「Dropbox Sign」に不正アクセス、顧客情報が窃取された可能性
マイナビニュース / 2024年5月2日 18時33分
オンラインストレージサービスの「Dropbox」は5月1日(米国時間)、「A recent security incident involving Dropbox Sign - Dropbox Sign - Dropbox」において、電子署名サービス「Dropbox Sign(旧HelloSign)」の本番環境が不正アクセスを受けたと発表した。この不正アクセスにより顧客情報および認証情報を窃取された可能性があると説明している。
○侵害の経緯と影響
Dropboxの発表によると、2024年4月24日(米国時間)、Dropbox Signの本番環境への不正アクセスが確認されたという。ユーザーへのリスクを軽減するために、フォレンジック調査員と協力して調査を開始。その結果、攻撃者はDropbox Signのバックエンドの一部であるサービスアカウントを侵害したことが判明。侵害を受けたサービスアカウントには本番環境内の高い権限が与えられており、このアカウントを通じて顧客データベースへの不正アクセスが行われた。
Dropboxによると、この不正アクセスの影響はDropbox Signに限定されており、他のサービスに影響はないとみられている。Dropbox Signから窃取された可能性のあるデータは次のとおり。
アカウント設定
APIキー
OAuthトークン
多要素認証(MFA: Multi-Factor Authentication)の情報
メールアドレス
ユーザー名
電話番号
ハッシュ化されたパスワード(外部組織の認証を使用した場合を除く)
また、Dropbox Signのアカウントを持たないが、ドキュメントを受信または署名したユーザーのメールアドレスと氏名も窃取された可能性があるとのこと。顧客のドキュメント、契約書、支払い情報への不正アクセスは確認されていない。
○不正アクセスへの対策
Dropboxはこの事案の影響を受け、対策を講じる必要のあるすべてのユーザーに対し、データを保護する方法などの連絡を開始したと発表。また、システム側の対策としてDropbox Signのパスワードリセット、Dropbox Signに接続していたデバイスからユーザーの強制ログアウト、すべてのAPIキーとOAuthトークンがローテーションされるまで使用の制限を実施したとしている。
今後、Dropbox Signにログインするとパスワードの再設定を求めるメールが送信される。メールを受信したユーザーには速やかな対応が求められるが、フィッシングメールの可能性があるためメールに記載されたリンクへのアクセスは推奨されていない。Dropbox Signに直接アクセスし、パスワードの再設定を実施することが推奨されている。
多要素認証の認証アプリ(Google Authenticator)を使用しているユーザーはこの作業と合わせて認証アプリをリセットすることが望まれている(参考:「Two-Factor Authentication - Google Authenticator – Help Center」)。
なお、Dropbox Signのパスワードを他のDropboxサービスと共用している場合は、すべてのパスワードを再設定する必要がある。可能であればすべてのDropboxサービスのアカウントに対して多要素認証を有効にすることが推奨されている。
(後藤大地)
この記事に関連するニュース
-
サイバー攻撃者に狙われるWebブラウザ、対抗策とは
マイナビニュース / 2024年5月16日 11時9分
-
Dellから4,900万件の顧客情報が流出か
マイナビニュース / 2024年5月12日 18時11分
-
Apple IDを乗っ取る攻撃に注意、執拗なパスワードリセットの通知に負けるな
マイナビニュース / 2024年5月2日 10時17分
-
シャノンの提供する「SHANON MARKETING PLATFORM」の標準セキュリティ機能を強化しました
PR TIMES / 2024年4月19日 16時15分
-
Cisco Duoの提携先事業に不正アクセス、多要素認証のログが流出
マイナビニュース / 2024年4月18日 8時44分
ランキング
-
1ノリノリの音楽とともに敵を殲滅!リズムゲー要素ありなローグライクシューティングは日本語にも対応―採れたて!本日のSteam注目ゲーム8選【2024年5月16日】
Game*Spark / 2024年5月16日 22時0分
-
2鋭すぎて取り扱い注意! 日本では珍しい先端0.1mmのテストリードが1400円
ASCII.jp / 2024年5月16日 10時0分
-
3小室哲哉も視聴済み 「Get Wildだと思ったらにんげんていいなだった」が約20万再生の人気で「このセンスほんと好き」「最高www」
ねとらぼ / 2024年5月16日 20時30分
-
4「あて所に尋ねあたりません」 日本郵便の“404エラーページ”がおしゃれと話題 「センスいい」「遊び心よ」
ねとらぼ / 2024年5月16日 16時0分
-
538歳独身のイケメンアナ、マッチングアプリの“なりすまし”に注意喚起 「きちんと出会いたい方々にも失礼」と苦言呈する
ねとらぼ / 2024年5月16日 19時40分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください