Dropboxが6800万件超のアカウント情報を流出させていたことが明らかに

By Ian Lamont

クラウドストレージサービスのDropboxが、なんと6800万件分ものアカウント情報をハッカーに盗まれていたことが明らかになりました。

Hackers Stole Account Details for Over 60 Million Dropbox Users | Motherboard
http://motherboard.vice.com/read/hackers-stole-over-60-million-dropbox-accounts


Dropbox hackers stole e-mail addresses, hashed passwords from 68M accounts | Ars Technica UK
http://arstechnica.co.uk/security/2016/08/dropbox-hackers-stole-email-addresses-hashed-passwords-68m-accounts/


Dropboxはアカウント情報が漏洩していることに気づいた際、ユーザーにパスワードの変更を求め、「既にパスワードのリセットを徹底しており、実際に不正アクセスの形跡はない」と主張しました。しかし、Dropboxがパスワードの変更を一部ユーザーに求めたのは2016年の8月末のことで、その際にはどれくらいの規模でアカウント情報の流出が起きたのかは明かされていませんでした。

そんな中、ニュースサイトのMotherboardはデータベース取引コミュニティの情報筋から、Dropboxユーザーのメールアドレスとハッシュ化されたパスワード、つまりはDropboxから流出したと思われるアカウント情報が記録されたデータファイルを入手します。ファイルは全部で4つあり、合計で5GBのデータには6868万741件分のアカウント情報が記されていました。Dropboxの幹部にアカウント情報の真偽を確かめたところ、Motherboardが入手した約6800万件分のアカウント情報はDropboxユーザーのものであることが明らかになっています。

By Martin Lafrance

Dropboxがユーザーに対してアカウントのパスワードリセットを求めたのは2016年8月最後の週の初めでした。その際Dropboxはどの程度の規模のアカウントがパスワード漏洩に関連しているのかを公表せず、「我々のセキュリティチームは常にユーザーに対する新しい脅威を監視している。その中で、2012年に何者かが入手したと思われるDropboxユーザーの古いアカウント情報が検出された。我々の分析では、このアカウント情報は当時起きた出来事(2012年に起きたハッキング事件)に関連している」とコメントしていました。なお、Motherboardは今回発見された約6800万件のアカウント情報は、2012年のハッキング事件と関連するものと断定しています。

流出したアカウント情報のうち、3200万件分のパスワードは「bcrypt」と呼ばれる手法で強力にハッシュ化されていたそうで、Motherboardは「ハッカーもこのハッシュ化されたデータから実際のパスワードを入手することは困難だろう」としています。しかし、残り半分のパスワードについては脆弱性が指摘されている「SHA-1」という手法でハッシュ化されていたそうです。なお、パスワードをハッシュ化する方法が異なっているのは、Dropboxが2012年以来、数回にわたってハッシュ化の方法を変更しているためです。

なお、Dropboxは流出したアカウント情報を用いた不正アクセスは検知されていない、としています。

Resetting passwords to keep your files safe | | Dropbox Blog
https://blogs.dropbox.com/dropbox/2016/08/resetting-passwords-to-keep-your-files-safe/

・関連記事
JTBから700万人分の個人情報流出、パスポート情報も - GIGAZINE

史上最大級6億4200万件ものアカウント情報が流出してダークウェブで販売、サイト側は流出を把握せず - GIGAZINE

Gmail・Hotmail・Yahoo!などから2億7200万件のメールアドレスとパスワードが流出したことが判明 - GIGAZINE

自分のメールアドレスやID名で検索するとハッキングされて過去の流出リストに入っていたかどうかがわかる「Have I been pwned?」 - GIGAZINE

グリコのネットショップから約8万件の名前・クレカ情報・Eメールなど個人情報が流出した可能性 - GIGAZINE

Amazonのカスタマーサービス経由でアカウント情報が流出したことが判明 - GIGAZINE

2435

in セキュリティ, Posted by logu_ii