\r\n\r\n
今までに、「Another Day, Another hack」というフレーズを人生で何度も聞いたことがあると思いますが、今回もそのリストに加えましょう。衝撃的なことに、6800万ものDropboxアカウントが侵害された可能性があるのですから。
2012年、Dropboxがハッキングされたという憶測が流れたことをご記憶でしょうか。当時、Dropboxは「ユーザーのメールアドレスが記載されたプロジェクトファイル」以外が持ち去られたことを否定していました。
2016年8月の時点で、2012年半ば以前にDropboxで作成された6800万以上のユーザーアカウントが、関連するパスワードがネット上に流出していたらしいことが確認されています。
報道時点では、流出した情報が現れるまでに4年もかかった経緯や理由はまだ不明ですが、とりあえずDropboxは、影響を受けたと思われるアカウントにパスワードをリセットするよう促すメールを送るという予防策をとっています。
2012年、Dropboxは、社員がLinkedInで以前使用したパスワードを社内システムで再利用し、一部のユーザーデータが盗まれたと発表した。LinkedIn自身も2012年にデータ漏洩に見舞われたことがある。
当時、Dropboxは、ハッカーがアクセスしたのは顧客の電子メールアドレスが含まれるプロジェクト文書だけだったと発表していました。このため、Dropboxのユーザーを狙ったスパムメールが大量に発生し、Dropboxは調査してセキュリティ機能を追加する必要がありました。
2016年8月中旬、Dropboxが2012年半ば以降にパスワードを変更していない顧客には次回ログイン時にプロンプトが表示されるという内容のメールを送り始めるまで、Dropboxの侵害について誰もが沈黙を守っていました。しかし、ハッキングや情報漏えいに関する明確な言及はなく、Dropboxはこのメールを送ったユーザーの数を報告していません。
これらのメールが送信された直後、Motherboardは約6,900万人のDropboxユーザーのメールアドレスと暗号化されたパスワードが含まれると思われる約5GBのデータを受け取りました。2012年のハッキング当時、Dropboxのユーザー数は1億人に達したばかりだったので、今回の流出は当時の総ユーザー数の3分の2以上を占めたことになります。
同サイトの創設者であるトロイ・ハント氏は、データの中に自分と妻の**を発見し、ハッキングの正当性を確認した。そして、流出の影響を受けたHIBPユーザー114,136名に通知した。
Dropboxは、流出したデータが2012年の情報漏洩によるものであることを確認する声明を発表し、パスワードのリセットは「影響を受けるすべてのユーザーを保護する......リセットは、2012年半ば以前にDropboxにサインアップしたユーザーで、それ以降パスワードを変更していないユーザーにのみ影響する」と述べました。"また、彼らがとった措置は、"影響を受けるすべてのアカウントを保護し、(彼らの)情報では、これは6000万以上の範囲内であった "とコメントしている。
Dropboxに連絡して侵害の範囲を確認したところ、「これらのアカウントに不適切なアクセスがあったという証拠はない」とのことで、被害を受けたユーザーにとっては一安心といったところでしょう。
情報漏えいはどんなものであれ、ユーザーのメールアドレスやパスワードがインターネット上に流出する可能性があることは、それだけで恐ろしいことです。
しかし、Dropboxのハッカーにとって明るい材料となったのは、パスワードの暗号化でした。ハッキング当時、Dropboxの内部パスワードの安全性が明らかに不足していたにもかかわらず、Dropboxは実際に、最も安全なハッシュアルゴリズムの一つであるbcryptを使ってすべてのデータを暗号化し、パスワードの安全性を高める措置を取り始めています。
ただし、ハッキング時にbcryptに転送されたのはパスワードの(約)半分だけで、さらに3400万件のパスワードは安全性の低い暗号化方式であるSHA-1を用いて暗号化されていたことに注意が必要です。Dropboxは、SHA-1パスワードにランダムなテキスト文字列を追加して暗号化し、パスワードの解読を難しくしているため、これらのパスワードも失われることはなかったのです。
