ITトレンドニュース

２０１７年２月２６日にUberやFitbitなど多数のWebサービスに向けてサイト運営支援サービスを提供しているCloudflareのバグが報告され、Webサービスに登録しているユーザーのパスワード等の機密情報が流出しました。

Goolgeなどの検索エンジンのキャッシュに残っていたことで発覚し、現在は検索エンジンのキャッシュをクリア済みだという

Cloudflare

米国時間２０１７年２月２３日に米Cloudflareは、多数のWebサービスにCDN（コンテンツ配信ネットワーク）を提供しており、今回の問題は、エッジサーバのセキュリティに問題があり、顧客のHTTP CookieやToken、HTTP POSTなどの機密情報が流出し、その中の一部はGoogleやBingなどの検索エンジンにキャッシュが残ってしまったそうです。

今回のバグについては、現在は修正済みとなっており、検索エンジンに残っていたキャッシュについてもクリア済みだそうだ。

検索エンジンのクリアは、Google、Yahoo!、Bingなどの協力によりパージすることができたと報告されております。

Cloudflareからは、今回のバグにより、流出したデータが悪用されたなどの報告はないとコメントしている。

Cloudflareの顧客Webサービスは、UberやFitBit、Feedlyなどを含めた各国５５０万以上の企業が利用しております。

今回のバグにより影響がある可能性のある企業のリストをGitHubで公開されており、自分の使っているサービスのパスワードを全て変更したほうが良いとセキュリティ専門家のライアン・ラッキー氏はコメントしている。

• sites-using-cloudlare(GitHub)

今回の問題を発覚した経緯は、Goolgeの情報セキュリティエンジニアであるオダス・オーマンディ氏が「Project Zero」のリサーチ中に発見し、２０１７年２月１７日にCloudflareに報告したことで発覚した。

同氏によると、検索エンジンのキャッシュから大手サービス上のプライベートメッセージの内容やHTTP経由で送信された大手パスワード管理サービスのプレインテキストのAPIまで見ることが可能であったそうだ。

同氏は、今回の問題の規模から、２０１４年に発覚した「OpenSSL」の脆弱性問題「Heartbleed」連想させる「Cloudbleed」と名称したいとコメントしている。

Cloudflareは、オーマンディ氏から連絡を受けた直後にすぐに問題の収集に向けて動き出し、２月２１日にはバグ修正をほぼ修復し、現在は既存システムの問題の洗い出しを改めて行っているようだ。

画像出典元：Cloudflare-Twitterアカウント