Malwarebytesは6月22日(米国時間)、「MEGA claims it can't decrypt your files. But someone's managed to...|Malwarebytes Labs」において、クラウドストレージプロバイダ兼ファイルホスティングサービスのMEGAの暗号化方式に問題があったと伝えた。セキュリティ研究チームの調査によって、MEGAが採用しているエンド・ツー・エンドの暗号方式にセキュリティ上の欠陥が存在することがわかったという。

  • MEGA claims it can't decrypt your files. But someone's managed to...|Malwarebytes Labs

    MEGA claims it can't decrypt your files. But someone's managed to...|Malwarebytes Labs

MEGAはクライアントとの通信にエンド・ツー・エンド暗号化を採用している安全なサービスであるとユーザーにアピールしている。しかしながら、セキュリティ研究チームの検証によって、同社が採用している暗号化方式に重大な問題があることが明らかとなった。この問題によって、MEGAクラウド上のユーザーデータの機密性と完全性が破壊的に攻撃される可能性がある。

セキュリティ研究チームは実際に512回のログイン施行によるユーザのRSA秘密鍵の復元、クライアントによって暗号化された通信とファイルの復元、ユーザのファイルストレージに任意のファイルの挿入などが行えたと説明。また、これら暗号化方式の問題に対する対応策もMEGAに提供している。

MEGAはセキュリティ研究チームに指摘された暗号化方式に重大な欠陥があることを認識しており、修正したソフトウェアアップデートを行ったと発表した。しかしながらセキュリティ研究チームはMEGAが行った対応は、同チームが提案した対応策とは大きく異なっていると報告している。

セキュリティ研究チームの詳細な調査報告は下記ページを参照のこと。