AppleInsiderスタッフ
· 2分で読めます
Dropboxは先日、セキュリティチームが2012年に発生した既知のデータ侵害から取得されたとみられるアカウント認証情報の一括入手を発見したことを受け、ユーザーに強制的にパスワードをリセットする可能性があることを通知しました。当初の発表では影響を受けたユーザーの正確な数は明らかにされていませんでしたが、火曜日の報道によると、その数は6,800万人をはるかに超えるとされています。
データベース取引コミュニティとLeakbaseの情報源から入手した一連のファイルの中に、 68,680,741件のDropboxアカウントに関する証拠が見つかりました。これにはメールアドレスやハッシュ化(ソルト化)されたパスワードなどが含まれていました。匿名のDropbox社員がデータの正当性を確認しました。
2012年に遡るハッキングによってどれだけのユーザーが影響を受けたかは不明だが、本日の報告は、以前に公表された侵害について詳細を報じた初めての報告である。
先週、Dropboxは、2012年半ば以降パスワードを変更していないユーザーに対し、パスワード変更を促すメッセージが表示される可能性があることを通知するメールを送信しました。同社はこの措置は「あくまで予防措置」であるとし、不便をかけたことを謝罪し、詳細を知りたいユーザーをヘルプセンターのウェブページへ誘導しました。FAQではパスワードリセットの手順が詳しく説明されており、ページのほぼ中ほどで、この新しい手順の背景にある理由が説明されています。
当社のセキュリティチームは、ユーザーに対する新たな脅威に常に注意を払っています。こうした継続的な取り組みの一環として、2012年に取得されたと思われるDropboxユーザーの古い認証情報(メールアドレスとハッシュ化・ソルト化されたパスワード)が発見されました。分析の結果、これらの認証情報は、当時公表したインシデントに関連している可能性が示唆されています。弊社の脅威監視とパスワード保護方法に基づき、アカウントへの不正アクセスは確認されておりません。ただし、予防措置の一つとして、2012年半ば以降パスワードを変更していない方は、次回ログイン時にパスワードの更新をお願いいたします。
マザーボードのユーザーデータキャッシュ内では、約 3,200 万件のパスワードが「bcrypt」ハッシュ関数を使用して保護されており、残りはソルト付き SHA-1 ハッシュによって保護されていると考えられます。
「先週実施したプロアクティブなパスワードリセットは、影響を受ける可能性のあるすべてのユーザーを対象としていることを確認しました」と、Dropboxのトラスト&セキュリティ責任者であるパトリック・ハイム氏は述べています。「このリセットは予防措置として実施しており、2012年半ば以前の古いパスワードがDropboxアカウントへの不正アクセスに利用されることを防ぎます。Dropboxのパスワードを使い回している可能性がある場合は、他のサービスのパスワードもリセットすることをお勧めします。」
