Dropbox侵入事件:被害者は100人未満、ただし侵入者は1人だけ

次の記事

Facebookのスパムアプリ摘発ボットに、開発者は困惑と怒り

Dropboxにとっては考えられないほど厳しい一週間だった。月曜日、認証システムのバグにより、週末にかけての4時間、事実上パスワード無し状態になっていたというニュースが発覚した ― つまり、ユーザー名さえ入力すれば誰のアカウントにもログインできたことになる。

Dropboxが何のために利用されているか ― 最も大切なファイルをコンピューター間で同期させる ― を考えると、これはとてつもない事件だ。しかもこのサービスは、そのセキュリティー機能を売りの一つとして宣伝してきた。当初Dropboxはこう言っていた、「1%よりずっと少ない」ユーザーが影響を受けた可能性があると。今われわれの手元には、不正行為の影響を受けたユーザーに対して、今日の午後Dropboxから送られたメールがあり、内容はもっとずっと具体的だ。

まずよい知らせから。侵害による影響の規模は、Dropboxの全2500万ユーザーのうち「100アカウント未満」だ。しかし、メールによると被害にあったアカウントはすべて、一個人によってアクセスされている。言い換えると、それらはタイプミスによる偶発的ログインではなく、何者かが穴を見つけ、自分のものではないファイルをアクセスするため積極的にそれを利用したことになる。当然これは非常に危険である。

Dropboxは、侵害行為についてコメントしていないため、誰のアカウントが標的となったか、そもそも標的をもった攻撃だったのかどうかも不明だ。

このレターは、アカウントをアクセスされたが、ファイルは閲覧もダウンロードもされていないと思われるユーザー宛に送られたものだ ― 別のバージョンでは、実際にファイルがアクセスされた可能性が示されている。注目すべきは、レターの差出人がDropbox CEOのDrew Houstonであり、アカウントを侵害されたユーザーには本人が電話で対応すると書かれていることだ。

件名:Dropboxのセキュリティーに関する重要なお知らせ ― 必ずお読みください。

xxxx様

先日、Dropboxのセキュリティーに欠陥があったことをお伝えしました。本日私は、これまで想像もしていなかったことをお客様にお伝えしなければなりません。弊社の科学的調査の結果、お客様のものを含め、ごく少数のアカウントに対して、不審な行為があったことが発見されました。

調査によると、xxxx年x月x日 xx:xx頃、何者かがお客様のアカウントにログインしています。第3者によって不法侵入された可能性が濃厚です。当方の記録によると、お客様の設定あるいはファイルは変更されていません。ファイルやフォルダー名などの情報が閲覧可能であった可能性はありますが、記録によると、ファイルが閲覧あるいはダウンロードされた形跡はありません。それでもなお、予防として以下の手順を踏んでいただくことをお薦めします。

・重要な個人情報(クレジットカード番号、銀行口座情報、社会保障番号等)をDropboxに保管していた場合は、クレジットカード等に不審な動きがないかを確認してください。個人情報盗難の詳細については、FTCのサイト http://www.ftc.gov/bcp/edu/microsites/idtheft/を参照ください。

・お客様が無料でクレジット監視ができるよう、弊社で手配いたしました。ご利用を希望する場合は、support@dropbox.com までご連絡ください。フォルダーに情報が入っていたクレジットカードについては、解約されることもお考えください。

・Dropboxにパスワードを保管していた場合は、速やかにパスワードの変更をお願いします。

・お客様のアカウントを再度ご確認いただき、少しでも不審な点がある場合は、直ちに当社にご連絡ください。

以前お伝えした通り、このセキュリティー欠陥は、認証機構に関わるバグを誘発したプログラム更新の際に発生したものです。今後も調査を継続いたしますが、現在わかっている範囲においては、1名の個人が100件未満のアカウントに侵入したことがわかっています。弊社では何が起きたのかを解明し、今後二度と起きることのないよう、日夜作業を続けております。

どれほどお詫びしても足りるものではありません。Dropboxは私の命であり、お客様と築き上げた信頼あってこそのDropboxであることを承知しております。二度と起きてはならないことであり、この問題を正し、再びお客様の信頼を取り戻す機会を与えていただけることを願っております。

お客様の質問に答え、お手伝いできることがあれば何でもするべく、私自身が待機しております。どうぞ、遠慮なく+x-xxx-xxx-xxxx宛にお電話ください。あるいは、お客様の電話番号を返信していただければ、こちらからお掛けいたします。

Drew


Drew Houston
CEO, Dropbox

[原文へ]

(翻訳:Nob Takahashi)

“Dropbox侵入事件:被害者は100人未満、ただし侵入者は1人だけ” への3件のフィードバック

  1. 豆虎 より:

    どっかの日本企業とは雲泥の差の対応 こういう事があっても信頼する気になれるね

  2. 時間が短かったことと、初めての障害だったことが幸運だったのでしょう。また同じようなことが起こったら、もっと大規模な被害になる可能性があります。個人情報を効率的にゲットできるチャンスがあることを攻撃者が知ってしまったのだから
    でもユーザ名をたまたま間違えてアクセスしてしまったら・・知らない人のファイルが丸見えだったなんて、そして試しに開いていたら、攻撃者として捕まってしまうってことがあっても怖いよね。(でもたまに、ちょっとID変更したらアクセスできるのかなぁって試してみて、個人情報が丸見えだったりすることがあるからなぁ)

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中