Dropboxのパスワード6,800万件が盗まれる:知っておくべきこと

2012年のDropboxのハッキング事件で、6,800万件のアカウント情報が盗まれていました。どうすればよいのか、ヒントをご紹介します。

先日、Threatpostチームにいる同僚のChrisDropboxについて記事を書きました。2012以降、パスワードを変更していないユーザーに対して、Dropboxがどのようにパスワードのリセットを求めたのかという内容です。この記事の執筆時点で、Dropboxはこの働き掛けを「あくまでも予防措置」と呼んでいました。

dropbox-email-screenshot-ja

2012年、Dropboxはセキュリティ侵害の被害を受け、Dropboxユーザーは頭痛とスパムメールに悩まされることになりました。4年後、Dropboxユーザーの認証情報のキャッシュがオンラインで発見されたことで、この事件の全容が明らかになりました。先ごろのMotherboardの発表によると、データベース取引コミュニティから入手したデータベースは本物であり、6,800万件以上のDropboxアカウントが流出しました。

この記事では、Dropboxは流出したアカウントに対する悪意あるアクセスを確認していないとしています。6,800万件超のアカウントのうち約3,200万件はbcrypt(英語記事)で保護されており、それ以外はSHA-1でハッシュ化されていました。

つまり、どういう意味か

Motherboardの発表によると、Dropboxの流出データは、今のところ主要なダークウェブ市場に登場していません。その理由はおそらく、パスワードがきちんと保護されていると、犯罪者にとって価値がなくなるからです。この話が今も進展中ということを考えると、Threatpostを小まめにチェックすることをお勧めします。何か進展があれば、Threatpostにすぐに記事が出るでしょう。

どうすればよいか

大きな流れで見てみると、この流出事件は、増え続けるデータ流出事件のリストに、また新たな事例が加わったにすぎません。このリストの中には、LinkedInMySpaceとTumblrOKCupidがいます。犯罪者はアカウント情報に価値を見いだしていますし、ハッキングが起きることは想定内です。なので、デジタル世界の住人として私たちがすべきことは、デジタル生活の安全を確保する方法について、もっと賢くなることです。そこで今一度、オンラインセキュリティに欠かせない5つのヒントを、声を大にしてお伝えしようと思います。

1. 強固なパスワードを使い、定期的に変更する。4年もの間、同じパスワードを使い続けるのは、どう考えても賢明ではありません。もっと言えば、パスワードは自分で覚えやすく、なおかつ強固であるべきです(強固なパスワードを作る練習として、当社のパスワードチェッカーをお試しください)。

また、経験則からいうと、重要なサイトのパスワードを定期的に変更するのもよいでしょう。オンラインバンキング、Facebook、LinkedIn、メインで使っている個人用メールなどが対象になるかと思います。すべてのパスワードを作成、変更、記憶するのが大変そうであれば、パスワード管理ツールの使用を検討してください。

2. 古いアカウントを削除する。当社が6月にMyspaceの件を記事にした当時、社内のチャットでは「ちょっと待て、今でもMyspaceを使っている人がいるの?」という皮肉なコメントが飛び交いました。いえ、使っている人はそれほど多くないのですが、使われていないアカウントが大量に存在するのです。2000年代の初め、人々はMyspaceのアカウントを作りました。やがてTwitterやFacebookといったキラキラしたニューカマーが登場し、SNSの王座をMyspaceから奪うと、人々はMyspaceアカウントのことを忘れてしまいました。

お勧めは、あまり使っていないアカウントを削除することです。なぜかというと、パスワードの変更もせずにアカウントを放置していると、自分自身を危険に晒しかねないからです。パスワードを使い回す習慣がある人は、特に危険です。

3. パスワードを使い回さない。これまで何度もお伝えしていますが、改めて。パスワードの使い回しはNGです。確かに使い回しは楽ですが、アニメコミュニティ用アカウントのパスワードが盗まれたせいで自分の銀行口座に何者かがアクセスしてしまったら、どうします?

4. 2段階認証を有効にする。2段階認証を導入し、ユーザーのセキュリティを強化しているオンラインサービスはたくさんあります。こうしたサービスでは、アプリ認証やSMSを使って、アカウントにログインしようとしている人が、そのアカウントの使用権限を持っている人であることを確認しています(注: Dropboxにはこのオプションがあります)。

5. サードパーティのアプリに用心する。ほとんどのオンラインサービス(Facebook、Dropboxなど)には、ファイル共有やゲーム対戦などの機能を追加するために、サードパーティのサービスと紐付けできるようになっています。確かに、そうすれば便利ではあります(そして、パスワードをもう1つ余分に覚える必要がありません)。しかし、使いやすさを裏返せば、セキュリティ上の欠陥が増える可能性があるということです。確かに、あるアプリを使うと、外出先で最新情報を共有するとき、少しくらい時間の節約になるかもしれません。しかし、そのアプリは、あなたのデータのセキュリティに何か貢献してくれるのでしょうか。

サービスと連携する前に、もう一度よく考えてください。「1つのアカウントでいろんなものにログイン」はどうしても重要ですか、それとも別のアカウントを作りますか?答えは皆さん次第ですが、真剣に考えるべき課題です。

Dropboxのデータ流出は、新たに発覚したショッキングな事件ですし、犯罪者がどのようにデジタルIDを狙い続けているのかを示す重要な例でもあります。上記のヒントを、日々のセキュリティ対策に取り入れることをお勧めします。私たちは、鍵やホームセキュリティシステムで自分たちの生活を守っています。それと同じように、私たちはデジタル生活についても慎重になるべきです。

ヒント