検索
ニュース

パスワード変更推奨:

CDN企業Cloudflareのバグで、多数のサービスで機密データ流出の可能性

UberやFitbitなどを含む多数のWebサービスにサイト運営支援サービスを提供しているCloudflareのバグにより、顧客Webサービスのユーザーのパスワードを含む機密データが流出し、Googleなどの検索エンジンのキャッシュに残っていたとCloudflareが発表した。主要検索エンジンはキャッシュをクリア済みという。

[PC用表示]

 多数のWebサービスにCDN(コンテンツ配信ネットワーク)を提供している米Cloudflareは2月23日(現地時間)、エッジサーバのセキュリティ問題で顧客のHTTPクッキー、認証トークン、HTTP POST本体などの機密データが流出し、さらにその一部はGoogleやBingなどの検索エンジンによってキャッシュされていたと発表した。

 cloud 1

 バグは既に修正された。キャッシュされたデータについては、Google、Yahoo、Bingなどの協力により、既にパージされた。Cloudflareは、流出したデータが悪用されたという報告は今のところないとしている。

 Cloudflareのサービスは、例えばUberやFitBit、Feedlyなど、世界の550万以上の企業が利用している。この問題の影響を受けた可能性のある企業のリストを第三者がGitHubで公開しているが、それを確認するよりも、自分が使っているサービスのパスワードを念のためにすべて変更する方が確実で早いだろうと、セキュリティ専門家のライアン・ラッキー氏はアドバイスしている。

 この問題は、Googleの情報セキュリティエンジニアであるタビス・オーマンディ氏が「Project Zero」のリサーチ中に発見し、2月17日にCloudflareに報告した。原因は複合的なもので、「Automatic HTTP Rewrites」の有効化、Server-Side ExcludesとEmail Obfuscationの新しいパーサーへの移行の際に発生した。

 オーマンディ氏によると、検索エンジンのキャッシュからは、大手サービス上のプライベートなメッセージングの内容やHTTPS経由で送信された大手パスワード管理サービスのプレインテキストのAPIリクエストまで見つかったという(すべてパージした)。同氏は問題の規模の大きさから、2014年に発覚した「OpenSSL」の脆弱性「Heartbleed」を想起するとし、「Cloudbleed」と呼びたくなるとしている。

 cloud 2
オーマンディ氏が入手した(既に削除した)デートサービスのプライベートなメッセージ

 オーマンディ氏から連絡を受けたCloudflareはすぐに対処に当たり、21日には関連する問題をほぼ修正した。

 Cloudflareは現在、改めて既存システム上の問題を洗い出しているという。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ページトップに戻る