10月のDropboxへのハッキングでは7億人分のパスワードやデータは盗まれず

10月にDropbox（ドロップボックス）がハッカーの被害に遭ったというニュースが流されたが、実際に何が起こったのかをお知らせする。

ファイルホスティングサービスとして絶大な人気を誇るDropboxがハッキングされた。少なくとも、Dropboxのセキュリティチームが11月1日に投稿した記事から、そう考えてもおかしくはないだろう。

投稿でDropboxのセキュリティチームは、攻撃者が実際にDropboxのソースコードにアクセスしたことを認めている。だが、これらのコードはGitHub（ギットハブ）上の130のコードリポジトリに含まれていたものだ。

DropboxのGitHubコードリポジトリのセキュリティは、どのようにして破られたのか？

多くの組織と同様に、DropboxもGitHubを使用して複数のプライベートリポジトリを保存・管理している。10月初旬、Dropboxのセキュリティチームが、社員を狙ったらしいフィッシング作戦に気づいた。このフィッシングメールは、Dropboxが特定の内部コード展開に使用しているコード統合・配信プラットフォーム「CircleCI（サークルCI）」を発信元とするものと言われている。投稿では「私たちのシステムは、これらの電子メールの一部は自動的に隔離できましたが、Dropbox従業員の受信トレイに到達したものもありました」と報告されている。

これらのメールはリアルな外観のテンプレートを使用し、CircleCIのログインページと思われる場所に受信者を誘導し、そこでGitHubアカウントの認証情報を入力するように指示していた。このケースでは、ワンタイムパスワードを生成するハードウェア認証システムによって保護されていたが、攻撃者は最終的にそこをすり抜けて「当社のGitHubアカウントの1つにアクセスし、130個のコードリポジトリをコピーすることに成功しました」とセキュリティチームは認めている。

米国時間10月14日、GitHubはDropboxに対し、その前日から始まった不審な行動について警告を発していた。疑惑のアクセスは同日中に無効化され、Dropboxのセキュリティチームは「漏洩したすべての開発者認証情報の更新を行い、顧客データがアクセスされたり盗まれたりしていないかを調べるために、ただちに行動を起こしました」

また、Dropboxは外部のフォレンジックチームを使って調査結果を検証し、法執行機関と関連規制当局にこの事件を報告した。

Dropboxのどのデータにアクセスされたのか？

では、攻撃者は何にアクセスしたのだろうか？Dropboxのセキュリティチームはこう述べている「これらのリポジトリには、Dropboxで使用するために若干修正したサードパーティライブラリの独自のコピー、内部のプロトタイプ、セキュリティチームが使用する一部のツールや設定ファイルが含まれていました。重要なことは、その中に当社のコアアプリケーションやインフラストラクチャのコードが含まれていないことです。それらの重要リポジトリへのアクセスはさらに制限され、厳しく管理されています」

大切なのは、攻撃者が誰のDropboxアカウント、パスワード、支払い情報にもアクセスしていないことが確認されたことだ。「調査の結果、この攻撃者がアクセスしたコードには、Dropboxの開発者が使用する認証情報の一部（主にAPIキー）が含まれていることが判明しました。このコードとその周辺のデータには、Dropboxの従業員、現在および過去の顧客、見込み客、ベンダーに関係する数千の名前と電子メールアドレスも含まれていました」と声明には書かれている。ちなみに、Dropboxの登録ユーザー数は7億人以上だ。電子メールアドレスにアクセスされた可能性のある人には、すでにDropboxから連絡が行われている。

2022-11-06 18:14:06