Dropboxが、セキュリティを大きく侵害したとするハッカーらの脅迫を受けている。ハッカーらはおよそ700万人のユーザーのログイン情報を盗んだと主張しており、Bitcoinと引き換えにさらに多くのパスワード情報を公開すると約束している。
しかし、Dropboxはハッキングされたことを否定しており、パスワードはサードパーティーサービスから盗まれたものだと述べた。
米国中部夏時間10月13日午後4時10分にPastebinのエントリとして、400件の電子メールアドレスと対応するプレーンテキストのパスワードのリストが投稿された。同エントリによると、このリストは、ハッキングによって大量に取得されたDropboxのログイン情報の一部だという。
すべて「B」から始まる400件の電子メールアドレスに対するログイン情報には、「第1回の公開...まずは事始めに」というラベルが付けられている。またハッカーらは、金銭と引き換えにさらなる情報を公開すると約束している。
さらなるBitcoin=さらなるアカウントをPastebin上で公開。Bitcoinの寄付金額に応じて、さらなる情報をPastebinに貼り付ける。
アカウント情報がどのようにしてアクセスされたのか、また実際のところ、それらが本物なのかどうかも明らかではない。しかし、ハッカーらは693万7081件のアカウント情報にアクセスしたと主張しており、写真や動画などのファイルも公開すると脅している。
しかしDropboxの広報担当者は、ハッキングには遭っていないと述べた。
Dropboxは、ハッキングされていない。ユーザー名とパスワードは、他のサービスから不運にも盗まれ、Dropboxアカウントへのログインに試用されたものである。われわれはこのような攻撃を以前検出したことがあり、公開されたパスワードの大多数がかなり以前に期限切れになったものである。その他のパスワードもすべて、有効期限が切れている。
またDropboxは、ブログ上に次のような声明を出し、Dropboxのパスワードが「無関係のサービス」から盗まれたものであることをさらに明言した。
ユーザー名とパスワードは、Dropboxではなく無関係のサービスから盗まれたものである。攻撃者はその後、盗んだこれらの認証情報を使用して、Dropboxを含むインターネット上のサイトへのログインを試みた。われわれは、疑わしいログイン活動を検出するための対策を講じており、それが生じた場合には自動的にパスワードをリセットする。
このような攻撃は、われわれが複数のサービスでパスワードを再利用しないようにとユーザーに強く推奨する理由の1つである。セキュリティをさらに強化するために、われわれは常に、アカウントに対する2段階認証を有効化することを推奨している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」