- 清水 圭一
- 日本クラウドコンピューティング株式会社
- 東京都
- IT経営コンサルタント
Dropboxのセキュリティ障害について説明と考察 その1
-
皆さん、こんにちは。
日本クラウドコンピューティング株式会社の新井です。
今日は、先日、発生したクラウドストレージサービスのDropboxで発生したセキュリティ障害についてお話したいと思います。
障害についての概要ですが、米国時間6月20日午後、プログラマーのミスによって一時的なセキュリティ障害が発生し、任意のパスワードであらゆるユーザーアカウントにアクセスできる状態になっていたことが発表されました。
Dropboxは今回のセキュリティ障害について、「コードアップデート」によって「Dropboxの認証メカニズムに影響を及ぼすバグが発生した」ことが原因だったとしています。
同社によると、太平洋時間19日午後1時54分~午後5時46分の間、パスワード不要のアクセスが可能が可能となっていたとの事です。
Dropboxの共同創設者兼最高技術責任者(CTO)であるArash Ferdowsi氏はブログ投稿で、「これは決して起きてはならないことだ。われわれは現在、Dropbox34 件のコントロール機能の詳細な確認作業を行っているところで、今後こうした問題が起きるのを防ぐため、さらなるセーフガードを実装するつもりだ」と述べています。
これが障害の概要ですが、最初に皆さんが一番、気になる情報漏洩の可能性について、今、この状態から推測できる可能性について説明したいと思います。
この障害のポイントですが、今回のDropboxの障害は、ソニーグループの情報漏洩事件のように、ユーザーのメールアドレス、パスワード、クレジットカード情報が、1億人分近く漏洩したのではなく、クラウド上にあるファイルが見える状態になってしまったということです。
つまり、クラウド上のファイルが見えるようになってしまったのであって、個人情報が漏洩した訳ではないということです。
もちろん、Dropbox上にそういったパスワードや個人情報を保存していれば、それは他人から見える可能性があった訳ですが、これを悪意のあるハッカーが膨大な数のユーザーアカウント、ファイルからその情報を見つけ出すだけでも、かなりの労力と時間を要します。
また、パスワードなしでアクセス可能であった4時間間に悪意のあるハッカーがユーザーのファイルを盗もうとした場合、約340KB/s(http://www.softnavi.com/online_storage.html)のスペック上、最大の速さでダウンロードしたとしても、4.78GB、実行値は80パーセント程度になりますので、3.8GB程度のファイルしか盗むことが出来ません。
Dropboxのクライアントソフトは、1台のパソコンで1アカウントの同期しか並行して出来ませんので、ハッカーが所有するパソコン1台あたり、1ユーザー分、3.8GBのみしかダウンロード出来なかった事になります。
Dropboxのユーザー数は2011年4月現在2500万人いますので、そう考えると、今回のトラブルで被害に遭う可能性は、非常に低いことが理解できるかと思います。
こういう障害が発生すると、「こういうことが起こるからクラウドは使えない」と言い出す方がおります。
次回は、このことについて解説して行きたいと思います。
このコラムに類似したコラム
アメブロ不正ログイン24万件発覚 小菅 太郎 - ITコンサルタント(2013/08/13 09:57)
ウイルス・マルウエア対策について 田中 紳詞 - 経営コンサルタント/ITコンサルタント(2014/03/28 00:00)
標的型攻撃メールから企業情報を守る その3 清水 圭一 - IT経営コンサルタント(2014/03/12 09:00)
標的型攻撃メールから企業情報を守る その2 清水 圭一 - IT経営コンサルタント(2014/03/11 09:00)
アンチウイルスソフトは、何がいい? 田中 紳詞 - 経営コンサルタント/ITコンサルタント(2014/02/27 20:05)