Dropbox Signが不正アクセスされ顧客情報 窃取の可能性を発表

2024年4月24日(米現地時間)にクラウドストレージ会社 Dropboxは、同社が提供するサービス「Dropbox Sign」へハッカーが不正アクセスし、パスワードなどの機密情報にアクセスされた可能性がある事をSEC(米国証券取引委員会)に報告しました。なお、「Dropbox Sign」以外への影響は発生していないとの事です。

日本でも被害が出ており、2024年5月16日に情報通信研究機構(NICT)が運営するセキュリティ講習「実践サイバー演習 RPCI」で利用していた「Dropbox Sign」で不正アクセスが発生し、個人情報漏洩の可能性を発表しています。

不正アクセスの概要と経緯

4 月 24 日に、「Dropbox Sign」(旧 HelloSign) 本番環境への不正アクセスが確認。さらに調査を進めたところ、攻撃者が Dropbox Sign の顧客情報にアクセスしていたことが判明。


このインシデントの影響を受け、対策措置の必要があるすべてのユーザーに連絡し、データをさらに保護する方法について段階的な指示を提供。

なおこのインシデントは Dropbox Sign インフラに限定されたものであり、他の Dropbox 製品には影響としています。

窃取された可能性のある個人情報

・メール

・ユーザー名

・電話番号

・ハッシュ化されたパスワード

 ・API キー

・OAuth トークン

・MFA認証などの認証情報

不正アクセスへの対策

システム側の対策としてDropbox Signのパスワードリセット、Dropbox Signに接続していたデバイスからユーザーの強制ログアウト、すべてのAPIキーとOAuthトークンがローテーションされるまで使用の制限を実施。

多要素認証に認証アプリを使用しているユーザーは、認証アプリをリセットする必要があり、

また、アカウントにログインすると、ユーザーにはパスワードをリセットするためのメールが送信されるので、できるだけ早くこれを行うことを勧めてします。

公式リリース

EX-99.1 2 may2024exhibit991.htm EX-99.1

知ると面白い記事

TOPへ