Agile Cat — in the cloud

Dropbox の パスワード 700万件 が流出: いまこそ、二段階認証を考えるべきとき!

Posted in Security, Storage by Agile Cat on October 15, 2014

You Should Change Your Dropbox Password Right Now — Here’s How To Do It
http://wp.me/pwo1E-7X9
Lisa Eadicicco – Oct. 14, 2014, 11:15 AM
http://www.businessinsider.com/change-dropbox-password-set-up-two-factor-authentication-2014-10

_ Business Insider

On Monday night, news broke that hackers had reportedly obtained nearly 7 million Dropbox usernames and passwords. Dropbox says its service wasn’t hacked, but that the usernames and passwords had been stolen from various third-party services.

月曜日(10/13)の夜に、Dropbox における約 700万の User/Password のセットを、ハッカーたちが取得したというニュースが流れた。Dropbox は、サービス自体はハッキングされていなかったと述べているが、それらの User/Password のセットは、各種のサードパーティ・サービスから、すでに盗み出されているようだ。

Kevin Smith
Business Insider

There are a ton of apps and services that integrate with Dropbox, making it nearly impossible to track down which ones have been compromised.

Dropbox には、膨大な量のアプリとサービスが統合されているため、どこに脆弱性が潜んでいるのかを特定することは、ほとんど不可能な状態である。

To play it safe, you should probably change your Dropbox password and enable two-step authentication if you haven’t already done so. The process takes less than five minutes, and is well worth it.

あなたの安全を確保するために、Dropbox のパスワードを変更することを強く推奨する。 そして、まだ 二段階認証を用いていないなら、それも同時に行うべきだろう。 そのプロセスは、わずか 5分で完了し、とても意味のある結果をもたらす。

Two-step authentication is a method in which an app or service requests a separate means of authentication besides your password to log into your account. In most cases, this includes sending a text message with a code to your smartphone.

二段階認証とは、あなたの Dropbox アカウントに、アプリやサービスを介してログインする際に、別の認証手段を要求するという方式のことである。ほとんどの場合、あなたのスマホ(あなたの携帯番号)に、認証コードを含んだテキスト・メッセージが送信されることで、認証プロセスが完了する。

Learn how to change your Dropbox password and enable two-step verification

ーーーーー

追記:2014年10月15日 5:30PM
TechCrunch から 「Dropbox、われわれはハックされていない。漏洩パスワードは他サービスからの使い回しと発表」という記事がポストされました。「DropboxのAPIを利用しているサービスから漏洩したわけではなく」とのことですが、そう言い切れる理由を、もう少し明確に説明してほしいですね。 いずれにしても、何はともあれです 🙂

ーーーーー

この記事を読む限り、ハッカーたちは Dropbox 本体ではなく、そこに接続されているアプリ/サービスに侵入することで、Dropbox にログインする際の User/Password のセットを盗みだした、ということなのでしょう。 ストレージやスケジュールのような、すでにユーザー・データをストアしているサービスに、サードパーティのアプリ/サービスからアクセスする場合、大元のサービス(ここでは Dropbox)の User/Password を設定する必要が生じます。 そして、それらの User/Password は、サードパーティにストアされるわけですが、今回の場合は、いくつかのサードパーティがハックされてしまった、、、ということのようです。

こうした、サービス間の連携が可能だからこそ、クラウドは便利なのですが、たとえば Dropbox の User/Password を預けているサードパーティのセキュリティが、強固なのか脆弱なのかを見分けることは、ほとんど不可能という状況です。 したがって、ユーザーとして取るべき対策は、サードパーティ・サービスをむやみに増やさず(必要なものだけに絞り込む)、Dropbox のようなサービスには二段階認証を用いる、ということなのでしょう。二段階認証さえ行なっておけば、こうした騒ぎが起こる度に、パスワードを書き換えるという面倒もなくなるはずです。

Agile_Cat の場合は、Google の二段階認証を使っています。 そして、それを、Gmail だけではなく、WordPress や Evernote などに用いています。 設定の方式は、Ajaxtower のガイドが親切なので、お勧めです。 また、Dropbox での二段階認証については、ここに日本語ガイドがあります。この二段階認証を設定すると、右のイメージ(クリックで拡大)のように、それぞれのアカウントが要求する、30秒間のみ有効な 6桁のワンタイム・パスワードが、携帯番号に対して発行されます(アカウント名は伏せています)。いつものように、User/Password を入力した後に、スマホに送られてくるワンタイム・パスワードを見ながら、その度に入力することになるので、現時点では最も強固なロックがかけられるはずです。

なお、Dropbox のページでは、この Google Authenticator (Android / iPhone / BlackBerry)のほかにも、Duo Mobile(Android / iPhone)や、Amazon AWS MFA (Android)や、Authenticator (Windows Phone 7)などが推奨されています。

ーーーーー

<関連>

iCloud ハッカーたちが悪用した、シンプルな 4-Steps 侵入プロセスとは?
より優れたメールの暗号化を、大手プロバイダーが提供し始めているが・・・
Google 調査: メール・エクスチェンジの約 50% が、依然として暗号化されていない
IoT の調査: 依然として見えてこない、セキュリティとプライバシーの方向性

Comments Off on Dropbox の パスワード 700万件 が流出: いまこそ、二段階認証を考えるべきとき!

%d bloggers like this: