パスワードを忘れた? アカウント作成
12907099 story
セキュリティ

Dropbox、2012年に6800万件超のアカウント情報を流出させていたことを公表 38

ストーリー by hylom
いまさら発表 部門より

オンラインストレージサービスを提供するDropboxで、2012年に6800万人のアカウント情報を流出させていたことが明らかになった(INTERNET WatchMOTHERBOARDGIGAZINE)。

Dropboxは8月25日にユーザー向けに「2012年半ばから変更していないパスワード」について変更を求めた(過去記事)。この時点ではアカウント流出については触れられていなかったのだが、その後海外メディアがアカウント流出について報道、Dropbox側もこれを認める形となった。流出について伝えたMOTHERBOARDによると、流出したアカウントを含むデータ(4ファイル)は合計で約5GB、68,680,741アカウントの情報が含まれていたという。パスワードはハッシュ化されているが、Dropboxはたびたびパスワードのハッシュ化アルゴリズムを変更しており、一部は現在利用が推奨されないとされているSHA-1が使われているという。

なおDropboxによると、流出したアカウント情報を用いた不正アクセスは検知されていないという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年09月05日 13時47分 (#3075166)

    まさに、有効に機能したであろう事例が発生したわけだが、不要と言ってた人の意見が聞きたいな。

    サービサーが4年後(!)に公表するまでの期間、利用者はずっとリスクにさらされていたわけだが、
    不要論者にとって、このリスクは許容可能なのかね。

    • X秒毎定期変更論者『利用者がX+1秒後(!)に変更するまでの期間、利用者はずっとリスクにさらされていたわけだが、X+1秒毎定期変更論者にとって、このリスクは許容可能なのかね。』
      帰納により0秒毎定期変更以外は4年毎定期変更も1000年毎定期変更も危険である。

      というのは冗談として、これはリスクだけを見た相対的比較ではなくコスト対リスクの問題。ゼロか否かというだけなら定期的変更も漏洩発覚時の変更もどちらも効果はゼロではない。コストを含めた定量的比較が難しいから議論している。
      また確率的な事象に対して事例が一つある、なんて主張するのは、当り番号がわかってからあの時くじに投票しておけば、と同じで意味が無い。

      ところで定期変更の強制はパスワードの使い回しや脆弱化を助長しかねない。そのコストを必要論者はどのように許容しているのかな?

      親コメント
    • 不要なのは強制的な定期変更です。
      強制することでパスワードを忘れたり、メモをソーシャルハックされたり、単純なものにしてしまうリスクが高まるためです。
      自分で覚えられてなおかつ強力なものに変えるのなら何も問題はありません。
      ただ、定期変更しなくても流出を素直に発表するような信用できる企業なら十分問題ないと言えるでしょう。
      その後にすぐ変更すればいいからです。
      今回の問題はDropboxが信用できない企業だったということです。
      #他のところが流出しているのに何もなかったのは変だなとは思っていた

      親コメント
    • by Anonymous Coward

      パスワードの定期変更って、常に未知のセキュリティリスクに晒されてる場合には有効なのでは?未知じゃなくてもシステム側の能力不足で対処できないとか。

      リスクが明るみになってからパスワード変更するのは随時変更って言うんじゃない?今回のDropboxの対応はこっちでしょ。
      定期変更が不要って言ってる人でも、随時変更まで不要と言ってる人はいないんじゃない?

      • by Anonymous Coward

        別に漏洩以後の話に限定しないでも。
        定期変更の頻度にも寄るが、
        SHA1とbcryptの混在の後に漏洩した訳だから、
        最も変更頻度が高い人はbcryptの後に漏洩して更に変更してUser-Passの使えないセットが1個。
        頻度が低い又は変更しない人はSHA1が漏洩してSHA1がマッチするPassがずっと危険だった訳で。

        • by Anonymous Coward

          それは該当するユーザーのパスワードを変更しなければ使えないようにすべきだったってことですか?
          それは定期変更とは話が違うような?全ユーザーに対して定期変更を要求しなくても、個別に対応すればよかったという形で。
          いや、今回の問題を考える上では鋭い指摘だと思いますけど。

      • by Anonymous Coward

        半年に1回パスワードを変更していれば、リスクにさらされていた期間が半年以内で済んだでしょ。

        • by Anonymous Coward on 2016年09月05日 15時40分 (#3075248)
          データの漏洩期間が、半年なのか1年(10年でも) なのかに違いがあると思えないんだけど、半年ですむという点に何らかのメリットがあるの?
          親コメント
          • by Anonymous Coward on 2016年09月05日 16時48分 (#3075298)

            ええ…。

            6800万人のアカウントを悪用するとして、半年間の間にすべて不正アクセスして、利用することができるの?
            リストを闇市場で売買するとしても、半年間で無効になるとしたら、市場価値は激減するわけだけど。

            映画みたいな天才クラッカーが個人で全てやっていると思ってないか?
            悪用スキームまで準備万端整えた上で、パスワードを流出させましたってか?

            確か、数年前に流出したパスワードリストがクラックに使われたってニュースが、すらどでもストーリーになってたはず。

            親コメント
            • >半年間の間にすべて不正アクセスして、利用することができるの?
              全部クロールできるでしょ。別に一台のPCから行う必要はない
              1万台のゾンビがあれば6800台の面倒をみればいいだけだから十分現実的な数字だと思う
              作ってみただけアカウントも多いだろうからなおさら

              親コメント
              • 追伸:
                今回の件において、定期変更は無意味とは思わないけどそれほど効かないんじゃないかな、というだけの主張です
                Dropboxの対応はどーにもお粗末だったことについてはまったく異議ありません
                信頼はせずとも信用はしてたのにとほほ

                親コメント
              • by Anonymous Coward

                たとえば半年ごとにパスワード変更していたら、情報流出が半年間だけで済んだのでは?
                のこり3年半はダダモレでもどうでもいいという主張でしょうか?

              • by Anonymous Coward

                情報流出が半年間だけで済んだ、ねぇ

      • by Anonymous Coward

        そういうのは定期変更したとしても完全じゃないから、
        google様がやっているようにアクティビティを監視するべきなのでは。
        そこまででなくても前回のログイン日時とか表示されるだけでも助かる。

    • by Anonymous Coward

      本気で悪用するなら盗んですぐ悪用するだろうから、数十日ごとに変更しても大して意味ないんじゃないの

    • by Anonymous Coward


      https://blog.kaspersky.co.jp/dropbox-hack/12403/ [kaspersky.co.jp]

      定期変更不要論者は息してないのかな。
      どこいったんだろう。
      ぱよくに通じるものがあるな。

  • by headless (41064) on 2016年09月06日 1時27分 (#3075630)

    Dropboxは8月25日に(中略)。この時点ではアカウント流出については触れられていなかったのだが、

    件数には触れられてはいないものの、8月25日の時点でアカウント情報が流出したことは公表していると認識していました。

    (過去記事 [security.srad.jp])
    当時取得されたとみられるDropboxの認証情報(メールアドレスとソルトを加えてハッシュ化されたパスワード)の存在が確認されたとのこと。

  • by Anonymous Coward on 2016年09月05日 12時42分 (#3075121)

    DropBoxの信頼度ガタ落ち。

    • by Anonymous Coward

      ほんとひどい対応。

      >流出したアカウント情報を用いた不正アクセスは検知されていないという

      嘘ついてるとしか思えない。
      仮に本当だったとしても、こっそりパスワード変更させたあんたとこだけでしょ?
      よくもまぁそんな言い訳ができたもんだ。
      使い回してた人は他のサービスで被害にあってんじゃないの。

      • by Anonymous Coward

        "we don’t believe that any accounts have been improperly accessed”らしいから、信じるだけなら嘘じゃないのかな。過去4年のログイン記録全部照合するなんて手間かかってしょうがないし、検知する気がなかったら検知されないのは当たり前だよね。"Based on our threat monitoring"っていうのは、パスワード変更強制したあと古いパスワード使ってログインしようとしたかどうかだけじゃない?それも古いパスワードを正規のユーザが使おうとすることはありえることだから、ログイン失敗しても正規のユーザかどうか調べるつもりがなきゃ"improperly"かわからないよね。いつからモニターしたのか、どう判定しているのか全くわからない。

