Dropboxのセキュリティ問題のタイムライン

Dropboxは利用可能な最初の主要なクラウドストレージサービスであり、業界の多くの先駆けとなってきました。悲しいことに、長年にわたり多くの過ちも犯してきました。最悪のものは2012年のDropboxの侵害であり、業界が見てきた中で最大規模のものでした。お客様がここを依然として利用すべきプロバイダーであるかどうかを判断できるよう、Dropboxのセキュリティ問題のこのタイムラインをまとめました。

この記事を読んだ後、乗り換える準備が整いましたら、Dropboxアカウントを削除するためのクイックガイドをご覧ください。最後に、Dropboxの代替案を検討されているお客様のために、より安全なProton Driveに関する情報も以下で共有します。

• Dropboxのセキュリティ侵害：タイムライン
  • 2011年
  • 2012年
  • 2013年
  • 2017年
  • 2018年
  • 2022年
• Dropboxの代わりに何が使えますか？

Dropboxのセキュリティ侵害：タイムライン

Dropboxは2008年に設立され、2011年以降、最近は多少落ち着いているものの、ほぼ毎年何らかの侵害を経験しています。それでも、どのクラウドストレージサービスにファイルを信頼して預けるかを決める際には、その実績を確認することが重要です。

2011年：Dropboxのパスワードバグ

Dropboxの最初のスキャンダルは、設立からわずか3年後の2011年6月に発生しました。バグが原因で、約4時間の間、Dropboxシステムは入力されたあらゆるパスワードを受け入れてしまいました(新しいウィンドウ)。つまり、ユーザー名またはメールさえ知っていれば、誰でもどのアカウントにもアクセスできたということです。これは安全なユーザー名を使用すべき良い例です。

とはいえ、実際に問題を修正するのに、通知を受けてからDropboxチームが要した時間はわずか5分であったことも記しておくべきでしょう。しかし、その4時間の間、すべてのDropboxアカウントは無防備な状態でした。その時間内に攻撃者が脆弱性に気づかなかったのは、純粋に運が良かっただけでした。

2012年：Dropboxの侵害、6800万個のパスワードが流出

2012年7月、Dropboxは、一部のユーザー名とパスワードが他のサイトから盗まれ、Dropboxへのアクセスに使用されたと報告(新しいウィンドウ)しました（これはサイトごとに個別に強力なパスワードを作成するための良い理由です）。Dropboxは、不正アクセスをより困難にするためのセキュリティ対策を導入して対応しました。

ここまでは問題ありませんでしたが、2016年になって、Dropboxがすべての事実を語っていなかった(新しいウィンドウ)ことが明らかになりました。2012年にハッキングされた中には、LinkedInでも会社のパスワードを使用していたDropboxの従業員も含まれていたのです。これにより、攻撃者はDropboxのシステムへのアクセス権を手に入れました。

2016年にこの話が発覚した際（最初の情報侵害から4年後）、約6800万人のユーザーが被害に遭っていたことがすぐに明らかになりました。これはクラウドストレージ史上最大のハックであり、インターネット史上でも最大級の事件でした。さらに、Dropboxという巨大企業が被害の全容を認めるまでに4年もかかったというスキャンダルもありました。

2013年：PRISM疑惑

2013年、エドワード・スノーデン氏がThe Guardian紙に対し、米国政府がPRISMプログラムを通じて世界中の人々を監視していたことを暴露した際、挙がった名前のひとつ(新しいウィンドウ)がDropboxでした。スノーデン氏によると、同社は米国当局と喜んで協力しており、自らを「PRISMのパートナー志望(新しいウィンドウ)」と称していたとのことです。

Dropboxが実際にPRISMプロジェクトに参加したかどうかは不明ですが（同社は一貫して否定しています）、大規模な監視共謀への参加に熱心であると評されるクラウドストレージサービスに対し、お客様は一度立ち止まって考える必要があるでしょう。

