MENU

クラウドストレージの脆弱性

ほぼこもセキュリティニュース

現在、多くのクラウドストレージが登場していて多くの場面で利用されています。
その構造的な面の特徴から使い方によっては非常に便利なものとなっています。
しかし、公開されたシステムとして運用することになるため、様々な面で安全性を確保する必要があり、安全な状態でクラウドストレージを実現することは容易なことではありません。
いくつもある実際のサービス中のクラウドストレージサービスのなかのいくつかで、研究者が脆弱性を発見しています。

  • Sync
    地球上で最もプライベートで最も安全なクラウド、という案内をしているクラウドストレージサービスです。
    自分の端末で自動的に暗号化したファイルをアップロードし、閲覧できるのは自分だけ。
    さらに、パスワードを知っているのは自分だけなので、Syncの社員でもアクセスすることはできない。
    オプションでサービス側にパスワードを保持させることができる機能はあるが、その機能の利用は非推奨となっているサービスです。
    このサービスで、脆弱性が確認されています。
    認証されていないキーマテリアルが含まれており、攻撃者が独自の暗号化キーを挿入してデータを侵害する可能性があります。
    悪意のあるサーバーはアップロードされたファイルの機密性を破るだけでなく、ファイルを挿入してその内容を改ざんすることも可能になってしまうというものです。
  • pCloud
    最も安全な暗号化されたクラウドストレージ、という案内をしているクラウドストレージサービスです。
    多くのサービスはサブスク形式でのサービス提供になっていますが、このpCloudは買い切り型のオプションも提供していて、この点が特徴的です。
    Lifetimeプランに申し込むと、1回の支払いで永遠に使える、というのです。すごいです。
    このサービスで、脆弱性が確認されています。
    認証されていないキー マテリアルに起因しており、攻撃者が秘密キーを上書きし、攻撃者が制御するキーで強制的に暗号化することができます。
    悪意のあるサーバーはアップロードされたファイルの機密性を破るだけでなく、ファイルを挿入してその内容を改ざんすることも可能になってしまうというものです。
  • Seafile
    オープンソースのクラウドストレージシステムです。
    Dropbox、Google Drive、Office 365などのように機能させることのできる機構を自分で用意した機器に構築して利用することができます。
    このツールで、脆弱性が確認されています。
    プロトコルのダウングレードに対して脆弱で、パスワードの総当たり攻撃が容易になります。
    認証されていないCBC暗号化を使用しているため、ファイルの改ざんが可能で、不当にファイル操作ができてしまいます。
    悪意のあるサーバーは、パスワードの総当たり攻撃を高速化できるほか、ファイルを挿入してその内容を改ざんできるようになります。
  • Icedrive
    最もクールなクラウドストレージとバックアップサービス、という案内をしているクラウドストレージサービスです。
    こちらのサービスにも買い切り型のサービスがあります。
    無料で利用できる容量も10GBと多いため、人気のサービスとなっています。
    このサービスで、脆弱性が確認されています。
    認証されていないCBC暗号化を使用しているため、ファイルの改ざんに対して脆弱であり、攻撃者がファイルの内容を変更できる可能性があります。
    悪意のあるサーバーがアップロードされたファイルの整合性を破壊したり、ファイルを挿入したり、その内容を改ざんしたりすることが可能になります。
  • Tresorit
    最も大切なファイルを完全に制御できる安全な暗号化クラウドに保存・同期・共有できる、という案内をしているクラウドストレージサービスです。
    無料プランの保存可能容量は3GBなので大きくはありませんが、企業ユーザに人気のサービスです。
    このサービスで、脆弱性が確認されています。
    このサービスの公開鍵認証はサーバが管理する証明書に依存しており、攻撃者はこれを置き換えて共有ファイルにアクセスすることができます。
    悪意のあるサーバーはファイルを共有するときに非認証キーを提示し、ストレージ内の一部のメタデータを改ざんできるようになります。

脆弱性が発見されることそのものは、あることだと思います。
非常に複雑な仕組みですので、脆弱性が全くない状態を作ることは容易ではありません。
しかし、存在のわかった脆弱性には対策を講じていくことが必要だと思います。

この5つの脆弱性の例では、提供者毎にそれぞれ異なる対策の取り組みが行われているように見えます。
機能面、価格面、安全機能面、など、サービスの利用を検討する際にはさまざまなことを総合的に考える必要があると思います。
どのように情報を収集するのかなど難しい面もありますが、こういった検討事項の中に、脆弱性への対策の姿勢という尺度も加えていく必要があるのかもしれません。

End-to-End Encrypted Cloud Storage in the Wild

https://brokencloudstorage.info/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。