Cloudflareの脆弱性、発覚前に悪用された形跡はなし

米Cloudflareから顧客などの情報が大量に流出した問題で、脆弱性が公になる前に悪用されていた形跡は見つからなかったと同社が報告した。

» 2017年03月03日 17時34分 公開
[鈴木聖子ITmedia]

 多数のWebサービスにCDN(コンテンツ配信ネットワーク)を提供している米Cloudflareから顧客などの情報が大量に流出した問題で、Cloudflareは3月1日、これまでの調査結果をブログで公表し、脆弱性が公になる前に悪用されていた形跡は見つからなかったと報告した。

 この問題ではCloudflareが顧客のWebページ解析に使っているパーサーの脆弱性が原因で大量のデータが流出し、検索エンジンにキャッシュされていたことが判明。Cloudflareはこれについて「極めて重大なバグであり、事態がさらに深刻化する恐れもあった」としながらも、ログなどを調べた結果、現時点ではこの脆弱性が修正される前に悪用されていた形跡は見つからなかったとしている。

photo バグが起きてしまったWebページの例。ページ下部にバイナリデータが出てしまっている(出典:Cloudflare)

 もし、この脆弱性が発覚する前に悪用されていたとすれば、攻撃者が大量のリクエストを送り付けてバグを誘発させ、データをひそかに盗み出すことも可能だった。

 ただ、今回流出したデータは、Webページを自動巡回する検索エンジンなどのクローラーによってキャッシュされ、潜在的な危険を生じさせているとの認識も示した。2016年9月22日から、脆弱性が発覚した2017年2月18日までの間にこのバグが誘発された回数は、120万回を超えると推定している。

 それでも、Cloudflareの顧客の大多数は情報の被害に遭っていないと同社は説明する。流出した情報についても、検索エンジンのキャッシュに残っていたデータを調べた結果、Cloudflareのヘッダや顧客のcookieなどは大量に流出していたが、パスワードやクレジットカード番号、医療記録などは流出していないことが分かったという。

 同社はGoogleやBing、Yahoo!、Baiduなどと連携して流出した情報を削除する作業を続け、これまでに8万件以上のキャッシュを削除したと報告。引き続きログを解析してバグを作動させたリクエストの調査を進めるとともに、再発防止に向けてパーサーコードの徹底検証を行っている。

関連キーワード

脆弱性 | バグ


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