイン問題はまもなく解決されるはず」と述べているが、修正は明らかに一様には展開されていない:一部のアカウントは再び使えるようになったが、他はまだループから抜け出せていない。 Reddit
11月13日時点のまとめ:
- 障害は改善しているが、完全には解消していない。
- Xからは詳細な公開ポストモーテムは依然として出ていない。
影響を受けているのは誰か — 受けていないのは誰か?
本日の報道やユーザー投稿を総合すると: Reddit
最も影響を受けているのは:
- これまでに一度でも設定したことがあるアカウント:
- ハードウェアセキュリティキー(YubiKeyなど)、または
- パスキー(Face ID、Touch ID、Windows Helloなどのプラットフォーム認証器)
- 特に、サービスがログインにtwitter.comを使用していた時代にキーを登録したユーザー。
ほとんど影響を受けていない(今のところ):
- アプリベースの認証器(TOTPアプリ)を使っているアカウント、
- SMSやメールコードで2FAを行っているアカウント、
- 2FAなしのアカウント(ただし、これはセキュリティ上強く非推奨)。
皮肉なことに、最も強力な保護策――ハードウェアトークンやパスキー――に投資していた人々が、この失敗した移行によって最も大きな被害を受けています。いくつかのユーザー報告によると、非キー利用者も、設定を正しく検出しないバグのあるログインフローによってこのエラーに巻き込まれたようです。 Android Central
なぜtwitter.com → x.comの切り替えでログインが壊れたのか
この障害を理解するには、セキュリティキーとパスキーの仕組みを理解する必要があります。
パスワードとは異なり、WebAuthn/FIDO2セキュリティキーやパスキーは特定のドメインに紐付けられています。最初にtwitter.com用にキーを登録したとき、それは暗号的にその正確なオリジンにロックされました。 The Verge
そのため、Xがついに旧ドメインを廃止し、ログインを完全にx.comへ移行したとき:
- twitter.comに登録されたキーは新しいドメインと一致しなくなりました。
- そのためXは、ユーザーに登録解除と再登録をx.comで求めました。
- 再登録フロー自体が壊れていたようで、次のような事象が発生しました:
- 「YubiKeyを再登録してください」画面への無限ループ、
- パスキーやアプリのみを使っていたアカウントでYubiKeyのログインプロンプトが表示される、
- 変更が必要な設定ページにたどり着けないユーザー。 The Tech Buzz
X Safetyは以前、これは単なるメンテナンスであり「セキュリティ上の懸念とは無関係」とユーザーに安心感を与えていましたが、実際の運用は基本的な信頼性の期待を明らかに裏切りました。セキュリティ移行は人々をより安全にするためのものであり、大量にログアウトさせるものではありません。 The Register
これはハッキングやデータ漏洩なのか?
現時点でそのような証拠はありません。このインシデントがハッキングや漏洩、外部からのサイバー攻撃であるという証拠はありません。
- X自身の10月の説明では、キーのリセットはドメイン移行であり、インシデント対応ではないとされています。 The Register
- 現在、NewsBytes、Storyboard18、TechBuzz、TechCrunch などの最新報道は、今回の障害が 計画されていたセキュリティキー移行の失敗 に関連していると伝えており、Xのシステムが侵害されたわけではないとしています。 TechCrunch
とはいえ、Xはまだ詳細な技術的説明を公表していないため、外部の観察者たちは挙動や内部から漏れたコメントをもとに原因を推測している段階です。
Xアカウントにロックアウトされた場合の対処法
現在YubiKey/パスキーのループで行き詰まっている場合、X自身の過去の案内やセキュリティ専門家の推奨から実践的な手順をまとめました。 Reddit
1. すでにログインしているデバイスから試す
まだアクティブなXセッションがある場合:
- スマートフォン、
- タブレット、または
- 別のブラウザプロファイル、
そのログイン済みセッションを使って:
- 設定 → セキュリティとアカウントアクセス → セキュリティ → 二要素認証 に進みます。
- 一時的に、無効化 してください。古いセキュリティキー/パスキーのうち twitter.com を参照しているものを。
- もしまだ用意していなければ、バックアップの2FA方法(認証アプリや別のハードウェアキー)を追加してください。
- YubiKey/パスキーの再登録は、x.com への移行問題が明確に解決したときのみ行ってください。
2. 他の2FAオプションを確認する
一部のユーザーは、以下の方法でまだログインできると報告しています: Android Central
- 以前に設定した 認証アプリ、
- SMSまたはメールのコード、
- バックアップ用ハードウェアキー。
これらのいずれかで認証できた場合は、すぐに設定画面に進み、以下を確認してください:
- 登録されているセキュリティキー、
- 自分のキーが現在 x.com に紐付いているか、
- そして、少なくとも1つは有効なバックアップ手段があるかどうか。
3. Xのアカウント回復フォームを使う
もしどのログイン方法も使えない場合や完全にロックアウトされた場合、公式の手段はXサポートの「アカウントへのアクセスを再取得する」フォームから連絡することだけです。Redditの複数のユーザーがこの方法に頼ったと述べています。 Reddit
このプロセスは時間がかかる場合があり、成功が保証されているわけではありませんが、2FAが使えない場合にXが提供する唯一の正規の回復手段です。
4. 2FAの完全無効化は極力避ける
