読者です 読者をやめる 読者になる 読者になる

IT女子のゆるふわリファレンス

ITの話題をお届けします

...Cloudbleed...

クラウド Web セキュリティ


今日はひなまつりですね◆◇ヾ(´∀`●)ノ

ひなまつりは女の子の健やかな成長を願う伝統行事でひな人形を飾ったりしますよね!
春の訪れという気持ちですがまだ寒い日が続きますので早く暖かくなることを
待つばかりです(´-`).。oO

 

こんにちは!ふわりです(´・ω・`)

 

先日ネットニュースになっていたCloudbleedについてです!

 

Cloudbleedは、クラウド脆弱性をついた情報漏洩のことで、今回はCloudFlareという
コンテンツ・デリバリ・ネットワーク(Content Delivery Network)で発覚しました。

たった1文字、されど1文字のコードのバグによって、パスワード、個人情報、メッセージCookie、その他の膨大な情報がインターネット中に流出してしていたことが発表されました。

その規模の大きさから2014年に発覚したOpenSSLの脆弱性、Heartbleedを連想させるのでCloudbleedと名づけられたそうです(・ω・)

 

Heartbleedは、OpenSSLのHeartbeat拡張に存在する情報漏えいの脆弱性
パスワードや秘密鍵などの情報が簡単に盗まれてしまうことも実証されて大きな問題となりました。

 

では、CloudFlareとはどんなものなのでしょうか・・・?

 

CloudFlareの前に、コンテンツ・デリバリ・ネットワークについてです。

コンテンツ・デリバリ・ネットワークとは、世界中に張り巡らされたサーバ(CDNサーバ)を通してウェブコンテンツにアクセスしようとするユーザに最も近いサーバから効率的に配信してくれる仕組みのことです('ω')

本来コンテンツ・デリバリ・ネットワークは大規模なリクエストを円滑に処理するように生まれたサービスなのですが、CloudFlareは小規模なWebサイトでもドメイン単位で簡単に無料で導入することができます(^^)

 

そのCloudflareにバグがみつかりました。このバグで悪意のある攻撃はなかったと発表されているものの2月13日から18日までの間、約330万回のHTTPリクエストにつき1回のデータリークの可能性があるとのことです。
2016年9月から約5カ月の間の長期に渡りバグに気がつかなかった事から、深刻な問題のようです。

 

便利なクラウドサービスですが、セキュリティ対策はとても大切です( ..)φ

 

いま身近なウェブサイトやアプリなどでも二段階認証は増えてきてますし定期的なパスワード変更もできないことではないですよね!(ちょっとめんどくさい・・・)

 

自分の身は自分で守るのと同じように自分の個人情報は自分で守りましょうということなのかもしれません・・・

 

それではこの辺で~!