Other

「Dropboxの暗号化は嘘」:FTCへの告発

オンライン・ストレージ人気サービスの『Dropbox』が米連邦取引委員会(FTC)に告発された。セキュリティーについてユーザーをだましており、実際には社員がファイルの中身にアクセスすることが可能で、外部に渡る可能性もあるという内容だ。

Ryan Singel

2500万人のユーザーを擁するオンライン・ストレージ人気サービス『Dropbox』を、有名なセキュリティー研究者が米連邦取引委員会(FTC)に告発した。セキュリティーと暗号化についてユーザーをだましたという内容だ。

5月19日(米国時間)にFTCに提出された告発状(PDFファイル)では、Dropbox社はユーザーに対し、保存されるファイルは完全に暗号化されており、同社の従業員はファイルの内容を見ることはできないと説明していたが、それは事実と異なるとして非難されている。

告発状を提出したのは、現在は博士課程に在学中で、FTCで1年勤務したこともあるChristopher Soghoian氏。同氏はこの4月、保存ファイルの内容をDropbox社が見られることを示す情報を発表した。政府の捜査当局や、悪意ある従業員、さらには著作権侵害の巨大訴訟を起こそうとする企業など、ユーザーたちはさまざまな危険にさらされているという。

Dropboxは4月13日、同社のウェブサイトにおけるデータ・セキュリティに関する主張を変更した。以前は、「Dropboxに保存されているすべてのファイルはAES256で暗号化されており、あなたのアカウント・パスワードが無い限りアクセスできません」とあったが、これが「Dropboxに保存されているすべてのファイルはAES256で暗号化されています」だけになった。

Dropboxは、ファイルがアップロードされる前に「ハッシュ」を利用してファイルを分析することで、保管が必要な容量を節約している。ハッシュとは基本的に、ファイルの内容に基づいてファイルに付けられる短いシグネチャのことだ。ほかのDropboxユーザーがすでに同じファイルを保管している場合、実際にはアップロードは行なわれない。ユーザーのDropboxに、ファイルが単に「追加」される。

そして、ファイルの暗号や復号に使われるキーはDropboxの側にあり、ユーザーのマシンに保存されているわけではない

こうしたアーキテクチャーが選ばれているということは、ユーザーが保存した内容をDropbox社の従業員が見られることを示す。また、召喚状が提示されたら、暗号化されていないファイルが政府や社外の組織に渡される可能性があることも意味している。

告発状によると、Dropboxと競合する『SpiderOak』と『Wuala』の少なくとも2つのサービスは、セキュリティーについてDropboxと同様の約束をしているが、暗号化のキーを保持しておらずユーザーのデータにはアクセスしないという。この2つのサービスは、別々のユーザーによってだぶって保管されたファイルを検出できないため、Dropboxよりも保管の負担が大きい。(SpiderOakは、それぞれのアカウント内では、重複排除(de-dupe:Data Deduplication)による利用スペースの節約は行なっていると話している)

4月13日まで、Dropbox社のサイトはこう述べていた。「Dropbox社の従業員は、ユーザーのファイルにアクセスできません。アカウントに何か問題がある場合には、ファイルのメタデータにアクセスできるだけです(つまり、アクセスできるのはファイル名やファイルサイズなどであり、コンテンツ自体にはアクセスできません)」

上の記述は、今はこうなっている。「Dropbox社の従業員たちは、ファイルのコンテンツを見ることを禁止されており、ファイルのメタデータ(ファイル名や場所など)へのアクセスのみ許可されています」。Dropbox社はさらに、コンテンツ自体へのアクセスは、法的な場合など非常に限られたケースに限られ、その他の時には従業員たちはシステム的にアクセスできないようになっていると説明している。

Most Popular

告発状ではこのほか、Dropbox社は、Dropboxのサーバーと機器の通信には暗号化されたHTTPS接続が使われていると主張することで、モバイルアプリのユーザーを誤解させていると主張されている。実際は、モバイル機器はすべてのトラフィックを暗号化しているわけではないという。

Soghoian氏は、Dropboxのブログ上にあるコメントや、PGP Corporationの最高技術責任者を勤め、現在はApple社で働いているJon Callas氏のツイートなどを引用している。Callas氏は4月19日のツイートで、「私は自分のDropboxアカウントを削除した。彼らが嘘をつき、実際には暗号化しておらず、依頼があったら外部に渡すことがわかったからだ」と述べている(正確にいえば、暗号化はしているのだが、ユーザーの機器上で暗号化されていないということだが)。

Soghoian氏はFTCに対し、Dropbox側がユーザーに対してメールなどできちんと説明を行ない、有料ユーザーに払い戻しを行なうことなどを求めている。

[Dropbox社のサービス利用規定には、もともと、「本サイト、コンテンツ、ファイル、サービスを利用すると、Dropboxがお客さまのコンピューターにアクセスし、Dropboxとリンクさせてある「MY DROPBOX」、「DROPBOX」その他のフォルダーに入れたファイルにアクセスすることを、お客さまが同意したことになります」という条項がある]

{この翻訳は抄訳です}

[日本語版:ガリレオ-緒方 亮/合原弘子]

WIRED NEWS 原文(English)