Dropbox個人情報漏洩事件から学ぶパスワード使いまわしのリスク

Dropbox個人情報漏洩事件から学ぶパスワード使いまわしのリスク

今回は、実際に合った情報漏えい事件の事例を基に、 パスワードの安易な使いまわしがいかに危険か、ということをご紹介したいと思います。

2014年10月、アメリカのオンラインストレージサービスのDropboxから、 約700万件のアカウント情報(メールアドレス及びパスワード)が流出したと報じられました。

これは、インターネット上のサイト「Pastebin」に、「Dropboxのアカウント情報約700万件を入手した」 とする匿名の書き込みがあり、ハッキングの証拠として400件のリストが投稿されたことから発覚しました。 投稿されたアカウント情報には、内容から日本人のものとみられる情報も含まれていました。 この投稿者は、ビットコインによる寄付を募集しており、寄付が寄せられれば更に多くのアカウント情報を公開するとしています。

その後、同じ投稿者から100件程度のアカウント情報が複数回書き込まれました。

IT業界まるわかりガイドは、日本初Web専門スクールのインターネット・アカデミーが運営する業界情報メディアです。最新の業界情報を、初心者にも分かりやすくご紹介しています。

目次

Dropbox側は個人情報漏洩を否定

Dropbox側は、10月13日に公式ブログにおいて、最初に公開された400件のアカウントについては、 「今回流出したアカウント情報は、Dropboxのアカウントを使用している他社のサービスから盗まれたものであり、 Dropboxのシステムが不正な侵入を受けて盗まれたものではない」と、自社のサービスからの漏洩を否定しています。

つまり、Dropbox側の見解を信じるならば、ユーザーがDropboxを含む複数のサービスでパスワードを使い回した事が原因で、 他社サービスから流出したアカウント情報がそのままDropboxのアカウント情報として通用した事例であったということです。

また、Dropboxは、その後の100件程度のアカウント情報が複数回書き込まれた件については、 「チェックしたものの、Dropboxのアカウントとは関係がなかった」としています。

犯人にログインはされたのか

DropboxはThe Next Web の取材に対し、「犯人が他社から流出したアカウント情報を使用してDropboxへのログインを試みたこと、 Dropboxはそのような攻撃を探知していたこと、しばらく前から盗まれたパスワードの殆どは無効になっており、 残りのパスワードも無効にされたこと」を明らかにしています。

しかし、盗まれたアカウント情報を使って、実際にアカウントへの侵入が成功した事例があったかどうかは明らかにされていません。

Dropboxの仕組み

Dropboxとは、オンライン上でストレージ(データを長期間にわたって固定的に保管する装置)を提供するサービスです。 オンラインストレージとローカルにある複数のコンピュータとの間で、データの共有や同期が可能です。

これを利用すると、ユーザーは複数のコンピュータや手持ちのスマートフォン、タブレットなどからいつでもアクセスすることができ、 ドキュメントの編集や写真の追加、動画の共有などが可能になります。複数のIT機器を使いこなす現代人にとって大変便利なサービスです。

他にもオンラインストレージサービスは存在しますが、Dropboxはファイルのアップロードが簡単で便利であり、多くの人に支持されています。 パソコンに専用フォルダをもうけておけば、ファイルをドラッグ&ドロップするだけで、データが共有・同期されます。 専用フォルダのデータを更新すれば、自動でオンラインストレージのデータも更新されます。

また、友人やチームメンバーとのファイル共有も簡単に行えるのも特徴です。 管理者は共有フォルダのファイルごとにメンバーの閲覧権限を変更でき、情報の機密性も保持することができます。

使い勝手がいいだけに

Dropboxは使い勝手がいいだけに、ついつい重要な情報が含まれた写真やファイルを保存してしまいがちです。

しかし、オンライン上に存在する情報には、いつでも情報漏洩の危険が存在することを今一度認識しておくべきでしょう。

また、今回のDropbox個人情報漏洩事件の場合、Dropboxは自社のサービスからの情報漏洩を否定しています。

流出した情報は他社サービスからの使い回しであったということですから、 特にオンラインストレージに重要な個人情報などを保管するのであれば、パスワードの安易な使い回しは絶対に避けましょう。