2017年：復活したデータ

2017年1月、一部のDropboxユーザーが非常に奇妙な事態に遭遇しました。何年も前に削除したはずのファイルが、突然Dropboxアカウントに再表示されたのです。調査の結果、Dropboxは、ファイルやフォルダーが永久に削除されるのを妨げるバグがコードに紛れ込んでいたことを発見しました(新しいウィンドウ)。

一見無害に思えるかもしれませんが、ファイルを削除するには通常それなりの理由があります。破棄した後も機密データの可能性があるものが幽霊のように存在し続けていたという事実は、非常に深刻な問題です。これもまた、Dropboxのような企業に期待するようなことではありません。

2018年：同意なしのデータ共有

2018年7月、ハーバード大学による興味深い研究(新しいウィンドウ)が発表されました。これは何千人もの人々の共同作業をデータポイントとして使用し、チームがどのように連携できるかを判断したものです。非常に独創的な発見を伴う興味深い内容でしたが、使用されたデータはDropboxからのものであり、関係者はこのようにデータを使用することについて一度も尋ねられませんでした(新しいウィンドウ)。

研究者に送信される前にデータが匿名化されていたとはいえ（記事の初版では明記されていませんでした）、信頼してデータを託したサービスが、本人の承諾なしに、匿名かどうかにかかわらず第三者とデータを共有したという事実は、不快に感じられるはずです。

さらに、デジタル文書から名前が削除されていても個人の身元を再構築する方法があるため、匿名データは完全な匿名ではないという主張も成り立ちます。

2022年：フィッシング攻撃の再来

直近のDropboxのスキャンダルは2022年11月に発生しました。フィッシング攻撃により、Dropbox従業員の認証情報が再び盗まれました(新しいウィンドウ)。

今回、攻撃者は開発者がコードを保存するサイトであるGitHubを装いました。このケースでは、泥棒はDropboxの従業員とお客様の両方のメールアドレスとパスワードを持ち去りました。また、攻撃を察知したのはDropboxではなくGitHub自体であったことも注目に値します。

これに対し、Dropboxはお客様のファイルが危険にさらされることはなく、Dropboxを構成する主要なモジュール（露出した場合にシステム全体を脅かす可能性のある部分）も危険にさらされなかったと述べました。同社にとっては幸いでしたが、メールアドレスをサイバー犯罪者に悪用された人々にとっては何の慰めにもなりません。

Dropboxの代わりに何が使えますか？

上記のタイムラインが示す通り、Dropboxは現状よりも、また過去の実績よりもはるかに改善の余地があります。LastPassほどの悪さではないにせよ、何度も失態を演じてきました。多くの場合、インシデントの範囲と深刻度はDropboxによって報告されておらず、認識や透明性の欠如が示唆されています。そして多くの場合、侵害は不十分なセキュリティ慣行によって引き起こされてきました。

特に、Dropboxにエンドツーエンド暗号化が欠如していることは懸念事項です。クラウドストレージサービスがエンドツーエンド暗号化でファイルを保護している場合、データはクラウドに送られる前にお客様のデバイス上で暗号化されます。その後、万が一クラウドサーバーが侵害されても、データが流出することはありません。これらやその他の詳細については、Dropboxのセキュリティに関する記事で詳しく解説しています。

主要なクラウドストレージプロバイダーのこのような欠陥を念頭に置いて開発されたのが、Proton Driveです。これは最高水準のセキュリティと快適なユーザー体験を兼ね備えた、安全なエンドツーエンド暗号化の代替手段です。たとえ私たちがお客様のデータを見たいと思ったとしても（実際はお客様のプライバシーを保護することが弊社のビジネスモデルであるため、そのようなことは望んでいません）、物理的にアクセスすることは不可能です。

このプライバシーの約束は、設立以来Protonの中核にあります。そして、サポーターの皆様のおかげで、外部からの資金調達を必要とせずに活動を続けてくることができました。したがって、弊社の唯一の義務はお客様、すなわち私たちのコミュニティに対してのみ存在します。

安全でプライベートなクラウドストレージの選択肢が良いとお考えであれば、Proton Driveに無料で参加して、プライベートなウェブがどのようなものか体験してみてください。