Dropbox、パスワードや認証情報が不正アクセスを受けたこと明かす
クラウドストレージ企業Dropboxは水曜午後、同社のシステムが4月24日に侵害され、パスワードなどの機微な情報が不正アクセスを受けた旨を米国証券取引委員会(SEC)に報告。ハッカーがアクセスに成功したのは同社提供の電子署名ツール「Dropbox Sign」(旧称 HelloSign)のプロダクション環境で、Dropbox社の他の製品は影響を受けなかったものと思われるという。
ハッカーがアクセスしたとされる情報は以下:
<Dropbox Signの全ユーザー※に関連する以下の情報>
- アカウント設定情報
- 氏名
- Eメール など
※アカウントは作成していないが、Dropbox Signを使って文書の受領やサインを行ったことがあるユーザーも含む。
<一部ユーザーに関する以下の情報>
- 電話番号
- ハッシュ化されたパスワード
- APIキー、OAuthトークン、多要素認証の方法などの認証情報
ユーザーの契約書やテンプレート、支払い情報といったアカウントコンテンツがアクセスを受けた形跡は現時点で確認されていないという。
Dropboxは引き続き調査を継続しており、影響を受けたユーザーには来週にかけて通知を行う予定とのこと。