Dropboxの2012年の事件では社員のパスワード再利用により6000万あまりのユーザー認証情報が盗まれていた

次の記事

Gmailをタスク管理に活用できるMoo.do

【抄訳】
Dropboxが今週初めに開示したところによると、同社の大量のユーザーの、2012年に取得された〔==盗まれた〕認証情報が、闇のWebを放浪している。しかしその実際の数は、最初に考えられたものよりも、はるかに大きかったかもしれない。

最初にMotherboardが報じ本誌TechCrunchの情報筋が確認したところによると、6000万あまりのアカウントの認証情報が盗まれた。今回Dropboxがパスワードの侵害を開示したことは、2012年の事件のときの同社の態度に比べると、進化している。そのとき同社は、ユーザーのメールが唯一の盗まれたデータだ、と言った。

2012年のときのブログ記事は、こんなだ:

盗まれたパスワードは、プロジェクトのドキュメントやユーザーのメールアドレスのあるDropboxの社員のアカウントにアクセスするためにも使われた。この不正なアクセスが、スパムに導いたものと思われる。これに関しお詫び申し上げるとともに、新たなコントロール要素を加えることによって確実な再発防止を図ったことを、ご報告申し上げたい。

このブログ記事によると、Dropboxは2012年に、社員のパスワードが取得されてメールアドレスのあるドキュメントへのアクセスに使われた、と開示した。しかしその窃盗行為によって複数のパスワードが取得されたことは、開示しなかった。Dropboxはユーザーのパスワードを暗号化しソルトして保存しており、そのことは技術的にも正確であり、したがってハッカーは暗号化されているファイルを取得できただけであり、その上のパスワードを解読することはできない、と思われる。しかし、最初に開示したものよりも多くの情報が盗まれていたにもかかわらず、その侵害の開示にこんなに長い時間〔ほぼ4年〕がかかったことは、奇異である。

Dropboxの筋によると、最初に2012年に開示したユーザーのメールに加えて、それらのメールに結びついている一群の暗号化されたパスワードも盗まれた。その侵害の時点ではDropboxは、当時の標準アルゴリズムである暗号化アルゴリズムSHA-1の使用をやめて、より堅牢なbcryptに代えようとしていた。盗まれたパスワードの一部はSHA-1で暗号化され、3200万はbcryptで暗号化されていた、とMotherboardは報じている。パスワードはまた、暗号化を強化するためのランダムなデータ列、いわゆるソルト(salt, 塩)で守られていた。これらのパスワードは今、ネット上に投げ捨てられているが、それらを保護している暗号がこじ開けられた形跡はない。

2012年11月のForbes誌のインタビューでDropboxのCEO Drew Houstonは、ユーザー数は1億、前年同期より倍増、と述べた。いちばん最近の発表では、登録ユーザー数は5億であるが、各月のアクティブユーザー数は公表されていない。ハックが起きたときのユーザー数もほぼ1億なら、その3/5が侵害の被害者だから、ものすごい数だ。

社員のパスワードを使ったハッカーは、それをLinkedInの侵害から再利用して、Dropboxの社内ネットワークにアクセスし、ユーザーの認証情報を盗んだ、と情報筋は言っている。だから責任の100%がDropboxにあるわけではないが、企業内のセキュリティが破られたことは事実であり、パスワード再利用の危険性と、その被害が企業環境の内部にも及びうることを示している。

Dropboxは、社員が自分の企業アカウントのパスワードを再利用しないために、すべての社員に対してパスワード管理サービス1Passwordをライセンスし、ユニークで強力なパスワードを使うよう奨励している。同社セキュリティ担当のPatrick Heimによれば、これらに加えて、すべての社内システムで二要素認証を必須にしている。

【後略】

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))