恐らく世界一有名なCDN(コンテンツ・デリバリー・ネットワーク)サービスCloudFlareのコードに、パスワードや個人情報が流出するバグが発覚。サービスを利用しているサイトの多さや、大量のデータが流出した可能性から「Cloudbleed」という名称が名付けられ大きな話題となっています。
CloudBleed
そもそもCloudFlareは、CDNの提供をメインとしながらもいつかの機能を提供しています。その中の一つにWebサービスを自動でHTTPSに変換し、ブラウザ-Webサーバー間をSSL/TLS通信、簡単に言うと、セキュリティを向上してくれる機能があります。Amazonの有名なAWSと比較すると「無料」という大きな強みから、国内外で数多くのWebサイトがCloudFlareを利用しています。しかし、そのCloudFlareが提供するセキュリティチェックのコードの1文字にバグが内包されている事が発覚。たった1文字といえど、そこから抜き取られる情報はパスワードや個人情報、チャット内容、IPアドレスといった致命的な物にまで及びます。
その被害の大きさから2014年の同様の事件「HeartBleed」に倣い、「CloudBleed (Cloud出血)」と名付けられています。
CloudBleed発覚の経緯
先週の17日金曜日、Googleのセキュリティ解析チーム「Project Zero」のTravis Ormandy氏から、CloudFlareへバグについてのレポートが提出。事態を深刻に受け止めたCloudFlareは、急遽サンフランシスコとロンドンのオフィスを24時間体制で稼働させ、7時間と47分で修正。事態の詳細を報告しました。
CloudFlareの統計によると2月13日から18日までの間、約330万回のHTTPリクエストにつき1回のデータリークの可能性があるとのこと。リクエストの約0.00003%でメモリリークと割合は少ないものの、2016年9月から約5カ月の間の長期に渡りバグに気がつかなかった事から、どれだけのデータが流出しているか予測がつかない事態となっています。
データ漏洩疑惑のサイト一覧
現在、有志の手によりどのWebサービスが影響を受けたかのレポートがまとめられており、ここでは現時点で目についたサービスを紹介。
- Discord:近年盛り上がりを見せるDiscordも今回の流出の対象となっており、Discord公式Twitterアカウントもパスワードの変更を推奨しています。
Safety Jim here. Time to change your password! Provider we & others (Uber, Reddit...) use had an issue. Read more:https://t.co/82XyQE0zOn pic.twitter.com/wm7zyV0MZl
— Discord (@discordapp) February 24, 2017
- Bungie.net:BungieもCloudFlareの影響を受けてしまいました。ただしBungieのアカウントはPSN、もしくはXboxのアカウント情報を使用しており、Bungie内部ではパスワード情報などを保存していないので、被害の可能性は低いようです。
- Uber:国内でも首都圏を中心に急速に広まりつつつある配車サービス。クレジットカードが必須のこともありできるだけ早く変更しておいたほうが安心だと思われます。
- Yelp:世界最大のローカルビジネスの口コミサイトで、食べログやRettyのようなサービス。国内では世界最速規模で広まっているため、被害の大きさが心配されます。
- 2ちゃんねる:ただしco.jpのドメインは見つかりませんでした。
アメリカで発覚したばかりのCloudbleed事件、日本ではまだ事件の認知度が低いこともありどの程度の被害があるのかはまだ不明です。以前からいくつかの国内サービスがCloudFlareを使用していることを確認しているので、今後続々と影響が広がる可能性も充分に考えられます。
この手の話題が上る時はもちろんですが、今回は被害の大きさが不明なので、Discordユーザーだけでなく全てのパスワードを刷新する良い機会ではないでしょうか。
Source: CloudFlare,DoMa, Chromium, Twitter
コメント