Dropboxが6800万件超のアカウント情報を流出させていたことが明らかに

By Ian Lamont

クラウドストレージサービスのDropboxが、なんと6800万件分ものアカウント情報をハッカーに盗まれていたことが明らかになりました。

Hackers Stole Account Details for Over 60 Million Dropbox Users | Motherboard
http://motherboard.vice.com/read/hackers-stole-over-60-million-dropbox-accounts

Dropbox hackers stole e-mail addresses, hashed passwords from 68M accounts | Ars Technica UK
http://arstechnica.co.uk/security/2016/08/dropbox-hackers-stole-email-addresses-hashed-passwords-68m-accounts/

Dropboxはアカウント情報が漏洩していることに気づいた際、ユーザーにパスワードの変更を求め、「既にパスワードのリセットを徹底しており、実際に不正アクセスの形跡はない」と主張しました。しかし、Dropboxがパスワードの変更を一部ユーザーに求めたのは2016年の8月末のことで、その際にはどれくらいの規模でアカウント情報の流出が起きたのかは明かされていませんでした。

そんな中、ニュースサイトのMotherboardはデータベース取引コミュニティの情報筋から、Dropboxユーザーのメールアドレスとハッシュ化されたパスワード、つまりはDropboxから流出したと思われるアカウント情報が記録されたデータファイルを入手します。ファイルは全部で4つあり、合計で5GBのデータには6868万741件分のアカウント情報が記されていました。Dropboxの幹部にアカウント情報の真偽を確かめたところ、Motherboardが入手した約6800万件分のアカウント情報はDropboxユーザーのものであることが明らかになっています。

By Martin Lafrance

Dropboxがユーザーに対してアカウントのパスワードリセットを求めたのは2016年8月最後の週の初めでした。その際Dropboxはどの程度の規模のアカウントがパスワード漏洩に関連しているのかを公表せず、「我々のセキュリティチームは常にユーザーに対する新しい脅威を監視している。その中で、2012年に何者かが入手したと思われるDropboxユーザーの古いアカウント情報が検出された。我々の分析では、このアカウント情報は当時起きた出来事(2012年に起きたハッキング事件)に関連している」とコメントしていました。なお、Motherboardは今回発見された約6800万件のアカウント情報は、2012年のハッキング事件と関連するものと断定しています。

流出したアカウント情報のうち、3200万件分のパスワードは「bcrypt」と呼ばれる手法で強力にハッシュ化されていたそうで、Motherboardは「ハッカーもこのハッシュ化されたデータから実際のパスワードを入手することは困難だろう」としています。しかし、残り半分のパスワードについては脆弱性が指摘されている「SHA-1」という手法でハッシュ化されていたそうです。なお、パスワードをハッシュ化する方法が異なっているのは、Dropboxが2012年以来、数回にわたってハッシュ化の方法を変更しているためです。

なお、Dropboxは流出したアカウント情報を用いた不正アクセスは検知されていない、としています。

Resetting passwords to keep your files safe | | Dropbox Blog
https://blogs.dropbox.com/dropbox/2016/08/resetting-passwords-to-keep-your-files-safe/