Dropbox、ハッキングされたことを否定--パスワード700万件流出の疑いに対して見解

　Dropboxが、セキュリティを大きく侵害したとするハッカーらの脅迫を受けている。ハッカーらはおよそ700万人のユーザーのログイン情報を盗んだと主張しており、Bitcoinと引き換えにさらに多くのパスワード情報を公開すると約束している。

グーグルのセキュリティチーム、SSL 3.0の脆弱性「POODLE」を説明

　しかし、Dropboxはハッキングされたことを否定しており、パスワードはサードパーティーサービスから盗まれたものだと述べた。

　米国中部夏時間10月13日午後4時10分にPastebinのエントリとして、400件の電子メールアドレスと対応するプレーンテキストのパスワードのリストが投稿された。同エントリによると、このリストは、ハッキングによって大量に取得されたDropboxのログイン情報の一部だという。

　すべて「B」から始まる400件の電子メールアドレスに対するログイン情報には、「第1回の公開...まずは事始めに」というラベルが付けられている。またハッカーらは、金銭と引き換えにさらなる情報を公開すると約束している。

　さらなるBitcoin＝さらなるアカウントをPastebin上で公開。Bitcoinの寄付金額に応じて、さらなる情報をPastebinに貼り付ける。

　アカウント情報がどのようにしてアクセスされたのか、また実際のところ、それらが本物なのかどうかも明らかではない。しかし、ハッカーらは693万7081件のアカウント情報にアクセスしたと主張しており、写真や動画などのファイルも公開すると脅している。

　しかしDropboxの広報担当者は、ハッキングには遭っていないと述べた。

　Dropboxは、ハッキングされていない。ユーザー名とパスワードは、他のサービスから不運にも盗まれ、Dropboxアカウントへのログインに試用されたものである。われわれはこのような攻撃を以前検出したことがあり、公開されたパスワードの大多数がかなり以前に期限切れになったものである。その他のパスワードもすべて、有効期限が切れている。

　またDropboxは、ブログ上に次のような声明を出し、Dropboxのパスワードが「無関係のサービス」から盗まれたものであることをさらに明言した。

　ユーザー名とパスワードは、Dropboxではなく無関係のサービスから盗まれたものである。攻撃者はその後、盗んだこれらの認証情報を使用して、Dropboxを含むインターネット上のサイトへのログインを試みた。われわれは、疑わしいログイン活動を検出するための対策を講じており、それが生じた場合には自動的にパスワードをリセットする。

　このような攻撃は、われわれが複数のサービスでパスワードを再利用しないようにとユーザーに強く推奨する理由の1つである。セキュリティをさらに強化するために、われわれは常に、アカウントに対する2段階認証を有効化することを推奨している。