多数のWebサービスにCDN(コンテンツ配信ネットワーク)を提供している米Cloudflareは2月23日(現地時間)、エッジサーバのセキュリティ問題で顧客のHTTPクッキー、認証トークン、HTTP POST本体などの機密データが流出し、さらにその一部はGoogleやBingなどの検索エンジンによってキャッシュされていたと発表した。
バグは既に修正された。キャッシュされたデータについては、Google、Yahoo、Bingなどの協力により、既にパージされた。Cloudflareは、流出したデータが悪用されたという報告は今のところないとしている。
Cloudflareのサービスは、例えばUberやFitBit、Feedlyなど、世界の550万以上の企業が利用している。この問題の影響を受けた可能性のある企業のリストを第三者がGitHubで公開しているが、それを確認するよりも、自分が使っているサービスのパスワードを念のためにすべて変更する方が確実で早いだろうと、セキュリティ専門家のライアン・ラッキー氏はアドバイスしている。
この問題は、Googleの情報セキュリティエンジニアであるタビス・オーマンディ氏が「Project Zero」のリサーチ中に発見し、2月17日にCloudflareに報告した。原因は複合的なもので、「Automatic HTTP Rewrites」の有効化、Server-Side ExcludesとEmail Obfuscationの新しいパーサーへの移行の際に発生した。
オーマンディ氏によると、検索エンジンのキャッシュからは、大手サービス上のプライベートなメッセージングの内容やHTTPS経由で送信された大手パスワード管理サービスのプレインテキストのAPIリクエストまで見つかったという(すべてパージした)。同氏は問題の規模の大きさから、2014年に発覚した「OpenSSL」の脆弱性「Heartbleed」を想起するとし、「Cloudbleed」と呼びたくなるとしている。
オーマンディ氏から連絡を受けたCloudflareはすぐに対処に当たり、21日には関連する問題をほぼ修正した。
Cloudflareは現在、改めて既存システム上の問題を洗い出しているという。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR