【クラウド】CDN企業Cloudflareのバグで、多数のサービスで機密データ流出　検索エンジンのキャッシュに残る事態に

1 ：海江田三郎 ★：2017/02/25(土) 20:20:58.13 ID:CAP_USER.net

http://www.itmedia.co.jp/news/articles/1702/25/news024.html


多数のWebサービスにCDN（コンテンツ配信ネットワーク）を提供している米Cloudflareは2月23日（現地時間）、
エッジサーバのセキュリティ問題で顧客のHTTPクッキー、認証トークン、HTTP POST本体などの
機密データが流出し、さらにその一部はGoogleやBingなどの検索エンジンによってキャッシュされていたと発表した。


バグは既に修正された。キャッシュされたデータについては、Google、Yahoo、Bingなどの協力により、
既にパージされた。Cloudflareは、流出したデータが悪用されたという報告は今のところないとしている。
　Cloudflareのサービスは、例えばUberやFitBit、Feedlyなど、世界の550万以上の企業が利用している。
この問題の影響を受けた可能性のある企業のリストを第三者がGitHubで公開しているが、それを確認するよりも、
自分が使っているサービスのパスワードを念のためにすべて変更する方が確実で早いだろうと、
セキュリティ専門家のライアン・ラッキー氏はアドバイスしている。

　この問題は、Googleの情報セキュリティエンジニアであるタビス・オーマンディ氏が「Project Zero」のリサーチ中に発見し、
2月17日にCloudflareに報告した。原因は複合的なもので、「Automatic HTTP Rewrites」の有効化、S
erver-Side ExcludesとEmail Obfuscationの新しいパーサーへの移行の際に発生した。

　オーマンディ氏によると、検索エンジンのキャッシュからは、大手サービス上のプライベートなメッセージングの内容
やHTTPS経由で送信された大手パスワード管理サービスのプレインテキストのAPIリクエストまで見つかったという
（すべてパージした）。同氏は問題の規模の大きさから、2014年に発覚した「OpenSSL」の脆弱性「Heartbleed」を想起するとし、
「Cloudbleed」と呼びたくなるとしている。


　オーマンディ氏から連絡を受けたCloudflareはすぐに対処に当たり、21日には関連する問題をほぼ修正した。

　Cloudflareは現在、改めて既存システム上の問題を洗い出しているという

2 ：名刺は切らしておりまして：2017/02/25(土) 20:22:54.40 ID:CImSn/JR.net

Amazonの購入履歴とかはやめて（＞＜）

3 ：名刺は切らしておりまして：2017/02/25(土) 20:23:46.80 ID:z7CLfkPx.net

【動画】森友の園児、選手宣誓で「安保法案国会通過！　安倍総理ガンバレ！」　と力強く

https://twitter.com/GeeGaku/status/835411734043058176
https://video.twimg.com/ext_tw_video/835410458089668609/pu/vid/1280x720/_nIpSt-EIBNXJh2W.mp4

宣誓

あついあつい夏がすぎて、ぼくたちわたしたちの待ちに待った、平成27年度　秋の大運動会がきました。
先生と、お友達と、一緒になって、おけいこをした、おゆうぎ、音楽、体育、かけっこなど、今日一日、頑張ります。
おじいちゃん、おばあちゃん、おとうさん、おかあさんの前で、褒めていただけるよう、全力をつくします

大人の人たちは、日本が他の国に負けぬよう、尖閣列島・竹島・北方領土を守り、日本を悪者として扱っている、
中国、韓国が、心改め、歴史で嘘を教えないよう、お願い致します。

安倍首相、ガンバレ！　安倍首相、ガンバレ！

安保法制国会通過よかったです！
僕たち、私たちも、今日一日、パワーを全開します

日本ガンバレ！えいえいおー！

4 ：名刺は切らしておりまして：2017/02/25(土) 20:25:30.55 ID:1TggezMU.net

やっぱクラウド化はヤバイ種が残されてるな。

5 ：名刺は切らしておりまして：2017/02/25(土) 20:32:57.58 ID:G3S8xWOn.net

>>2
https://github.com/pirate/sites-using-cloudflare
ここには無いね

6 ：名刺は切らしておりまして：2017/02/25(土) 20:38:19.10 ID:SAWK8G63.net

クラウドを使う企業は流行に流される情弱

7 ：名刺は切らしておりまして：2017/02/25(土) 20:39:08.58 ID:RnMRgtx1.net

本当に本当に大切なのはアナログが一番なんだよな

8 ：名刺は切らしておりまして：2017/02/25(土) 20:40:06.70 ID:2NLetDDv.net

人件費が1/10 になる内職や引退技術者、主婦を活用できるクラウド使わなきゃ

そら勝負にすらならんでしょ

アメリカや中国などバンバンやってるなか、竹槍持って戦うわけにもあかんだろうし

9 ：名刺は切らしておりまして：2017/02/25(土) 20:40:15.08 ID:Pj5T2sgi.net

これだからクラウドは怖い

10 ：名刺は切らしておりまして：2017/02/25(土) 20:43:06.31 ID:sFysPHe1.net

三菱UFJ、勘定系システムのAWS移行も
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/022400847/

