Dropbox クラウド ストレージ サービスの根本的なセキュリティが研究者によって疑問視されています。
Dropboxは、新興のクラウドストレージ分野を代表する存在であり、最も人気のあるクラウドストレージサービスの一つです。Dropboxは、パソコンのハードディスクに専用のフォルダを追加することで機能します。追加したファイルは自動的にDropboxのクラウドストレージ領域にアップロードされます。Dropboxは様々なパソコンやモバイルデバイスにインストールでき、すべてのデバイス間でファイルを同期できます。さらに、Dropboxは1台のパソコンにインストールするだけで、クラウドバックアップサービスとしても機能します。
セキュリティの問題は、Dropbox クライアント プログラムと、それがユーザーを認証する方法、つまり、各コンピューターが Dropbox クラウドに対してユーザーのファイルへのアクセス権を持っていることを証明する方法に関連しています。
セキュリティ研究者のデレク・ニュートン氏は、認証がコンピュータを識別する単一の不変ハッシュコード、つまり16進数の文字列に依存していることを発見しました。このハッシュコードはユーザーのハードディスクにプレーンテキストとして保存されており、誰でもこのハッシュコードを入手すれば、ユーザー名やパスワードの入力を求められることなく、どのコンピュータでもユーザーのDropboxファイルを同期できます。ユーザーは、自分のアカウントにアクセスしているコンピュータをオンラインで確認しない限り、この第三者によるアクセスに気付くことはありません。
ニュートン氏はさらに、ユーザーがパスワードを変更してもハッシュは引き続き機能すると続けると述べている。したがって、ハッシュを盗めば、ハッシュコードが撤回されない限り、そのユーザーのアカウントに永久にアクセスできるようになる。ハッシュコードが撤回されると、ユーザーはハッシュコードが侵害されたコンピュータの権限を剥奪することになるが、これは決して簡単でも便利でもない。
一部のセキュリティ専門家は、このようなハッシュコードはコンピュータごとに一意であるべきで、移植性がないと主張しています。これは、CPUのシリアルコードやネットワークデバイスのMACアドレスなど、各コンピュータ固有の要素に基づいてコードを計算することで実現できます。このハッシュは、Dropboxクライアントが起動するたびにハードウェアと照合され、コンピュータがアクセスを許可されているかどうかが検証されます。
しかし、コンピュータを具体的に識別するこのような方法は、一部のオンライン プライバシー擁護者の間で不安を引き起こしています。
ニュートン氏によると、今回の発見をさらに悪化させているのは、セキュリティの抜け穴が意図的に存在していたように見えることだという。Dropboxのエンジニアたちは、ユーザーにとってこれは十分な保護手段だと考えている。
Dropboxは、この攻撃が成功するには、ハッカーがユーザーのコンピュータにアクセスする必要があると指摘しました。その時点で「セキュリティの戦いは既に負けている」とDropboxは述べています。なぜなら、ハッカーはコンピュータ上のすべてのファイルにアクセスできるからです。彼らはこれを、ユーザーになりすますためにWebブラウザからセッションCookieを盗むことに例えていますが、「アクセスをより困難にする(不可能ではないものの)対策はいくつかあり、今後検討していく予定です」と付け加えています。
ハッキング攻撃以外にも、ハッシュコードを利用してDropboxユーザーをスパイできる可能性は大いにあります。ユーザーがいない時(例えばコーヒーを飲んでいる時など)にユーザーのコンピュータにアクセスし、Dropboxのハッシュコードを盗むだけで、Dropboxアカウントに何を追加したり削除したりしているかをいつでも監視したりダウンロードしたりできるようになります。
さらに、トロイの木馬やキーロガーなどをインストールするハッカーは、より広範な攻撃の一環としてハッシュコードを入手し、違法ソフトウェアが発見されて削除された場合には、それを使って被害者のクラウドファイルにアクセスし続ける可能性があります。
ハッキングされた後、ほとんどの人がオンライン パスワードを変更しますが、Dropbox のリセットも必要であることを認識している人はどれくらいいるでしょうか。(リセットには、Dropbox の既知のデバイスのリストからコンピューターを削除し、同じコンピューターを再度追加して新しいハッシュ コードを作成する作業が含まれます。この作業には、おそらくすべてのファイルを最初から同期することが含まれます。)
この欠陥が心配すべきものかどうかは意見が分かれるところです。ニュートン氏は、Dropboxを安心して利用する唯一の方法は、そこに保存されているデータを手動で暗号化することだとしていますが、そうするとDropboxフォルダにファイルをドラッグ&ドロップで出し入れできる利便性が損なわれてしまいます。
この問題全体は、クラウドソフトウェア開発者が利便性とセキュリティをしばしばトレードオフしていることを如実に示しています。ユーザーが起動のたびにDropboxアカウントにログインしなければならないようでは、Dropboxの魅力は著しく低下します。しかし、クラウドサービスにおいて煩わしくない永続的なログインを実現することは容易ではありません。こうした問題は、クラウドサービスがユーザーの信頼を得るために乗り越えなければならない、新たなハードルの一つとなるでしょう。
ニュートン氏の発見が及ぼす影響についての興味深い議論は、彼のブログ投稿のコメント セクションで見ることができ、さまざまなセキュリティ専門家が意見を述べています。
