- Dropboxは4月24日、不正アクセスによってユーザーの個人情報が流出したと報告しました1。
- ただし、Dropboxによると、今回の不正アクセスは電子署名サービスDropbox Sign(旧HelloSign)の情報基盤に限定されているとのこと。
たとえばDropboxのオンラインストレージのみを利用している個人ユーザーにとっては直接関係ないと言えます。 - 反対に、オンライン契約での電子署名にDropbox Signを利用している企業などにとっては大問題。
今回のニュースは、Dropbox Signの情報流出が中心となっていて、オンラインストレージの安全性が脅かされたわけではないとのこと。
とはいえ、同じ会社のサービスでの出来事だけに、利用者としては注視していく必要がありそうです。
Dropbox Signの全ユーザーが関係していて、メールアドレス、ユーザー名、電話番号、ハッシュ化されたパスワード、API キーなどが流出した情報に含まれています。
ただし、契約書や支払い情報の流出は確認されていないとのこと。
1. Dropbox Signでの大規模な情報流出
大手オンラインストレージサービスDropboxが、先日深刻なサイバー攻撃に遭ったことを公表しました。
流出したデータには、Dropbox Signの全ユーザーのアカウント設定、氏名、メールアドレスなどが含まれ、一部のユーザーに至っては電話番号やハッシュ化されたパスワード、APIキーといったセンシティブな情報も漏れてしまったとされています。
ハッカーは4月24日、同社のシステムに不正侵入し、ユーザーの個人情報を含む機密データを入手したとのこと。
特に、2019年にDropboxが買収した電子署名サービス「HelloSign(現Dropbox Sign)」で大規模な情報流出が発生したようです。
ただし、同社は契約書や支払い情報など、ユーザーのアカウント内容そのものへの不正アクセスは確認されていないと説明。
また、今回の攻撃はDropbox Sign部分に限定的で、その他のDropboxサービスへの影響は今のところないとのことです。
1-1. ハッシュ化されたパスワード≠パスワード
「ハッシュ化されたパスワード」ってなに?
パスワード流出ってこと?
「ハッシュ化されたパスワード」というのは、元のパスワードを特殊な計算式で別の文字列(ハッシュ値)に変換したものです。
ハッシュ値からは元のパスワードを復元するのは困難なので、パスワードそのものを保存するよりはるかに安全です。
「password123」というパスワードを、
「x7Hs92Kl」のような意味不明な文字の羅列に変えるイメージです。
ただ、直接パスワードが漏れたわけではないからといって安心はできません。
ハッシュ値からパスワードを類推されるリスクは高まるからです。
念のためにパスワードを変更するのが賢明です。
2. Dropbox Signとは?
Dropbox Signってなに?
データを預かってくれるサービスじゃないの?
Dropboxの主力サービスはオンラインストレージ。
つまり、クラウド上に大容量のデータを保存できる機能です。
一方、「Dropbox Sign」は、オンライン上で契約書などの文書に電子署名ができるサービスです。
紙の書類にペンで署名する代わりに、インターネットを通じてパソコンやスマホで書類にサインできるんです。
Dropboxという会社が、ストレージサービスに加えて、契約書の電子署名ができるDropbox Signも展開しているんだね。
2-1. 署名済みPDFの作成と管理
Dropbox Sign は、Dropbox Business と連携して、契約書PDFの作成から署名、保管までを一元管理できるのが強みです。
- 署名が必要なPDFをDropboxに保存する。
- Dropboxのメニューから「送信して署名をもらう」を選択し、署名を依頼する相手の名前とメールアドレスを入力する。
- PDFに入力フィールド(サインや日付など)を配置し、相手への署名依頼メッセージを送信する。
- 相手は、メール内のリンクからPDFを開き、必要事項を入力してサインします。
- 署名が完了すると、依頼者に通知が届き、Dropbox上に署名済みのPDFが保存されます。
署名済みPDFには、いつ誰が署名したかなどの監査証跡が記録され、ファイルの改ざん防止も担保されています。
要は、オンライン契約にDropbox Signが立ち会って、文書と署名の正しさを証言してくれるサービスなわけですね。
ふつうのファイル共有のようにかんたんに署名を依頼できるんだね。
3. デジタル契約書は機密
Dropboxが「契約書や支払い情報などは流出していない」と強調するのは意味があります。
それは、Dropbox Signの提供する電子署名サービスは、オンライン契約と結びついているものだからです。
Dropbox Signを活用するのは、例えば、不動産会社、法律事務所、保険会社、金融機関、IT企業など、契約書を多く扱うビジネスが中心。
これらの企業は、機密性の高い契約書をDropbox Sign上で処理しているケースが少なくありません。
契約書には、企業の取引条件や販売戦略、財務状況など、外部に知られたくない機密情報も多数含まれているはず。
もし、これらの情報が競合他社に渡ったり、悪用されたりするリスクは計り知れないからです。
契約書のPDFはDropbox内にあるから、Dropbox Signのシステムとは違うってことなのかな。
4. Dropbox SignのAPIキーの悪用リスク
流出した情報にAPIキーってあったよね。
あれは危険じゃないの?
電子署名のAPIキーは印鑑と同じ。
悪用されると被害は大きいです。
もし、このAPIキーが悪意のある第三者に渡ってしまうと、その人物が正規ユーザーのふりをしてDropbox Signの機能を悪用できてしまうんです。
- なりすまし・不正な電子署名の実行
契約書や同意書などに、勝手に署名されてしまうリスクがあります。
APIキーを利用して、本人の意思に反した電子署名が行われる可能性があるからです。 - 機密情報の漏洩
APIを通じて、本来アクセスできないはずの契約書や個人情報などの機密文書にアクセスされ、情報が漏洩するおそれがあります。 - 二次被害
流出したAPIキーが悪用され、Dropbox Signのアカウントが乗っ取られた場合、そのアカウントを踏み台にして、他のサービスへの不正アクセスなどの二次被害につながるリスクもあります。 - 大量の署名リクエスト
APIキーを使って大量の署名リクエストを送信することで、Dropbox Signのシステムに過剰な負荷をかけ、サービス妨害(DoS攻撃)を引き起こすことも考えられます。
APIキーとは、あるサービスの機能を外部のアプリケーションから利用できるようにするための認証キーのことです。
APIキーは長くて複雑な文字列で、APIを使いたい開発者に発行されます。
APIを呼び出す際には、正規のユーザーからのリクエストであることを証明するキーを一緒に送ります。
例えば、Dropbox SignのAPIを使えば、自社のシステムからDropbox Signの電子署名機能を呼び出して使うことができます。
ただし、APIキーが漏洩したら速やかに新しいキーを発行します。
流出したAPIキーを失効させることができるのです。
ただし、急にAPIキーが無効になると、利用者の自社システムの方では大混乱ですが。
