早急に全パスワードの変更を!

By ASERT team on 02/24/2017.
Posted in Attacks and DDoS Attacks.

by Steinthor Bjarnason, Senior ASERT Security Analyst & Roland Dobbins, ASERT Principal Engineer

CloudFlareは、おそらく最もよく知られたDDoSミティゲーションのサービス・プロバイダですが、インターネットで最大のコンテンツ配信ネットワーク(CDN)も運営しています。人気のあるWebサイトやモバイル・アプリなどの多くが利用しているCloudFlareのCDNは、世界中の400万以上のDNSドメインと関連したコンテンツをホストしています。

CloudFlareは、カスタマイズされたソフトウェアを開発しており、CloudFlareのCDNにおいて大量のWebリクエストに常時対応できるようにしています。これは複雑かつ拡張性の高いシステムであり、CloudFlareは機能性と拡張性を絶えず強化し、顧客の需要を満たしています。

しかし残念ながら、CloudFlareのCDNシステムで使用するソフトウェア・コンポーネントの一部に深刻なセキュリティの脆弱性があったことが分かりました。これは、昨年末にCloudFlareがサービスにいくつかの変更を施す際に明らかになりました。その結果、CloudFlareを活用したWebサイトやアプリケーションに関連する大量の情報(ユーザー名、パスワード、チャット・セッション、その他の何らかの形式の個人識別情報(PII)など)が、誤ってCloudFlareから漏洩し、Google、Bing、DuckDuckGo、Baidu、個人運用のWebスクラッパーなどのサービスによってキャッシュが保存されてしまいました。

つまり、これまで個人的なものであった数百万人分のインターネット・ユーザー情報(アクセス認証情報など)が、誰かが偶然に使用したり、場合によっては悪用したりすることが可能な状態になっていたのです。

これは、情報がSSL/TLSで暗号化されていたかどうかという次元の問題ではありません。

問題発生の経緯

CloudFlareのCDNのリバース・プロキシの一つがSSL/TLSのリクエストを受信した場合は常にリクエストを復号化し、何らかの処理を実行して、そのリクエストに対して最適の対応を判断する必要があります。この処理の結果は通常、リバース・プロキシのオペレーティングRAMに保存された後に、システムが次のリクエストの処理に移ると(消去されるのではなく)忘れられます。CloudFlareのCDNサービス・スタックのコンポーネントのバグにより、一部のユーザーは本来の結果だけでなく、CloudFlareのリバース・プロキシのランダム・メモリの内容まで受信するようになりました。これには、他のユーザーのすべてのリクエスト内容、暗号化されたパスワードやユーザー名などの機密情報への応答が含まれる可能性がありました。

簡単に説明すると、ユーザーAがサーバーXのコンテンツにアクセスした場合、ユーザーBはサーバーYからの本来の結果に加えて、ユーザーAがサーバーXからの応答で得た結果まで確認できることになります。通常は、Webブラウザがその他のコンテンツを無視して、ユーザーBは本来の結果しか見ないので、これは問題になりません。

しかしながら、性能の向上や統計解析のため、Google、Bing、BaiduなどのWeb検索プロバイダのほとんどは、世界中のほぼすべてのWebサーバーの情報をキャッシュして保存しています。つまり、ユーザーBがリクエストを行い、ユーザーAに関する機密情報である可能性がある情報を意図せずに受信した際に、その結果がたびたびそうした主力検索エンジンのキャッシュ、そしておそらく個人運用のWebクローラーにも保存されていたのです。

その結果、CloudFlareのCDNのランダムなユーザー・セッション情報が不注意にも漏洩して、さらにその情報がGoogleなどの検索プロバイダによって保存されてしまいました。この情報はすぐに検索可能であり、簡単な検索ツールを使用して比較的簡単に探し出せます。Googleは、CloudFlareとの積極的な協力により、意図せず漏洩しキャッシュされた機密コンテンツを探し、Googleキャッシュからそれらを一掃するよう努めています。その他の主力検索エンジンの運用者についても、CloudFlareと協力して、各自のプラットフォーム上で同様のことを行っているものと思われます。

この出来事が意味するもの

先に述べたとおり、人気のあるWebサイトやモバイル・アプリなどの関連サービスの多くは、CloudFlareのCDNサービスを利用しています。それらのサイトやサービスのドメインをプログラム的に生成したリストがこちらで見られます。また、WebブラウザChromeの便利なプラグインでも、CloudFlareを活用したWebサイトをユーザーが閲覧している際にユーザーに喚起しており、このようなWebベース・ユーティリティも大変便利です。

多くの人が、CloudFlareのCDNサービスを利用したサイト、サービス、および/またはアプリを1つ以上利用したことがあるでしょう。直接アクセスしたかどうか、利用した他のサイト、サービス、アプリと依存関係があるかどうかは関係ありません。CloudFlareのCDNサービスは好評であるため、ほとんどのインターネット・ユーザーにとって、Webサイトの閲覧やアプリのトラフィックがCloudFlareのCDNサービスによるものかどうか判断することは事実上不可能です。

まさにこの点が問題なのです。

すべての変更を今すぐに

ほとんどの人にとって、この大規模な情報漏洩についての唯一安全な対応策は、日々利用するWebサイトやアプリ関連サービスのパスワードを更新することです。それらすべてのパスワードです。

Google、Apple、Microsoftは、CloudFlareのCDNを利用していないようですが、自分で過去数カ月間のネットサーフィンやアプリ利用の履歴について詳細な解析を実行するだけの時間と労力がないのであれば、用心のために、他のアカウントすべてに対してパスワードを更新した方が無難です。

さらに、その他の種類の情報(チャット・ログ、電子メールの内容、金融情報、Web閲覧の習慣などあらゆる情報)も同様に漏洩した可能性があることにも注意する必要があります。大規模な情報漏洩に対する警戒を高めるためにも、各自のオンライン情報に常に注意することはもちろん良策といえます。

大規模かつ複雑な問題への迅速な対応

GoogleのProject Zeroチームのセキュリティ研究者であるTravis Ormandy氏は、最初にこの問題を認識し、速やかにCloudFlareに連絡を取った人物です。CloudFlareは即座に対応し、Googleをはじめとする組織と協力して、Web検索エンジンのキャッシュからできるだけ多くの漏洩情報を除去することに努めており、この問題が発生した経緯、問題の修正手順、再発防止について公式に説明しています。
残念ながらこうした類いの事故は起こってしまうものですが、GoogleのProject ZeroとCloudFlare自体が迅速に行動を起こし、最善の努力を尽くして問題を解決したことや、何が起こったのかを公式に説明し、他のセキュリティ研究者(および一般のインターネット・コミュニティ)が潜在的な影響について自己評価できるようにしたことについては、賞賛に値します。より多くの組織がこうした事例から教訓を得て、適時かつ率直にセキュリティ・インシデントに関する詳細を公表し、修正を行うことが望まれます。

Arborクラウドのお客様への特記事項

当社は、Arbor Cloud DDoSミティゲーション・サービスによって保護されているサイトやサービスでこの種の問題が起こる可能性があるかどうかについて、お問い合わせを受け付けています。

Arbor CloudはDDoSミティゲーションを厳しく注視しておりますが、CDNサービスではないため、お客様のコンテンツやアプリケーション・トラフィックについてCloudFlareなどのCDNサービスが行っているような処理を実行していません。したがって、この種の問題はArbor CloudのサービスにもArbor Cloudのお客様にも該当しません。