この保護は、どんな悪質なタイプでもパスワードの解読を防ぐことができますが、これは確実ではないはずです。ハッカーから身を守るための対策を講じ、オンライン上の自分を将来にわたって安全に保つために、自分自身のセキュリティチェックをぜひ行ってください。
Dropboxは該当するアカウントに対してパスワードのリセットを行いましたが、特にしばらくパスワードを変更していない場合は、パスワードをリセットすることは有意義な作業です。
Dropboxには、お客様のアカウントを保護するための様々なセキュリティ設定があります。二要素認証(2FA)は、アカウント設定で有効にすることができます。電話番号を入力すると、Dropboxから期間限定のユニークなコードがSMSで送信され、ログイン時に入力する必要があります。
また、Dropbox モバイル アプリケーションまたはデスクトップ アプリケーションから、どのデバイスがアカウントへのアクセスを許可されているかを確認することもできます。セッションには、Dropbox アカウントにログインしているブラウザが表示されます。
セッションやデバイスが特定できない場合は、右の×をクリックして削除し、アカウントからアクセスを削除することができます。不審な点がなくても、徹底したい場合は、すべてのセッションとデバイスを削除し、使用しているデバイスでアプリケーションにログインし直すだけでよいのです。
ほとんどの主要なウェブサイトは二要素認証に対応しており、ハッキング攻撃から身を守る最善の方法の一つです。あなたやあなたの**へのアクセスがなければ、ハッカーはあなたのアカウントにログインすることはできません。
利用するWebサイトが2要素認証に対応しているかどうかがわからない場合は、対応しているWebサイトのデータベースを管理している2要素認証で確認することができます。
パスワードの流出が悪いニュースである主な理由の一つは、多くの人がサイト間でパスワードを再利用することが多いことです。
Dropboxもこの問題を認め、"Dropboxのアカウントは保護されていますが、他のサイトでパスワードを再利用している可能性がある影響を受けたユーザーは、それらのサイトでの保護措置を講じる必要があります。"と述べています。
2FAを有効にした場合、最善の予防策は、各サイトでユニークで強力なパスワードを確実に使用することです。これには、Dropboxのパスワードを他のアカウントで再利用していないことを確認し、保証することも含まれます。
パスワードを再利用する主な理由の1つは、パスワードをすべて覚えておくことが困難な場合が多いからです。幸いなことに、パスワードマネージャーは、長いパスワードのリストを管理するために現場に来ています。
パスワードマネージャーはそれぞれ微妙に異なりますが、どれもパスワードを保存し、中には安全なパスワードの生成やパスワードの自動変更機能などの他の機能を提供するものもあります。
LastPassは代表的なパスワード管理ツールで、セキュリティチャレンジツールがあります。LastPassにデータをインポートすると、すべてのパスワードを分析し、その強度に応じて評価し、アカウントが侵害に関与している場合、または他のサイトで同じパスワードを使っている場合に警告を発します。そして、弱いパスワードや漏洩したパスワードは、スコアカードのページから変更することができます。
Pwendの創設者であるTroyHuntが、自分と妻の詳細をデータで確認し、ドリップを最初に確認した一人であることを紹介しました。そして、対象となるHIBPのユーザー全員にメールを送った。
加入料は高くなく、メールアドレスを入力するだけで、もしハントがあなたのアカウントが侵害されたというデータを取得したら、HIBPサービスがあなたに警告のメールを送ります。このサービスにはデメリットがなく、万が一の漏れを防ぐのに最適な方法の一つです。
ハッキング、データ漏洩、パスワード漏洩は、2016年のデジタルライフの一部となりました。LinkedInや悪名高いAshley Madisonなどのサイトが注目のハッキングにさらされ、今後もさらに増えることが予想されます。
最善のアドバイスは、自分のアカウントとデジタル・アイデンティティを保護するために、積極的な対策を取るようにすることです。そうすれば、避けられない事態が起こり、他のサイトがハッキングされてパスワードが流出したときに、最善の保護が受けられるのです。
画像出典:Shutterstock経由Raxpixel.comウェブサイト、Shutterstock.comウェブサイト経由welcomia