<p>大手クラウドストレージサービス「MEGA」のファイル暗号化を破る手法が発見される</p><p>大手クラウドストレージサービス「MEGA」のファイル暗号化を破る手法が発見される</p><p>クラウドストレージサービスの「MEGA」は、ユーザーがアップロードしたファイルをエンドツーエンドで暗号化しており、たとえ何者かにインフラストラクチャー全体が押収されてもファイルを復号できないと主張しています。ところが、スイス・チューリッヒ工科大学の研究チームが発表した調査結果によると、MEGAには暗号化されたファイルを復号したり、悪意のあるファイルを勝手にアップロードしたりできる脆弱性(ぜいじゃくせい)があるとのことです。</p><p>この攻撃は、暗号化されたノードキーを操作して復号されたキーがすべて0バイトで構成されるようにすることで、フレーミング攻撃と同様にファイルを偽造できるというもの。しかし、この攻撃はフレーミング攻撃よりも露見しやすく、観察力のあるユーザーには見抜かれる可能性があるとのことです。 ◆GaP-Bleichenbacher攻撃 研究チームは、MEGAのチャット機能を悪用することによりRSA暗号文を復号し、プライベートRSAキーなどを入手することが可能だと説明しています。この攻撃はRSAキーリカバリー攻撃を前提としませんが、平均して2 17 研究チームは2022年3月に、非公開でこれらの脆弱性についてMEGAへ通知しており、6月21日にMEGAは攻撃を防ぐためのアップデートを展開し始めました。しかし、研究チームはこのアップデートがRSAキーリカバリー攻撃を阻止するための「その場しのぎ」なものだと指摘。RSAキーリカバリー攻撃を防ぐことで、これを前提とするプレーンテキストリカバリー攻撃やフレーミング攻撃などは不可能になりますが、そもそもの暗号化アーキテクチャや整合性に関わる体系的な問題は修正されていないと主張しています。 研究チームはテクノロジー系メディアのArs Technicaへの電子メールで、「RSAキーリカバリー攻撃のみに対応するアップデートは、他の前提条件が何らかの異なる方法で満たされた場合、依然として脆弱性が悪用される可能性があることを意味します。そのため、私たちはこのパッチを支持しませんが、MEGAのシステムはもはや私たちが提案した攻撃の連鎖に対しては脆弱ではありません」と述べています。 MEGAのアップデートがRSAキーリカバリー攻撃にのみ対応したものになったことについて、研究チームはMEGAのプラットフォームが相互に関連しており、全体を修正するのが困難だからだと考えています。たとえば、MEGAが別の暗号化アーキテクチャへ移行するにはすべてのユーザーがデータをダウンロードし、再アップロードする必要がありますが、すでにMEGAには1000PB( )を超えるデータが保存されていることから、すべてを移行するには半年以上かかるとのこと。そのため、MEGAにとっては時間とコストがかかる長期的アプローチではなく、短期的なアプローチを採用するメリットがあるというわけです。 なお、MEGAは今回の脆弱性およびアップロードに関する公式声明の中で、RSAキーリカバリー攻撃を実行するには少なくとも512回のログイン試行が必要なものの、MEGAでは「既存のセッションの再開」がログインに当たらないため、攻撃者が通信を傍受している間に512回ものログインを試行するハードルは非常に高いと指摘しています。また、クラウドベースの暗号化システムの欠陥を修正するのは困難な上にユーザーの負担になるため、今回のアップデートでは実用的な方法を採用したと述べています。 MEGA Security Update – Mega Blog</p>