※本記事は Dropbox Blog のこちらの記事を翻訳したものです。
更新:8 月 31 日
最初のブログ記事公開後、2012 年の 6,800 万件の Dropbox 認証情報流出に関し多数の報道がなされています。これに関し、メール アドレスとソルトを加えてハッシュ化したパスワードのリストは本物ですが、Dropbox ユーザーのアカウントが不正にアクセスされた形跡はございません。この度はご迷惑をおかけしましたことを心よりお詫び申し上げます。
Dropbox の調査によると、認証情報は 2012 年に流出されたものと思われます。Dropbox では 2 週間前にこの情報を入手し、直ちに調査を開始いたしました。その後、影響を受けたと思われるユーザーの皆様にメールをお送りし、2012 年半ば以降パスワードの変更がなかった全ユーザーのパスワード リセットを完了いたしました。今回のリセットにより、万が一パスワードが解読されても、Dropbox アカウントへのアクセスに利用されることはありませんのでご安心ください。
2012 年半ばより前に Dropbox アカウントを作成し、他のサービスとパスワードを併用している方は、そちらのパスワードの変更もお願いいたします。Dropbox 専用の複雑なパスワードを作成し、2 段階認証を有効にすることを推奨いたします。また、今回流出したリストにはメール アドレスが含まれていたため、迷惑メールやフィッシング詐欺にはくれぐれもご注意くださいますようお願いいたします。
掲載:8 月 26 日
2012 年半ばより前に Dropbox アカウントを作成し、その後パスワードを変更したことがない場合、次回ログイン時にパスワード変更を要求する画面が表示されます。これはあくまでも予防措置であり、お客様のアカウントが不正にアクセスされた形跡はありませんのでご安心ください。お手数をおかけいたしますが、何卒ご理解のほどよろしくお願いいたします。
必要な操作
パスワード変更を要求する画面が表示されたら、新たに強力なパスワードを設定してください。パスワードの強度を示すメーターが表示されますので参考にしてください。また、Dropbox のパスワードと同じものを他のサイトでも使用していた方は、そちらのパスワードも変更することをおすすめします。この機会に 2 段階認証を有効にすることをご検討ください。
パスワードを変更する理由
Dropbox のセキュリティ チームは、新たな脅威に対して常に監視をしておりますが、このような継続的なセキュリティ対策の中で、2012 年に取得されたと思われる、過去の Dropbox ユーザー認証情報(メール アドレスと、ソルトを加えてハッシュ化したパスワード)の一部の存在が確認されました。解析によると、認証情報はこの当時開示した事象に関連していると思われます。
Dropbox による脅威の監視と、パスワードのセキュリティ確保の方法から判断して、現在のところアカウントに対する不正アクセスはありません。予防措置の一環として、2012 年半ばよりパスワードを変更していないユーザーの方に、次回ログイン時にパスワードの変更をお願いしております。
弊社の継続的なセキュリティ対策
Dropbox では専任のセキュリティ チームが、サービスの保護およびデータ侵害や悪用、疑わしいアクティビティの監視に努めております。また、第三者によるセキュリティ監査と証明書、脅威に関する情報収集、倫理的ハッカーによるバグ報告への報奨金など、さまざまな管理システムも導入しております。さらに、zscvbn といったオープンソース ツールの開発、bcrypt でのパスワードのハッシュ化、全ユーザーに対する 2 要素認証の提供などを行っております。
詳しい情報
アカウントのセキュリティについての詳しい情報は、Dropbox のセキュリティとプライバシー ページをご覧ください。ご不明な点がありましたら、password-reset-help@dropbox.com までお問い合わせください。
パトリック・ハイムは Dropbox の信用 & セキュリティ部門の責任者です。
