テクノロジー

2022.11.07 09:00

10月のDropboxへのハッキングでは7億人分のパスワードやデータは盗まれず

Ian Lamont @ Flickr(CC2.0ライセンス)

Ian Lamont @ Flickr(CC2.0ライセンス)

10月にDropbox(ドロップボックス)がハッカーの被害に遭ったというニュースが流されたが、実際に何が起こったのかをお知らせする。
advertisement

ファイルホスティングサービスとして絶大な人気を誇るDropboxがハッキングされた。少なくとも、Dropboxのセキュリティチームが11月1日に投稿した記事から、そう考えてもおかしくはないだろう。

投稿でDropboxのセキュリティチームは、攻撃者が実際にDropboxのソースコードにアクセスしたことを認めている。だが、これらのコードはGitHub(ギットハブ)上の130のコードリポジトリに含まれていたものだ。

DropboxのGitHubコードリポジトリのセキュリティは、どのようにして破られたのか?


多くの組織と同様に、DropboxもGitHubを使用して複数のプライベートリポジトリを保存・管理している。10月初旬、Dropboxのセキュリティチームが、社員を狙ったらしいフィッシング作戦に気づいた。このフィッシングメールは、Dropboxが特定の内部コード展開に使用しているコード統合・配信プラットフォーム「CircleCI(サークルCI)」を発信元とするものと言われている。投稿では「私たちのシステムは、これらの電子メールの一部は自動的に隔離できましたが、Dropbox従業員の受信トレイに到達したものもありました」と報告されている。
advertisement

これらのメールはリアルな外観のテンプレートを使用し、CircleCIのログインページと思われる場所に受信者を誘導し、そこでGitHubアカウントの認証情報を入力するように指示していた。このケースでは、ワンタイムパスワードを生成するハードウェア認証システムによって保護されていたが、攻撃者は最終的にそこをすり抜けて「当社のGitHubアカウントの1つにアクセスし、130個のコードリポジトリをコピーすることに成功しました」とセキュリティチームは認めている。
次ページ > Dropboxのどのデータにアクセスされたのか?

翻訳=酒匂寛

advertisement

ForbesBrandVoice

人気記事