「最も安全」とうたうクラウドストレージですら安全ではないことが判明

By Charlie Collis

ファイルをインターネット上で保管するクラウドストレージは、クラウドを通じて端末間でファイルのやり取りができる便利なサービスです。今や無料でも大容量のクラウドストレージサービスなど次々と新規サービスが登場していますが、ジョンズ・ホプキンズ大学でコンピューターサイエンスを研究する科学者が、「最も安全とうたうクラウドストレージですら安全ではない」と研究結果を発表しています。

Even the most secure cloud storage may not be so secure, study finds   - Network World
http://www.networkworld.com/news/2014/042114-secure-cloud-storage-280838.html

クラウドストレージを提供する多くの企業は、顧客のデータを守る最先端のクラウドセキュリティとして、相手側に証明用の秘密やパスワードを漏らさずに安全に認証可能な「ゼロ知識証明」を採用しています。ジョンズ・ホプキンズ大学の科学者は、このゼロ知識証明が「どれほど安全なのか？」ということを研究した結果、危険な脆弱性が隠れていることを示唆しているとのこと。

ゼロ知識証明を採用するクラウドストレージサービスでは、顧客のデータを暗号化して保管し、顧客に対しては解読キーを渡すことで、業者側すらアクセスできないセキュアなデータのやり取りを可能にしています。しかし、研究者は「保管するデータをクラウドサービス内で共有する機能がある場合、解読キーは業者側から見ると攻撃に弱い状態となってしまい、業者が望めば顧客のデータを盗み見ることも可能である」と警告しています。

By FutUndBeidl

実際にサービスを提供しているゼロ知識証明クラウドサービスを調査したところ、調査対象となった「SpiderOak」、「Wuala」、「Tresorit」などが行っている、「データが暗号化されてクラウドに格納され、ユーザーがデータをダウンロードする時のみ解読できるモデル」は、安全であることが確認されています。

一方で、「クラウドサービス上でデータを共有すると、ユーザーの解読キーなしにシステム上でデータをやり取りできることになります。その場合、どのサービスも業者が顧客のデータにアクセスできる状態にありました」と報告する研究の第1著者デュアン・ウィルソン氏。これは「中間者攻撃」に類似しており、今のところ大きな問題は起きていませんが、ユーザーは常に攻撃を受ける可能性があるということ。研究監督のGiuseppe Ateniese准教授は、「クラウドサービスの提供側が顧客のデータにアクセスしているという証拠は出ていません。しかし、どんな安全なクラウドサービスでもユーザーが危険にさらされていることを伝えたかったのです」と警告しています。

なお、研究者によるといくつかのサービスは、Silent Circleのように、音声認識システムなどのゼロ知識証明認証以外のセキュリティを複合して採用しています。クラウドストレージサービスは次々と登場していますが、サービス提供側も、より安全なサービス提供を模索しているとのことです。