現在、ビジネスでもプライベートでも多くの人が活用しているのがクラウドサービスです。
「クラウドサービス」とはインターネットを活用して利用するサービスの総称になりますが、その中で「Dropbox」をご利用の方は多いのではないでしょうか。
でも、Dropboxもインターネット経由で利用するサービスなので、セキュリティ上の事故は誰でも心配になりますよね。そこで、「Dropboxでもセキュリティ事故が発生しているのか?」と気になる方もいるでしょう。
ということで、この記事ではDropboxで発生した事故事例2例と2019年現在のセキュリティ対策をご紹介します。
Dropboxで発生した事故事例2例
クラウドサービスとは、インターネット上のサーバーなどの空間にアクセスすることで、各種サービスが利用できるサービスの総称になります。そのクラウドサービスにも様々な種類があり、その中の一つがDropboxを含めたクラウドストレージサービスです。
クラウドストレージは提供会社がインターネット上に用意した保管庫(ストレージ)に様々なデータが保存できるサービスになり、その中で最も多くの人が利用しているサービスが「Dropbox」です。
(引用:Dropbox)
Dropboxはチーム向けと個人向けのサービスが用意され、名前とメールアドレス、パスワードを入力するだけで簡単に登録できます。スマートフォン(Android、iPhone)でも利用できるので、チームで登録すればチーム内のどの端末からでもデータの閲覧や編集ができるようになります。
そのDropboxもインターネットを経由してデータなどを保存するので、情報漏えいなどの事故は心配になりますよね。
Dropboxで発生したセキュリティ事故事例2例
そこで、Dropboxで過去に発生したセキュリティ上の事務事例を2例ご紹介します。
事例➀ Dropboxのセキュリティ障害(2011年6月)
2011年に発生したセキュリティ事故になりますが、その被害内容は現地時間の2011年6月19日に約4時間、任意のパスワードで他のあらゆるユーザーのアカウントにアクセスできる状態になっていたというものです。
その原因についてDropbox側の見解は、「コードアップデート」によって「Dropboxの認証メカニズムに影響を及ぼすバグが発生した」ことが原因だったとしています。
その後、当時の共同創設者兼最高技術責任者(CTO)Arash Ferdowsi氏はブログ投稿で「これは決して起きてはならないことだ。われわれは現在、Dropboxのコントロール機能の詳細な確認作業を行っているところで、今後こうした問題が起きるのを防ぐため、さらなるセーフガードを実装するつもりだ」というコメントを発信しています。
(参照:CNET Japan|Dropboxでセキュリティ障害–一時的にパスワード不要のアクセス可能に)
事例➁ アカウント情報流出、被害は6800万件超(2016年8月)
こちらは少し衝撃的な事故でしたが、Dropboxでは2012年に6,800万件を超えるメールアカウントがハッカーに盗まれていたが、2016年8月になってパスワード情報も流出していたことが分かったというものです。
ユーザーのメールアドレスとハッシュ化されたパスワードを記録したファイルをデータベース取引関係筋から入手して調べたところ、そのファイル4本に計6,868万741件のアカウント情報が含まれていることが判明し、Dropboxでは同社のユーザーのものであることを確認したと発表しています。
Dropboxでは2012年のハッキングが発生した際、全てのユーザーに対して「2012年半ば以前にアカウント登録をしていて、それ以降一度もパスワードを変更していない場合は、次回ログイン時にパスワードのリセットが必要」と配信していましたが、2016年8月になってこの事例が発覚しています。
(参照:ITmedia|Dropboxのアカウント情報流出、被害は6800万件超に)
事例➁に関して覚えている方もいるのではないでしょうか。
Dropboxでもこのようにセキュリティ上の事故は発生していますが2016年8月以降は発生していません。
Dropboxでの2019年現在のセキュリティ対策
ここまでDropboxの事故事例を紹介してきましたが、現在は大丈夫なの?という方もいますよね。そこで、この項では2019年現在のDropboxのセキュリティ対策をご紹介します。
対策➀ データの暗号化
Dropboxでは、サーバーに保存されたデータをブロックに分けて保存され、ブロックごとに256 ビットのAEC( Advanced Encryption Standard)暗号化を活用しています。
このAEC暗号化によって、不正アクセスやハッキングによる情報漏えいを防いでいます。
対策➁ 2段階認証
2 段階認証とは、通常は ID とパスワードを入力すればログインできますが、さらにセキュリティコードまたはセキュリティキーの入力を要求することで不正ログインが困難になる技術です。
Dropboxでは主に上記の2つのセキュリティ対策で情報漏えいなどの事故を未然に防いでいます。しかし、利用するユーザー側もセキュリティ対策ソフトを利用するほか、定期的にパスワードを変更するなどのセキュリティ対策は行う必要があります。
Dropboxのセキュリティ対策の詳細を知りたい方は「Dropbox|Dropbox の安全性は?気になるセキュリティについて」こちらで紹介されているので気になる方はご覧ください。
まとめ
今回はクラウドストレージサービス「Dropbox」の事故事例2例と現在のセキュリティ対策をご紹介しました。
クラウドストレージを含めたクラウドサービスはインターネットを活用したサービスなので、今回ご紹介したようなセキュリティ上の事故が発生するのではないかと心配になるものです。
ですが、Dropboxを含めたクラウドサービスを提供する会社では、日々セキュリティ対策を強化するための取り組みを行っているので、過度に心配する必要はありません。当然、利用するユーザー側も最低限のセキュリティ対策は行いましょう。