        • by Anonymous Coward

          ログイン時のIPアドレスやOSやブラウザ、アプリのバージョンは記録されてるようなので、仮に不審なアクセスがあればDropbox側から判別できるんじゃないでしょうか?
          Web経由でアクセスすればユーザー側でも確認できるので。

      • by Anonymous Coward

        メディアが報道しなければ一生黙っているつもりだったんだろうな
        そもそも最近になって流出が発覚したのかも怪しい

        Dropboxの信用は地に堕ちたね。利用を即時中止するレベル。

    • by Anonymous Coward

      >流出したアカウント情報を用いた不正アクセスは検知されていないという。
      そういう問題ではないよな。

      理想的にはパスワードの定期変更は強制されるべきではないものだけど、
      現実には定期変更した方が悪用される可能性が低くなることもある。
      これが、まさにその悪い例の一つか。

      • by Anonymous Coward

        でもサービス側がパスワードの保存仕様を変更することを前提にするのは難しすぎる。
        事前にいつ以後はハッシュを強化するからパスワード変更したほうがいいよ、みたいなアナウンスしてくれるといいけど。

  • by Anonymous Coward on 2016年09月05日 12時57分 (#3075130)

    ここにはユーザー多そうなのに。

    • どうせ流出するだろうと思って使ってたからなぁ。

      親コメント
    • by Anonymous Coward

      「2013以降に登録したから大丈夫」だと。

      そういう問題じゃないんだけど

      • by Anonymous Coward

        パスワード変更もしたし、2段階認証も導入した。
        これでも信用して使えないというなら、どこなら信用できるのだろうか?

        そもそもとして、オンラインストレージに絶対の信頼性など期待してないので、重要ファイルやプライバシーに関わるものはアップロードしていない。

        # ここにいる人はWebサービスからは情報が漏れることは前提で各種サービスを使っているでしょうね

        • by Anonymous Coward

          流出の原因が判明してないので
          2013年以降漏れてないとは言えないし、
          今現在も漏れてるかもしれない。
          アカウント情報が漏れたのだから
          ファイルが漏れないとは(現時点では)言えない。
          それに監視体制にも疑問がある。
          6800万件漏れてなぜ4年間も気付かなかったのか?

          とりあえず原因が判明するまでは
          使わない方がいいのでは?

          • by Anonymous Coward

            まぁ使いたくなければ使わなければいいし、個人的には現時点で使用を停止する材料でもないとは思う。
            あるかないかで流出リスクを判断するならオンラインストレージ自体使わないけど、個人的にそれなりの対策は取っているので。

    • by Anonymous Coward

      ここしばらくアクセスできませんでしたからね。

    • by Anonymous Coward

      流出した内の何千万件が試しに使ってみて放置されていたアカウントなんだろう

    • by Anonymous Coward

      情つよだから大丈夫、なんじゃない?
      クラウドに自分で暗号化しないまま重要なファイルを置くのがそもそも間違いだし。

      ログインセッションとか認証済みアプリなんかで不明なものがない限り大丈夫でしょう。
      昔アクセスして全部ファイル持って帰ってそれっきり、の可能性もあるけど、今更どうしようもない。
      2段階認証を採用してる今じゃもうアクセス不可能だし。

  • by Anonymous Coward on 2016年09月05日 16時48分 (#3075299)

    ownCloudを社内サーバ(ネット接続不可or接続はログ記録付プロキシ鯖経由で)で使えよ
    無料サービスにセキュリティとプライバシー期待するのが間違ってる

    • by Anonymous Coward

      有料プランもあるだろ

    • by Anonymous Coward

      ただしMS様のOneDriveは除く

  • by Anonymous Coward on 2016年09月05日 16時59分 (#3075310)

    流出騒ぎに紛れてこっそり通知してくるの本当汚い

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...