君たちの銀行残高がネットに晒されるのももう直ぐ

11 ：名刺は切らしておりまして：2017/02/25(土) 20:54:42.85 ID:2iqSi2uC.net

CDNはDQN

12 ：名刺は切らしておりまして：2017/02/25(土) 21:00:43.73 ID:0D/won+Q.net

良くもまあ他人にデータを預ける気になるなあ
サーバー構築して定期的にちゃんとメンテナンスしとけば良いだろうに

13 ：名刺は切らしておりまして：2017/02/25(土) 21:03:43.53 ID:fS/5aC0l.net

2chもここ使ってるけど大丈夫なの？ｗ

14 ：名刺は切らしておりまして：2017/02/25(土) 21:24:04.32 ID:AJo+87or.net

Googleが一部利用者のログインを一度取り消して再ログインをさせてるのはこれが原因だろうな

15 ：名刺は切らしておりまして：2017/02/25(土) 21:44:25.80 ID:zxF7gvvI.net

だからあれ程クラウドはやめとけとw

16 ：名刺は切らしておりまして：2017/02/25(土) 21:45:41.11 ID:2NLetDDv.net

クラウドの流れはとまらんだろ

やらなきゃ勝負にならん

17 ：名刺は切らしておりまして：2017/02/25(土) 21:53:42.42 ID:vd8kT+tl.net

【画像】女の競泳水着の?さｗｗｗこの競泳水着??すぎて抜きまくったｗ
http://parkit.darknigger.com/donews/02251.html

18 ：名刺は切らしておりまして：2017/02/25(土) 21:54:40.24 ID:0D/won+Q.net

>>16
だから社内でクラウディングして完結すれば良いだろｗ

サーバー構築して各社員の端末からアクセスさせれば良いだけだろ
立派なクラウディングだよ、つか、既にあるわな

なぜ一々社外へデータ積む必要があるんだね？
サーバー構築と管理費用か？
リスク考えたら社内サーバーの方が安いと思うよ俺は
クラウドなんぞリスクが見えにくい、と言う、盲点を狙った馬鹿な商売でしかない

19 ：名刺は切らしておりまして：2017/02/25(土) 22:10:07.25 ID:I5K9leu4.net

appleでもやらかすからクラウドは危ない
DropBoxやEvernoteも怖い

20 ：名刺は切らしておりまして：2017/02/25(土) 23:04:00.78 ID:hycSuhO3.net

>>1
やっぱり起きたか
情報弱者のきわみ(同意>>6)

最近２ちゃん荒らしのこと調べてたら
いつもと違う挙動の検索結果が出た気がする
それかな

21 ：名刺は切らしておりまして：2017/02/25(土) 23:04:34.63 ID:hycSuhO3.net

クラウド普及でインターネット滅亡だろうと思ってた

22 ：名刺は切らしておりまして：2017/02/25(土) 23:13:06.48 ID:zY8ryy6c.net

でもCloudflareは便利なんだよなあ
一度利用しちゃうと企業もクラウド利用をやめるのは難しいな

23 ：名刺は切らしておりまして：2017/02/26(日) 02:39:30.11 ID:QgSmSGvK.net

皆の反応薄いな、日本企業がこんなことやらかしたら
廃業寸前まで追い込もうとするような勢いの騒ぎになるはずなのに。

やっぱり、その手の騒ぎは外資工作員が扇動しているのかねｗ

24 ：名刺は切らしておりまして：2017/02/26(日) 06:51:36.36 ID:xR8gacPs.net

>>20
>>23

この件で何が起きたのか本当はよくわかってないだろ。

情弱ってのはデジタルデバイスが使えない人よりも、
君みたいに正しく情報を理解できない人たちのことを指すんじゃないか？

25 ：名刺は切らしておりまして：2017/02/26(日) 08:36:19.12 ID:Yx89tWbq.net

むしろ流出させるのが目的

26 ：名刺は切らしておりまして：2017/02/26(日) 09:29:02.73 ID:F/Jx9rf+.net

だから、クラウドはやめておけと、あれほど。　いずれ、勘定奉行やセコム
から、マイナンバー情報で紐付けされた日本人の情報が、半島へ流れると
いうか、ソフトバンクみたいに、既にクラウドサーバー自体が韓国にある
かもね。

27 ：名刺は切らしておりまして：2017/02/26(日) 15:41:57.96 ID:OqAi8E36.net

俺なんかサーバー上のデータはしっかりフォルダを深く掘り下げて、ちゃんとHTTP領域に秘蔵してるから大丈夫。

しかも知り合いのスーパープログラマーから聞いたおまじないも書いてある。
index,follow

これで漏れない

28 ：名刺は切らしておりまして：2017/02/26(日) 17:28:13.01 ID:50RlLv87.net

>>24
外資工作員乙

29 ：名刺は切らしておりまして：2017/02/26(日) 22:23:17.50 ID:1IeP6mX+.net

もはや子育ての戦友！だいすけお兄さんに、どうしても伝えたいこと
http://vrasa.brinzart.com/ranking_up/20170226.html

30 ：名刺は切らしておりまして：2017/02/27(月) 08:16:52.54 ID:wo4Ds4wW.net

去年マイクロソフトのなんだか言うチャットツールをBingで検索したら
オーストラリア人の個人のidが入ったままのログイン画面がトップに出てきてびびったわ

31 ：名刺は切らしておりまして：2017/02/27(月) 09:59:14.40 ID:Hzzhqudl.net

>>10
三菱は使っていないから大丈夫

32 ：20：2017/03/04(土) 11:51:16.63 ID:mN/7pnWg.net

>>24
現象がまんま書いてあるのに理解もくそもないよ