オンラインストレージ「MEGA」、セキュリティー面での批判に反論 8
良くも悪くも話題に 部門より
20日にサービスを開始したオンラインストレージ「MEGA」は注目を集め(/.J記事)、最初の24時間で100万件以上のユーザーがサインアップしたそうだ。当初はアクセスが集中してサーバーが応答しなくなることもあったが、現在は安定して利用できるようになっている。その一方で、セキュリティーに関する問題点が複数指摘されているが、これに対する反論がMEGAのブログに掲載されている(MEGAのブログ記事、TorrentFreakの記事、本家/.)。
MEGAでは暗号化に使用するキーをサーバー側に保存しており、マスターキーはユーザーのパスワードで暗号化されている。そのため、パスワードを第三者に知られるとアップロード済みの全ファイルにアクセスが可能となる一方、パスワードを忘れると事前に共有キーなどをエクスポートしていない限り全ファイルが読み取れなくなってしまう。すでに「MegaCracker」というクラックツールが公開されており、単純なパスワードを設定している場合は簡単にクラックできてしまうが、現在のところパスワードを変更することもできない。これに対し、MEGAでは今後パスワードの変更機能を追加する予定だとしている。
また、Webブラウザーベースで暗号化を行うため、SSLが破られればMEGAのセキュリティーも破られるとの指摘もある。特に、MEGAのSSLサーバーでは1024ビットの暗号化を使用しており、暗号強度が不十分だという。これに対してMEGA側は、2048ビットの暗号化を使用するサーバーから送られるJavaScriptコードで、1024ビットの暗号化を使用するサーバーから送られるコードをチェックするので問題ないと主張している。SSLを破ることができるなら、MEGAよりも面白いものを破ることができるとも述べている。
ほかにもさまざまなセキュリティー面での問題点が指摘されているが、キム・ドットコム氏はセキュリティーについての議論を歓迎すると述べており、賞金を出す計画もあるとのことだ。
何この言いがかり (スコア:1)
復元できたらできたで嘘つき呼ばわりするんだろ。Dropboxみたいに [srad.jp]。
# これが「セキュリティーの問題」なのか? 逆だろ?
P=NPだったらRSAも楕円暗号もあっさり破られちゃうよね。危険だ!
Re: (スコア:0)
まず暗号を指摘する人って大抵は自称セキュリティマニアだよね
クラッキングされたなら仕方が無い (スコア:0)
わざとセキュリティの甘いところを作り、クラッキングツールを作らせる。
その上で、クラッキングされた結果、最新の映画の動画データが流出しても違法動画配信にはならないと言う
みたいな戦略だったりして。
んなあほな (スコア:0)
アップロードされたのが違法動画ならアップロードの時点で駄目だし、
有料動画を権利者自身がMEGAで配信した場合があったとして、それが漏れたらMEGAに100%責任があるでしょ。
Re:んなあほな (スコア:1)
パスワードをかけたプライベートストレージでも遠隔サーバにアップロードしたら違法になる可能性があるかどうかは適用される国の法律によるかと。
日本では違法の可能性が指摘されていますが当然合法の国もある。
また犯罪の舞台になったからと言って、責任を負うかどうかは微妙。例えばまっとうなサーバがクラッキングされてデータが抜かれたとき、サーバ管理者に100%責任があると言う事で賠償責任を負わせると言うのは無理がある。あくまでもクラッキングした犯人が悪い。
今回の場合、故意に、あるいは重大な過失があってクラッキングを防止する措置をとっていなかったと認定されないと、訴追は難しい。少なくとも訴える側が過失があったことを証明しなければならないので追求する手間は格段に増えるだろう。
Re: (スコア:0)
> 漏れたらMEGAに100%責任
どこのルールだよそれ
炎上マーケティング (スコア:0)
さすがドットコム、マーケティングも最先端ですね。