X自身が締切前に警告していた内容によると、11月10日以降は以下が可能です: BleepingComputer
- キーまたはパスキーを再登録する、
- 別の2FA方法に切り替える、または
- 2FAを完全に無効化する(これはX自身が「強く非推奨」としています)。
どうしてもすぐに再ログインする必要があり、他に手段がない場合を除き、2FAを恒久的に無効化しないようにしましょう。そうすると、アカウントがフィッシング、パスワードの使い回し、SIMスワップ攻撃など、セキュリティキーが防ぐべき脅威にさらされます。
一時的にセキュリティを弱めてアクセスを回復した場合は、次のことを計画してください:
- すぐに認証アプリやバックアップキーを追加し、
- Xのログインシステムが安定したら、強力な2FAを再度有効化しましょう。
5. フィッシングメールや偽の「サポート」に注意
このような事態は詐欺師の格好の標的です。以下に注意してください:
- 「Xセキュリティ」から送られてきたと称する、キーの「修正」を求めるメール、
- アカウント復旧を有料で申し出るダイレクトメッセージ、
- x.comに見せかけた偽リンク(余計な文字や不審なサブドメインなど)。
何かをクリックする場合は、自分でx.comと入力し、公式インターフェースから操作してください。メッセージ内のリンクは信用しないようにしましょう。
Xの長く混乱したリブランディングにおける最後のつまずき
ブランディングの観点から見ると、この障害は象徴的に非常に厳しいものです。
- デザインサイトCreative Bloqは最近、マスクによるXのリブランディングを「この10年で最も混乱したリブランディングのひとつ」と評し、人々はいまだに本能的にこのプラットフォームを「X(旧Twitter)」と呼んでいると指摘した。それから2年以上経った今もだ。 Creative Bloq
- その記事は、Twitterの最後の技術的な名残のひとつであるtwitter.comのURLがついに廃止され、ログインが完全にx.comへリダイレクトされるようになったことを指摘している。
今や、twitter.comを葬り去るという行為そのものが、古いブランドを再び話題に引き戻している。ユーザーたちは「Twitterがまたやらかした」と不満を漏らしながら、Twitterの最後の痕跡を修正しようとしている。 Creative Bloq
批評家たちにとって、この出来事はマスクによる買収以来指摘されてきたパターンに合致している。つまり、縮小されたエンジニアリングチームと、明らかに限られた安全策のもとで、上からの強引な変更が高速で展開されているというものだ。今日、多くのメディアがこの障害を、440億ドルの買収以降続く一連の運用上の失敗の最新例として明確に位置付けている。 The Tech Buzz
これはパスキーやセキュリティキーが悪いということなのか?
短い答え:いいえ——ただし、それらをどう導入するかについての警告だ。
BleepingComputer、The Verge、The Registerの報道はいずれも、ハードウェアキーやパスキーが現在利用可能な最も安全な認証方法のひとつであることを強調している。これらは、登録された正確なドメインでしか反応しないため、フィッシングのリスクを劇的に減らす。 BleepingComputer
ここで問題だったのは基盤となる技術ではなかった。問題は以下の通り:
- 不十分な移行計画(厳しい期限で再登録を強制)、
- バグの多い再登録フローで信頼できる代替手段がなかったこと、
- 障害発生中のコミュニケーション不足により、ユーザーが公の場でセキュリティの失敗を自力で調査する羽目になった。 The Tech Buzz
これを見ている他のプラットフォームにとって、教訓は明らかだ:
ハードウェアに紐づく認証情報を持つ何百万人ものユーザーを新しいドメインに移行させるなら、万全のテスト、段階的な展開、堅牢なリカバリ手段が必要だ。
FAQ: Xセキュリティキー障害、2025年11月13日
Xのログイン障害の原因は何ですか?
セキュリティキーとパスキーをtwitter.comドメインからx.comドメインへ強制移行したことと、再登録フローの不具合が重なり、ユーザーがYubiKey/パスキーループに陥り、アカウント設定へのアクセスがブロックされたためです。 NewsBytes
最も影響を受けたのは誰ですか?
2FA用にハードウェアセキュリティキーまたはパスキーを設定していたユーザー、特にログインがtwitter.comで行われていた時期にキーを登録した人たちです。多くのユーザーが一時的、または現在も完全にロックアウトされています。 The Tech Buzz
この問題は現在(2025年11月13日)解決していますか?
Windows CentralやRedditの報告によると、Xが一部の変更をロールバックしたことで多くのユーザーが再びログインできるようになりましたが、依然として問題が続いているユーザーもおり、Xは詳細な公式報告を出していません。 Windows Central
Xはハッキングされましたか?
ハッキングやデータ漏洩の公的な証拠はありません。Xおよび独立系のセキュリティ報道は、このインシデントを内部セキュリティキー移行の失敗によるものとし、外部からの攻撃ではないとしています。 The Register
Xアカウントの2FAをオフにすべきですか?
最終手段としてのみ行ってください。2FAをオフにすると、アカウントが非常に危険にさらされます。どうしてもアクセスを回復するためにセキュリティを弱める場合は、認証アプリやバックアップキーを追加し、Xのシステムが安定したらすぐに強力な2FAを再度有効にしてください。 BleepingComputer
11月13日現在、危機は徐々に収束しつつありますが、ユーザーの信頼や、すでに物議を醸しているXのリブランディングへのダメージは、障害そのものよりも長く続く可能性があります。
