Dropbox、ハッキングされたことを否定--パスワード700万件流出の疑いに対して見解

Claire Reilly (CNET News) 翻訳校正: 編集部2014年10月15日 07時59分
  • このエントリーをはてなブックマークに追加

 Dropboxが、セキュリティを大きく侵害したとするハッカーらの脅迫を受けている。ハッカーらはおよそ700万人のユーザーのログイン情報を盗んだと主張しており、Bitcoinと引き換えにさらに多くのパスワード情報を公開すると約束している。

 しかし、Dropboxはハッキングされたことを否定しており、パスワードはサードパーティーサービスから盗まれたものだと述べた。

 米国中部夏時間10月13日午後4時10分にPastebinのエントリとして、400件の電子メールアドレスと対応するプレーンテキストのパスワードのリストが投稿された。同エントリによると、このリストは、ハッキングによって大量に取得されたDropboxのログイン情報の一部だという。

 すべて「B」から始まる400件の電子メールアドレスに対するログイン情報には、「第1回の公開...まずは事始めに」というラベルが付けられている。またハッカーらは、金銭と引き換えにさらなる情報を公開すると約束している。

 さらなるBitcoin=さらなるアカウントをPastebin上で公開。Bitcoinの寄付金額に応じて、さらなる情報をPastebinに貼り付ける。

 アカウント情報がどのようにしてアクセスされたのか、また実際のところ、それらが本物なのかどうかも明らかではない。しかし、ハッカーらは693万7081件のアカウント情報にアクセスしたと主張しており、写真や動画などのファイルも公開すると脅している。

 しかしDropboxの広報担当者は、ハッキングには遭っていないと述べた。

 Dropboxは、ハッキングされていない。ユーザー名とパスワードは、他のサービスから不運にも盗まれ、Dropboxアカウントへのログインに試用されたものである。われわれはこのような攻撃を以前検出したことがあり、公開されたパスワードの大多数がかなり以前に期限切れになったものである。その他のパスワードもすべて、有効期限が切れている。

 またDropboxは、ブログ上に次のような声明を出し、Dropboxのパスワードが「無関係のサービス」から盗まれたものであることをさらに明言した。

 ユーザー名とパスワードは、Dropboxではなく無関係のサービスから盗まれたものである。攻撃者はその後、盗んだこれらの認証情報を使用して、Dropboxを含むインターネット上のサイトへのログインを試みた。われわれは、疑わしいログイン活動を検出するための対策を講じており、それが生じた場合には自動的にパスワードをリセットする。

 このような攻撃は、われわれが複数のサービスでパスワードを再利用しないようにとユーザーに強く推奨する理由の1つである。セキュリティをさらに強化するために、われわれは常に、アカウントに対する2段階認証を有効化することを推奨している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加