先週、Snapchatの写真がハックされたのに続いて、今度はクラウドストレージのDropboxがセキュリティー問題でありがたくない注目を浴びる番となった。コード共有サイトのPastebinに匿名のユーザーが「Dropboxのアカウント情報(メールアドレスとパスワード)700万件近くを入手した」と書き込み、その証拠として最初の400件のデータを貼り付けた。このユーザーはさらなるリークのためにBitcoinによる寄付を求めている。
その後、100件程度のアカウント情報が何回か書き込まれたが、これらの情報は本物ではなかったようだ。今回の攻撃について、Dropboxは公式ブログで「これらのユーザー名とパスワードはをチェックしたが、Dropboxアカウントとは無関係だった」と述べた。
Dropboxは本物とわかった最初の400件のアカウント情報についても、「Dropboxとは無関係なサードパーティーのサービスから漏洩したもので、Dropbox自体から盗まれたものではない」としている。つまりSnapchatの場合のようにDropboxのAPIを利用しているサービスから漏洩したわけではなく、ユーザーがサービス間でパスワードを使い回したことが原因とみられる。
公式ブログ記事は明確に「ドロップボックスはハックされていない」と題されている。DropboxのAnton Mityaginによれば、
最近の「Dropboxがハックされた」というニュースは正しくない。ユーザーのデータは盗まれていない。漏洩したと指摘されたユーザー名とパスワードは、われわれとは無関係なサービスから漏洩したもので、Dropboxからではない。犯人は盗んだユーザー名とパスワードを使ってDropbox他、さまざまなウェブ・サービスへのログインを試みた。しかしDropboxでは不審なログインの試みを検出する手段を用意しており、そのような疑いがある場合は自動的にパスワードをリセットする。
このような攻撃を受ける可能性があるため、われわれはパスワードをサービス間で使いまわさないようユーザーに強く勧めてきた。また、さらにセキュリティーを高めるため、われわれは2段階認証を提供している。
これに先立って、The Next Webの取材に対してDropbox は次のように述べている。
Dropboxはハックされていない。ユーザー名とパスワードは不運にも他のサービスから盗まれたものだ。犯人はこれを利用してDropboxアカウントへのログインを試みた。われわれはこのような攻撃を探知しており、しばらく前から盗まれたパスワードのほとんどは無効にされている。残りのパスワードもその後無効にされた。
Dropboxは漏洩元のサービスが何であるかは明らかにしなかった。しかしDropboxのブログ記事とコメントによって、最初に公開された情報が(すでに無効化されているものの)実際にDropboxのユーザー名とパスワードであったことが確認されたわけだ。盗まれたパスワードを使ってユーザーのアカウントへの侵入が成功した事例があったかどうかは明らかにされていない。
今回の事件がユーザーのパスワード使い回しによるものなら、「Dropboxはハックされていない」という主張は正しい。しかしユーザーにとってみればセキュリティーが破られたという結果は同じだ。しかしユーザーに2段階認証を要求すればセキュリティーは向上するものの、ユーザーの負担は増える。セキュリティーと利便性のバランスは難しい。さらにハッカーがビットコインで手っ取り早く報酬を求めようとする最近の流行も新たな問題だ。
Dropboxについては、今週エドワード・スノーデンが「プライバシーの敵」だと非難した。これはDropbox自体がユーザーデータにアクセスできることを指している。スノーデンは「Dropboxがファイルの暗号化キーを保持しているので政府機関が要求すればユーザーデータが引き渡されてしまう。ユーザーはプロバイダ自身が暗号化キーを保持していないサービス、SpiderOakなどを使うべきだ」と主張している。
[原文へ]
(翻訳:滑川海彦@Facebook Google+)