オンラインストレージサービスの「Dropbox」は5月1日(米国時間)、「A recent security incident involving Dropbox Sign - Dropbox Sign - Dropbox」において、電子署名サービス「Dropbox Sign(旧HelloSign)」の本番環境が不正アクセスを受けたと発表した。この不正アクセスにより顧客情報および認証情報を窃取された可能性があると説明している。

  • A recent security incident involving Dropbox Sign - Dropbox Sign - Dropbox

    A recent security incident involving Dropbox Sign - Dropbox Sign - Dropbox

侵害の経緯と影響

Dropboxの発表によると、2024年4月24日(米国時間)、Dropbox Signの本番環境への不正アクセスが確認されたという。ユーザーへのリスクを軽減するために、フォレンジック調査員と協力して調査を開始。その結果、攻撃者はDropbox Signのバックエンドの一部であるサービスアカウントを侵害したことが判明。侵害を受けたサービスアカウントには本番環境内の高い権限が与えられており、このアカウントを通じて顧客データベースへの不正アクセスが行われた。

Dropboxによると、この不正アクセスの影響はDropbox Signに限定されており、他のサービスに影響はないとみられている。Dropbox Signから窃取された可能性のあるデータは次のとおり。

  • アカウント設定
  • APIキー
  • OAuthトークン
  • 多要素認証(MFA: Multi-Factor Authentication)の情報
  • メールアドレス
  • ユーザー名
  • 電話番号
  • ハッシュ化されたパスワード(外部組織の認証を使用した場合を除く)

また、Dropbox Signのアカウントを持たないが、ドキュメントを受信または署名したユーザーのメールアドレスと氏名も窃取された可能性があるとのこと。顧客のドキュメント、契約書、支払い情報への不正アクセスは確認されていない。

不正アクセスへの対策

Dropboxはこの事案の影響を受け、対策を講じる必要のあるすべてのユーザーに対し、データを保護する方法などの連絡を開始したと発表。また、システム側の対策としてDropbox Signのパスワードリセット、Dropbox Signに接続していたデバイスからユーザーの強制ログアウト、すべてのAPIキーとOAuthトークンがローテーションされるまで使用の制限を実施したとしている。

今後、Dropbox Signにログインするとパスワードの再設定を求めるメールが送信される。メールを受信したユーザーには速やかな対応が求められるが、フィッシングメールの可能性があるためメールに記載されたリンクへのアクセスは推奨されていない。Dropbox Signに直接アクセスし、パスワードの再設定を実施することが推奨されている。

多要素認証の認証アプリ(Google Authenticator)を使用しているユーザーはこの作業と合わせて認証アプリをリセットすることが望まれている(参考:「Two-Factor Authentication - Google Authenticator – Help Center」)。

なお、Dropbox Signのパスワードを他のDropboxサービスと共用している場合は、すべてのパスワードを再設定する必要がある。可能であればすべてのDropboxサービスのアカウントに対して多要素認証を有効にすることが推奨されている。