クラウドアプリ利用の注意点 2

研究者に告発されたクラウドサービス

前回、個人がクラウドサービスを利用する際の注意点をみてきました。その中で、世界的なクラウドサービス事業者が提供するシステムは堅牢だが、ログインIDとパスワードがハッキングされることによってクラウドサービスに保存しているデータがすべて流出するリスクがあることをお伝えしました。

クラウドアプリ利用の注意点 1

クラウドサービス利用時だけでなく、より安全にインターネットサービスを利用するにはログイン時の「二段階認証」が大事になってきます。

株や預金、仮想通貨など金融資産へインターネットからアクセスできる場合には必須の機能です。それ以外でもメールや仕事のファイルなど大事なデータをインターネットからアクセスできる環境に保存している場合は、できるだけ二段階認証を利用しましょう。

さて、今回はクラウドサービス事業者の提供するサービスがセキュリティの観点から十分でないと告発された事例をみていきましょう。

世界的に利用されており、日本でも人気があるオンライン・ストレージサービス「Dropbox」をご存知でしょうか。

Dropboxは、簡単にいうと、複数のパソコンやスマートフォン、タブレット間でリアルタイムにファイルの同期、共有ができるサービスです。パソコン、スマートフォン、タブレットにDropboxの専用アプリケーションをインストールしている場合、特定のフォルダの中に保存したファイルは、ほぼリアルタイムで自動的に他の機器への同期、共有されます。

たとえば、会社のパソコン、家のパソコン、両方にDropboxの専用アプリケーションをインストールしているとします。会社のパソコンでプレゼンテーション用の資料を作っていて、仕事が終わらないのでDropbox専用のフォルダに保存して家に帰ったとします。家に帰って、家のパソコンを起動し、Dropbox専用のフォルダをのぞくと、さっきまで会社で作業をしていたプレゼンテーション用の資料がそのフォルダに入っています。しかもその資料の内容は、まさに会社で作業をして最後に保存をしたときに状態が保たれています。

それぞれのパソコンが起動されていて、Dropboxの専用アプリケーションも動作していて、インターネットに接続されていればほぼリアルタイムに各機器間で1つのファイルを共有できます。Dropboxはサービス開始当初から画期的なサービスでとても便利であったため、全世界で利用者が急増しました。少し古い情報ですが、2013年7月には世界中で利用者が1億7500万人を超えたと発表されています。

Dropbox、ユーザー数が1億7500万人に

実は、このDropboxは過去に一度、有名なセキュリティ研究者によって「セキュリティについてユーザーを騙していた」と米連邦取引委員会に告発されました。

具体的には、Dropbox社はユーザーに対し、「保存されるファイルは完全に暗号化されており、Dropbox社の従業員はファイルの内容を閲覧することはできない」と説明していたが、それは事実と異なっていたというのが告発の内容です。

「Dropboxの暗号化は嘘」:FTCへの告発

告訴した研究者によると「政府の捜査当局や、悪意ある従業員、さらには著作権侵害の巨大訴訟を起こそうとする企業など、ユーザーたちはさまざまな危険にさらされている」のことです。

クラウドサービス上のファイルはのぞき見される可能性も

このDropboxのセキュリティの重要な点は、Dropboxにアップロードするファイルは暗号化されるが、ファイルの暗号や複合に使われる「キー」はDropbox側にあるということです。Dropboxがその気になれば、ファイルの暗号化を解除して内容を閲覧したり、場合によっては捜査当局やその他の組織にファイルを提供することも可能ということです。

ログインIDとパスワードが流出しなければ、クラウドサービス上にアップロードされたファイルは「絶対に秘密」というわけではなく、クラウドサービス事業者にのぞき見される可能性もあるということです。

その後、Dropbox社はデータ・セキュリティに関する主張を変更しています。このやり取りや経緯については下記の記事で詳しく解説されています。

「Dropboxの暗号化は嘘」:FTCへの告発

このようにクラウドサービスは、事業者が保存データの運用ルールを決めているので、アップロードしたデータの100%の秘密を保証してくれるわけではなく、場合によってはファイルの内容をのぞき見されるリスクがあることを念頭において利用する必要があります。