現在、多くのクラウドストレージが登場していて多くの場面で利用されています。
その構造的な面の特徴から使い方によっては非常に便利なものとなっています。
しかし、公開されたシステムとして運用することになるため、様々な面で安全性を確保する必要があり、安全な状態でクラウドストレージを実現することは容易なことではありません。
いくつもある実際のサービス中のクラウドストレージサービスのなかのいくつかで、研究者が脆弱性を発見しています。
- Sync
地球上で最もプライベートで最も安全なクラウド、という案内をしているクラウドストレージサービスです。
自分の端末で自動的に暗号化したファイルをアップロードし、閲覧できるのは自分だけ。
さらに、パスワードを知っているのは自分だけなので、Syncの社員でもアクセスすることはできない。
オプションでサービス側にパスワードを保持させることができる機能はあるが、その機能の利用は非推奨となっているサービスです。
このサービスで、脆弱性が確認されています。
認証されていないキーマテリアルが含まれており、攻撃者が独自の暗号化キーを挿入してデータを侵害する可能性があります。
悪意のあるサーバーはアップロードされたファイルの機密性を破るだけでなく、ファイルを挿入してその内容を改ざんすることも可能になってしまうというものです。 - pCloud
最も安全な暗号化されたクラウドストレージ、という案内をしているクラウドストレージサービスです。
多くのサービスはサブスク形式でのサービス提供になっていますが、このpCloudは買い切り型のオプションも提供していて、この点が特徴的です。
Lifetimeプランに申し込むと、1回の支払いで永遠に使える、というのです。すごいです。
このサービスで、脆弱性が確認されています。
認証されていないキー マテリアルに起因しており、攻撃者が秘密キーを上書きし、攻撃者が制御するキーで強制的に暗号化することができます。
悪意のあるサーバーはアップロードされたファイルの機密性を破るだけでなく、ファイルを挿入してその内容を改ざんすることも可能になってしまうというものです。 - Seafile
オープンソースのクラウドストレージシステムです。
Dropbox、Google Drive、Office 365などのように機能させることのできる機構を自分で用意した機器に構築して利用することができます。
このツールで、脆弱性が確認されています。
プロトコルのダウングレードに対して脆弱で、パスワードの総当たり攻撃が容易になります。
認証されていないCBC暗号化を使用しているため、ファイルの改ざんが可能で、不当にファイル操作ができてしまいます。
悪意のあるサーバーは、パスワードの総当たり攻撃を高速化できるほか、ファイルを挿入してその内容を改ざんできるようになります。 - Icedrive
最もクールなクラウドストレージとバックアップサービス、という案内をしているクラウドストレージサービスです。
こちらのサービスにも買い切り型のサービスがあります。
無料で利用できる容量も10GBと多いため、人気のサービスとなっています。
このサービスで、脆弱性が確認されています。
認証されていないCBC暗号化を使用しているため、ファイルの改ざんに対して脆弱であり、攻撃者がファイルの内容を変更できる可能性があります。
悪意のあるサーバーがアップロードされたファイルの整合性を破壊したり、ファイルを挿入したり、その内容を改ざんしたりすることが可能になります。 - Tresorit
最も大切なファイルを完全に制御できる安全な暗号化クラウドに保存・同期・共有できる、という案内をしているクラウドストレージサービスです。
無料プランの保存可能容量は3GBなので大きくはありませんが、企業ユーザに人気のサービスです。
このサービスで、脆弱性が確認されています。
このサービスの公開鍵認証はサーバが管理する証明書に依存しており、攻撃者はこれを置き換えて共有ファイルにアクセスすることができます。
悪意のあるサーバーはファイルを共有するときに非認証キーを提示し、ストレージ内の一部のメタデータを改ざんできるようになります。
脆弱性が発見されることそのものは、あることだと思います。
非常に複雑な仕組みですので、脆弱性が全くない状態を作ることは容易ではありません。
しかし、存在のわかった脆弱性には対策を講じていくことが必要だと思います。
この5つの脆弱性の例では、提供者毎にそれぞれ異なる対策の取り組みが行われているように見えます。
機能面、価格面、安全機能面、など、サービスの利用を検討する際にはさまざまなことを総合的に考える必要があると思います。
どのように情報を収集するのかなど難しい面もありますが、こういった検討事項の中に、脆弱性への対策の姿勢という尺度も加えていく必要があるのかもしれません。
End-to-End Encrypted Cloud Storage in the Wild
https://brokencloudstorage.info/
この記事をシェア |
---|
一緒によく読まれている記事
-
- 【2022年最新版】GitGuardianレポート公開
「The state of Secrets Sprawl 2022」 - GitHub等から流出した機密情報をリアルタイムで検知するサービス「GitGuardian Public Monitoring」を提供するGitGuardian社より、昨年に引き...
- 【2022年最新版】GitGuardianレポート公開
-
- APIキーや認証情報といった機密情報を
管理・保管するためのベストプラクティス
[クイックリファレンス(PDF形式)付き] - 本記事は、GitHubから流出した機密情報をリアルタイム検知するサービスを提供するGitGuardian社のホームページで公開されたレポートを日本語に翻訳したものです。 (原題)...
- APIキーや認証情報といった機密情報を