Dropboxの大規模データ流出で機密顧客情報が流出

注：この記事で紹介されている見解は、筆者の視点と意見であり、必ずしもCoinliveやその公式方針を代表するものではない。

クラウド・ストレージ・プラットフォームのDropboxは、ハッカーによる重大なデータ侵害を確認した。

この侵害により、プラットフォームのバックエンドに不可欠なサービスアカウントへの不正侵入が可能となった。

Dropbox Signのウェブサイトで発表されたデータ流出通知によると、以下の通りである。 侵害されたアカウントは、アプリケーションや自動化されたサービスを実行するための人間以外のアカウントであり、攻撃者は本番環境、ひいては顧客データベースにアクセスすることができた。

ハッカーはこの侵害されたデータベース内で、顧客の電子メール、ユーザー名、電話番号、ハッシュ化されたパスワード、一般的なアカウント設定、APIキー、OAuthトークン、多要素認証（MFA）の詳細など、さまざまな機密情報にアクセスした。

驚くべきことに、アカウント登録はしていないものの、同サービスを通じて文書を受け取ったり署名したりしていた個人も影響を受け、メールアドレスや氏名が流出した。

侵害の深刻さにもかかわらず、Dropbox Signは、同社の知る限り、攻撃者が顧客のアカウント内容や支払い情報にアクセスしたことを示唆する証拠はないとユーザーに保証している。

すべてのDropboxユーザーが影響を受けるのか？

同社の調査結果によると、Dropbox Signのハッキングは孤立したインシデントのようで、他のDropbox製品への影響はない。

したがって、現在の情報では、同社の主要サービスであるDropboxクラウド・ファイル・ストレージのユーザーに対する脅威はない。

これには、SignアカウントがメインのDropboxアカウントに接続されているユーザーも含まれます。

情報漏洩に対するDropboxの対応

4月24日にデータ流出が発覚した後、Dropboxは影響を最小限に抑え、ユーザーデータを保護するための対策を実施した。

これらの措置には、顧客アカウントのセキュリティを確保するために、ユーザーのパスワードをリセットし、すべての接続機器からログアウトすることが含まれる。

さらに、同社はすべてのAPIキーとOAuthトークンを積極的にローテーションし、これ以上の不正アクセスを防止している。

法執行機関は情報漏洩について通知しており、Dropbox Signは当局の捜査に協力することを約束します。

一方、Dropboxは影響を受けたユーザーに積極的に連絡を取り、データのセキュリティを強化するための追加手順を案内している。

また、クラウドストレージ・プラットフォームは、今後同様の事態が発生しないよう、今回の事故について徹底的な検証を行っている。

Dropbox サインハックの影響を受けたら？

Dropboxは、侵害の影響を受けたすべてのDropbox Signアカウントのパスワードをリセットするという積極的な措置を取った。

サイバーセキュリティ・ソリューション・プラットフォームのカスペルスキーによると パスワードを更新する必要があることを意味します。

彼らは、以前のパスワードを少し修正するよりも、まったく新しいパスワードを作成することを強く勧めている。

パスワード・マネージャーを使って長くてランダムな文字の組み合わせを生成し、それを安全に保管するのが最善です。

ハッカーは二要素認証トークンも入手しているので、リセットすることが不可欠だ。

SMS認証を使用していた場合、リセットは自動的に行われました。

ただし、認証アプリを使用していた場合は、手動でリセットする必要がある。

認証アプリを Dropbox Sign サービスに再登録するだけです。

また、API 経由で Dropbox Sign をご利用の場合は、新しい認証キーを生成する必要があります。

最後に、他のサービスでも同じパスワードを使用している場合は、すぐに変更することをお勧めします。特に、Dropboxサインアカウントと同じユーザー名、メールアドレス、電話番号を使用している場合は注意が必要です。

この場合も、パスワード・マネージャーを活用することで、このプロセスを簡素化し、中小企業のセキュリティ・ソリューションの基本である全体的なセキュリティを強化することができる。

カスペルスキーのユージン・カスペルスキー最高経営責任者（CEO）は、今回のハッキングがユーザーにとって何を意味するのか、また何をすべきなのかについて詳しく語った。

ダミーのための情報漏えい対策：被害者はどうすべきか？

あなたの名前や住所、クレジットカード情報などの個人情報が金庫にしまってあると想像してみてほしい。

データ漏洩とは、誰かが金庫に侵入してあなたの情報を盗むようなものだ。

これは、電子的に保存された機密情報に不正にアクセスすることである。

このような事態は、企業やウェブサイト、あるいは個人的なデバイスにさえ起こりうる。

ハッカーはこの情報を盗んで、個人情報の窃盗や金融詐欺を働いたり、ブラックマーケットで売ったりするかもしれない。

被害者であろうとなかろうと、情報収集と備えは怠らない方がいい。

以下のことに注意してほしい：

パスワードを変更する： 漏えいした情報にリンクしているアカウントのパスワードを直ちに更新する。各アカウントには、強力で一意のパスワードを使用すること。

口座を監視する： 銀行取引明細書や信用報告書に不審な動きがないか目を光らせておくこと。

違反を報告する： 企業の情報漏えいによって自分の情報が漏洩した疑いがある場合は、企業に直接報告してください。また、お住まいの国の関連当局に報告するのもよいでしょう。

信用凍結や個人情報盗難防止を検討する： 場合によっては、信用情報に凍結をかけることで、信用枠への不正アクセスを防ぐことができます。個人情報盗難防止サービスも、あなたの情報が悪用される兆候を監視することができます。

予防は常に治療に勝る。

オンラインで共有する情報には慎重になること： ソーシャルメディアや公共のウェブサイトで個人情報を過度に公開しないこと。

フィッシング詐欺にご注意ください： フィッシングメールやメッセージは、あなたを騙して悪意のあるリンクをクリックさせたり、あなたの情報を明らかにさせようとします。

強力なセキュリティソフトを使用する： アンチウイルスおよびアンチマルウェアソフトウェアは、オンライン上の脅威からデバイスを保護するのに役立ちます。

重要なのは、迅速に行動し、さらなる被害から身を守るための手段を講じることであることを忘れてはならない。