Dropbox や Box にアップしたドキュメントが第三者に公開される?
Pocket

Dropbox や Box にアップしたドキュメントは、ユーザーが思っているほど安全ではないようだ。

Dropbox と Box のユーザーは、他のクラウド ・ストレージサービスと同様に、アップロードしたドキュメントへのリンクを他者に共有することができる。しかしこうしたリンクを送った場合、たとえ相手が信頼できる人物であったとしても、何らかのはずみで第三者がユーザーのファイルにアクセスできてしまう危険性が生じるという。これは、両サービスの競合にあたるファイル共有企業、Intralinks の調査結果によって明らかになった

Dropbox は、漏洩に対して脆弱性があるとみられるリンクを過去にさかのぼって無効にすることで、この問題に対処していると述べている。一方 Box はメールで声明を発表し、何者かがこうした「オープンリンク」を悪用した形跡は一切見つからなかったと述べ、ユーザーに対しては「コンテンツのアクセス管理のために」様々なプライバシー設定を行うよう勧めている。

Intralinks のセキュリティ責任者であるジョン・ランディは、彼の会社が競合他者について言及した Google Adwords 広告キャンペーンを展開する過程で、偶然この脆弱性に気付いたと書いている。共有されたファイルのURLから、ユーザーが Dropbox や Box 上に保管している重要なファイル(銀行の記録、住宅ローンの申込書、納税申告書など)に第三者がアクセスできてしまうことが、このキャンペーンによって分かったという。Intralinks のブログにも記事を書いているセキュリティ・ブロガーのグラハム・クルーリーは、いくつかの証拠を提示している。

漏洩はいかにして起こるのか

それでは、実際に漏洩がどのようにして起きるのか、推測を交えながら考えてみよう。ランディ は次のように書いている。まず、Dropbox や Box のユーザーが自分のファイルの共有リンクを作成する。次に、ユーザーあるいは共有相手がそのリンクを URL バーではなく、間違えて検索バーに入力してしまう。その後、広告をクリックすると、そのファイルのURLがアドネットワークに送られてしまうのだ。こうした事が実際に起きる可能性はかなり低そうに思えるが、ユーザーがリンクを共有する相手が増えるほど、可能性は高まっていく。

クルーリーは、Intralinks のある役員が Google Adwords 広告キャンペーンの中で使用した概算を引用している。全ヒットのうち(おそらく広告のクリックを意味すると思われる)5%はプライベートなファイルの共有 URL であり、さらにその半分はパスワード無しでアクセスが可能だった。このような「小規模な」キャンペーンでも、300 以上 のドキュメントが明るみに出ているという。

プライベートなファイルへのリンクが第三者に公開されるプロセスには、別の可能性も考えられる。共有された Dropbox や Box のドキュメント内に他のサイトへのリンクが含まれていた場合、そのリンクをクリックすることで、遷移先のサイトにドキュメントの URL がリファラーヘッダの一部として渡ってしまうのだ。その場合、遷移先のサイトの管理者は URL を見ることができてしまう。

同じような脆弱性が、Google Drive や Microsoft OneDrive のような他のクラウド・ストレージサービスにも存在しているのかどうかは明らかになっていない。

パスワードの入力を求められない

Dropbox と Box の問題点は、共有リンクをもっと安全にする工夫がなされていないことだとランディは書いている。彼は、リンクを共有された側もサービスにログインして本人だということを証明するべきだと提案している。

Dropbox のエンジニアリング担当副社長アディヤ・アガワルは、同社はこれまでファイルの共有 URL に関する悪質な攻撃を検出したことはないと、ブログに記載している。それでも Dropbox は、影響があると思われるドキュメントのリンクを全て無効にすることにした。今後共有されるリンクにはこの脆弱性に対するパッチが適用されるため、影響を受けるのは過去に共有されたファイルのみとなる。

Dropbox のユーザーは共有リンクを再作成することが可能だ。Dropbox はまた、脆弱性の影響を受けないとの確認が取れたドキュメントについては、リンクを復活させていくという。アガワルは、ビジネス向けプランの顧客であればファイル共有にパスワードを設定することも可能だと述べている。ただし通常の無料ユーザーはこのオプションを利用することはできない。

Dropbox のブログを見る限り、同社は Intralinks が明らかにした脆弱性の一つ、「リファラーヘッダの問題」にしか取り組んでいないようだ。後にアップデートされた内容を見ると、アガワルは次のように記載している。Dropbox は、ファイルの URL が検索エンジンを経由して漏洩し、アドネットワークに渡ってしまうことは認識している。しかしこの問題は「よくある」ことで、Dropbox はこれを「脆弱性だとは考えていない」。

Box のユーザーは、Dropbox のビジネス向けプランの顧客と同様、ファイルのアクセスにパスワードを設定することが可能だ。しかしどちらも場合も、セキュリティ機能はデフォルトではオンになっていない。Box のスポークスマンは、「Box は、コンテンツのアクセス権についてユーザーの理解を促すためのメッセージを表示している」と主張している。

画像(Dropbox の CEO ドリュー・ヒューストン)提供:Adriana Lee

Pocket