29
Dropbox、2012年のデータ侵害で6800万件のユーザーパスワードが漏洩したことを認める

先週、Dropboxは2012年半ば以降パスワードを変更していない全ユーザーを対象に、パスワードリセットを開始しました。同社は当初、これを「予防措置」と説明していましたが、火曜日の午後、以前の発表を更新し、2012年のデータ侵害を受けて6,800万件のユーザー認証情報が漏洩したと発表しました。

2012年、Dropboxは従業員のパスワードが盗まれ、それがきっかけで一部ユーザーのメールが盗まれたと発表しました。当時、Dropboxはユーザーのパスワードが盗まれたことについては言及しておらず、メールが盗まれたユーザーはスパムメールを受信して​​いる可能性があるとのみ述べていました。データ侵害は痕跡をほとんど残さずに発生することがあるため、Dropboxはハッキングの真の規模を把握していなかった可能性が高いです。

Dropboxは2012年に、「盗まれたパスワードは、ユーザーのメールアドレスが記載されたプロジェクト文書を含む従業員のDropboxアカウントへのアクセスにも使用されました。この不正アクセスがスパムにつながったと考えています。この件について深くお詫び申し上げます。今後、このような事態が再発しないよう、追加の対策を講じております」と述べています。

同社のセキュリティ研究者は最近、古いユーザー認証情報(メールアドレスとパスワードの両方)がオンラインで流通していることを発見しました。さらに分析を進めた結果、これらの認証情報は2012年のデータ漏洩事件で漏洩した可能性があることが判明しました。

HaveIBeenPwned.com (さまざまなデータ侵害に自分のメールが含まれていた場合にそれを知らせるウェブサイト) も作成した独立セキュリティ専門家の Troy Hunt 氏は、68,648,009 件の Dropbox アカウントが漏洩したことを発見しました。

Dropboxは昨日、この数字を確認しましたが、パスワードが暗号化、ハッシュ化、ソルト化されているため総当たり攻撃が困難であり、ユーザーアカウントが危険にさらされているとは考えていないと述べました。ただし、「password」や「1234」といった一般的なパスワードを使用しているアカウントは、当然ながら総当たり攻撃に対してより脆弱です。

Dropboxはユーザーアカウントへの不正アクセスは確認されていないとしているが、サーバーにアクセスできる人物は暗号鍵にもアクセスできた可能性がある。企業ユーザー向けにエンドツーエンドの暗号化ストレージを提供するTresoritによると、攻撃者はアカウントが使用されている間に復号化されたパスワードを閲覧できた可能性があるという。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

「漏洩したパスワードはハッシュ化されており、実際のDropboxパスワードではないにもかかわらず、サーバー上に保存されているファイルへのアクセスに利用される可能性があります。なぜでしょうか? 暗号化されたファイルを暗号鍵と共に保存する保存時暗号化では不十分です。ハッシュ化されたパスワードを持つ者は、既に復号化された状態でファイルにアクセスできてしまうからです」とTresoritは推測しています。

エンドツーエンド暗号化は、FBIやその他の各国政府から嫌われているようです。大手サービスプロバイダーをデータ要求のワンストップショップに変える能力を奪ってしまうからです。しかし、FBIがユーザーデータにアクセスしやすくなるのと同じ理由で、攻撃者もハッキングによって同じデータを入手しやすくなります。一度ハッキングに成功すれば、攻撃者は数百万ものアカウントにアクセスできてしまいます。特に、アカウントが適切に暗号化・ハッシュ化されていない場合はなおさらです。データがエンドツーエンドで暗号化されている場合、そのデータにアクセスできるのはユーザー本人だけなので、攻撃者はすべてのユーザーのシステムにハッキングしてパスワードを入手する必要があります。

GoogleやMicrosoftとは異なり、Dropboxはユーザーのデータをマイニングする必要はありません。そのため、Dropboxは少なくとも、クラウドや他のデバイスに同期する前に、ローカルクライアントでデータを暗号化するオプションをユーザーに提供できます。そうすれば、データは暗号化された状態で同期され、Dropboxも悪意のあるハッカーも、さらには権力を乱用する政府も、そのデータにアクセスできなくなります。

Dropboxは、SpideroakやTresoritのように、すべてのデータをデフォルトでローカルに暗号化することをおそらく望んでいないでしょう。なぜなら、そうすると利便性が損なわれ、多くのユーザーはそれを諦めたくないからです。しかし、機会があれば、喜んでそのトレードオフを受け入れるユーザーも少なくないでしょう。

Dropboxがそのような機能を有効にするまでは、念のためDropboxのパスワードをリセットしておくのが最善でしょう。Dropboxはまた、アカウントの安全性をさらに高めるため、2段階認証機能を有効にすることをユーザーに推奨しています。

ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。

Ecosystem
Posted by Lorlink