「Dropbox Sign」に不正アクセス、顧客情報が窃取された可能性
マイナビニュース / 2024年5月2日 18時33分
オンラインストレージサービスの「Dropbox」は5月1日(米国時間)、「A recent security incident involving Dropbox Sign - Dropbox Sign - Dropbox」において、電子署名サービス「Dropbox Sign(旧HelloSign)」の本番環境が不正アクセスを受けたと発表した。この不正アクセスにより顧客情報および認証情報を窃取された可能性があると説明している。
○侵害の経緯と影響
Dropboxの発表によると、2024年4月24日(米国時間)、Dropbox Signの本番環境への不正アクセスが確認されたという。ユーザーへのリスクを軽減するために、フォレンジック調査員と協力して調査を開始。その結果、攻撃者はDropbox Signのバックエンドの一部であるサービスアカウントを侵害したことが判明。侵害を受けたサービスアカウントには本番環境内の高い権限が与えられており、このアカウントを通じて顧客データベースへの不正アクセスが行われた。
Dropboxによると、この不正アクセスの影響はDropbox Signに限定されており、他のサービスに影響はないとみられている。Dropbox Signから窃取された可能性のあるデータは次のとおり。
アカウント設定
APIキー
OAuthトークン
多要素認証(MFA: Multi-Factor Authentication)の情報
メールアドレス
ユーザー名
電話番号
ハッシュ化されたパスワード(外部組織の認証を使用した場合を除く)
また、Dropbox Signのアカウントを持たないが、ドキュメントを受信または署名したユーザーのメールアドレスと氏名も窃取された可能性があるとのこと。顧客のドキュメント、契約書、支払い情報への不正アクセスは確認されていない。
○不正アクセスへの対策
Dropboxはこの事案の影響を受け、対策を講じる必要のあるすべてのユーザーに対し、データを保護する方法などの連絡を開始したと発表。また、システム側の対策としてDropbox Signのパスワードリセット、Dropbox Signに接続していたデバイスからユーザーの強制ログアウト、すべてのAPIキーとOAuthトークンがローテーションされるまで使用の制限を実施したとしている。
今後、Dropbox Signにログインするとパスワードの再設定を求めるメールが送信される。メールを受信したユーザーには速やかな対応が求められるが、フィッシングメールの可能性があるためメールに記載されたリンクへのアクセスは推奨されていない。Dropbox Signに直接アクセスし、パスワードの再設定を実施することが推奨されている。
多要素認証の認証アプリ(Google Authenticator)を使用しているユーザーはこの作業と合わせて認証アプリをリセットすることが望まれている(参考:「Two-Factor Authentication - Google Authenticator – Help Center」)。
なお、Dropbox Signのパスワードを他のDropboxサービスと共用している場合は、すべてのパスワードを再設定する必要がある。可能であればすべてのDropboxサービスのアカウントに対して多要素認証を有効にすることが推奨されている。
(後藤大地)
この記事に関連するニュース
-
サイバー攻撃者に狙われるWebブラウザ、対抗策とは
マイナビニュース / 2024年5月16日 11時9分
-
Dellから4,900万件の顧客情報が流出か
マイナビニュース / 2024年5月12日 18時11分
-
Apple IDを乗っ取る攻撃に注意、執拗なパスワードリセットの通知に負けるな
マイナビニュース / 2024年5月2日 10時17分
-
パスワードの定期的な更新が推奨されない理由とは
マイナビニュース / 2024年4月30日 14時11分
-
シャノンの提供する「SHANON MARKETING PLATFORM」の標準セキュリティ機能を強化しました
PR TIMES / 2024年4月19日 16時15分
ランキング
-
1レッツノート FV5レビュー - 日常使いで役立ちそうなCore Ultraの性能と3:2のディスプレイ
マイナビニュース / 2024年5月18日 6時0分
-
2着信履歴の「非通知設定」をタップすると怖いことになりそうです... - いまさら聞けないiPhoneのなぜ
マイナビニュース / 2024年5月18日 11時15分
-
3コミケの当落メールが届かないかも? Circle.msからGmailユーザーに注意喚起 「重要な通知はポータルサイトで確認を」
ITmedia NEWS / 2024年5月18日 14時20分
-
4滅びかけた格ゲーは、なぜ『ストリートファイター6』で蘇ったのか?とにかく話題が尽きなかった濃密な一年を振り返る
インサイド / 2024年5月18日 17時0分
-
5「現場を知らなすぎ」 政府広報が投稿「令和の給食」写真に批判続出…… 識者が指摘した“学校給食の問題点”
ねとらぼ / 2024年5月18日 7時30分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください