Dropboxは今日(米国時間8/25)の午後、2012年半ば以降一度もパスワードを変更していないユーザーにパスワードの変更を求める。
2012年6月にLinkedInがハッカーに侵入され、その際盗まれたみられる1億1700万のアカウントのパスワードが今年5月にネットにアップされた。この事態を受けて2012年半ばという時期が決定されたとみられる。最近、過去の大規模なハッキングで盗難にあったパスワードや個人情報がネット上で発見される例が続いている(また今年5月にはMySpaceが大規模にハックされた)。
こうしたデータはいずれもかなり古いものだが、パスワードを変更しないまま長期間放置しているユーザーが多い。また複数のサービスでのパスワードの使い回しも広く行われている。
情報源によれば、Dropboxのインテリジェンス部門は暗号化されないパスワード多数を含むファイルを発見したという。このファイルにはLinkedInのハッキングに関連するとみられるパスワードが含まれていた。「この問題への対処は密かに進められてきた思われるが、ここに来て公の問題となった」と情報源は語った。Dropboxは2012年のLinkedInのハッキングが明らかになった時点で、漏洩したとみられるユーザー名、パスワードを利用して一部へのアカウントにアクセスが試みられたことをブログに掲載している。
これまでのところDropboxではアカウントへの不正なアクセスが成功した例はないと述べている。2012年の事件の際、漏洩によって得られたと見られるアカウント名を含むファイルを用いた攻撃がDropbox社員のアカウントに向けられたことがあった。このアカウント名ファイルの存在に関連してDropboxはユーザーに対し、既存パスワードの変更を求めた。
大規模なパスワードの再設定にはそれなりのデメリットも伴うものの、保管しているデータを保護し、さらなるハッキングを防止するためにはやむを得ない効果的な措置であると考えられている。【略】
また今回のDropboxの決定は、ユーザーに2段階認証を利用する よう呼びかけるよい機会だ。2段階認証はログインンの際に手間が増えるという欠点がある。しかしアカウントのセキュリティーを守る上では最良の手法の一つだ。利用している複数のサービスのセキュリティーが一挙に破られないようする自衛策としては、2段階認証を有効にすることとパスワードの使い回しを止めることが有効だろう。
[原文へ]
(翻訳:滑川海彦@Facebook Google+)