CDNで機密データ流出の可能性
多くのWEBサービスにCDNを提供している米国のCloudFlareは2017年2月23日(米国現地時間)、サーバのセキュリティ問題(バグ)により顧客のHTTPクッキー、認証トークン、HTTP POST本体などの機密データが流出し、その一部はGoogleやBingなどの検索エンジンにキャッシュされていたことを発表しました。
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
今の時代、多くの企業はCDN(コンテンツ・デリバリー・ネットワーク)サービスを使って負荷分散をしたりしていますが、そのCDNサービスの1つであるCloudFlare(クラウドフレア)において『Cloudbleed』と揶揄されるような問題が起きました。
※ 2014年に発覚したOpenSSLの脆弱性『Hearbleed』を思い起こさせることから『Cloudbleed』と呼びたくなると言われてしまったようです。
CloudFlareのバグによる影響
現在CloudFlareのCDNサービスは、Uber、FitBit、Feedlyなどをはじめとする世界550万以上の企業に使われています。
ということは、そのUber、FitBit、Feedlyなどのサービスを利用しているユーザーへの影響が想定されるということになります。
しかし、CloudFlareのバグは既に修正され、キャッシュされたデータについては、Google、Yahoo、Bingなどの協力もあり、既にパージ(一掃・抹消)されたとのことで、現時点において流出したデータが悪用されたという報告はないとしています。
ただし、一度は流出してしまったわけですから、念のためにご自身が使われているウェブサービスのパスワードを変更しておく方が良いでしょう。
※ GoogleやFacebook、Twitter、LINEなどは、Akamai(アカマイ)など、他社のCDNを使っているはずです。
影響を受けた可能性のある企業リストはGitHubが公開していますので、それにて確認が可能です。
CloudFlare公式ブログは下記のリンクからどうぞ。
『Incident report on memory leak caused by Cloudflare parser bug』