これは大変だ！ Dropbox 認証バイパス事件

数時間前にTwitterではつぶやきましたが、この問題はさすがに取り上げないわけにいきませんね...。Dropbox Blogで公式に発表されています。

Dropbox Blogでの記述をもとにすると、6月20日午後1時54分（太平洋標準時。日本時間では21日午前5時54分）にDropboxのシステムのコードに変更を加え、その際に認証メカニズムにバグが入り込みました。その後、午後5時41分（日本時間 午前9時41分）に問題が発覚、5分後の午後5時46分（日本時間 午前9時46分）に修正を完了した、としています。この4時間の間は、パスワードによる認証なしでユーザーのファイルにアクセスできる状態になっていた、ということです。

Dropbox Blogによればこのタイミングでログインしたのは「少数のユーザー（A very small number of users）」で「1%に遠く及ばない（much less than 1 percent）」としていますが、利用しているユーザー数を考えれば「少数」と片付けられる数ではないかもしれません。

ここしばらく続いているLulzsecなどによる情報流出問題とは異なり、これは完全にDropbox単独のミスによるものです。なんで認証に影響を与えるほど重要なコード修正で（しかも5分で修正できるような）バグを残したままProduction環境に投入したのか、コードレビューはなかったのかなど、気になるところは山積みですが、まずはユーザーとして対策を考えましょう。

Dropboxは、侵入された可能性のあるユーザーには個別にメールを送信するとしていますが、まずは重要なデータが入っているようであればすぐにでも退避させておきましょう。また、Dropbox上のファイルにパスワードなどの機密情報が含まれていた場合は、含まれていたパスワードを変更するなどの対策も必要です。

この手のシステムはどこか不安だったので、個人的にはTrueCryptで暗号化したファイルをDropboxにアップしていたのですが、その不安が的中してしまったのは残念です。暗号化をする手間がかかる分、面倒な部分もあるのですが、安全性には代えられません。クラウドを使ったファイル保存サービスはDropbox以外にもありますが、こういったオンラインサービスを利用する際には、重要なファイルだけでもクライアント側で暗号化してからファイルをアップするという慎重さが求められますね。できることなら、第三者の管理するサーバーではなく、自分の管理するサーバーで安全に管理できるのが望ましいですけど...。

nakedsecurityのDropbox lets anyone log in as anyone - so check your files now! には、こういったサービスの特徴である、どんどんアップデートしていく『ずーっとβ版（eternal beta）』スタイルに潜む危険性も触れられています。システム構築に関わる人間として、この点は常に意識しておかないといけないですね...。