Infostand海外ITトピックス

ログイン情報が狙われている SnapchatとDropboxの情報漏えい

責任の所在は?

 SnapchatもDropboxも、それぞれの事件で、自分たちのサービスからデータが漏えいしたわけではなく、外部のサービスに原因があったと主張している。確かに直接の原因ではないかもしれないが、だからといって、問題がなかったかというとメディアには批判的なところが多い。

 NPRは、サードパーティアプリが大きなトレンドを形作っている現状を説明しながら、「本家のプログラム以上に、(これらサードパーティアプリは)ハッカーに取って格好の標的となっている」と指摘する。そしてSnapchatについて、「SnapchatのAPIはあまりにも簡単にハッキングできるという指摘が以前からあった」としながら、「そのようなハッキングされやすいAPIを提供しているのであれば、今回の流出の責任をとがめられるべきはSnapchatといえるのではないか」と述べている。BBCは「ユーザーにSnapchatは安全という認識を与えているのだから、データへのアクセスについて規制は強化するべき」というESETのセキュリティ専門家の意見を紹介している。

 Guardianはより明確にSnapchatの対策の甘さを指摘した。Veracodeのセキュリティ研究者は同紙に対し、過去にもセキュリティ対策に欠陥があることを指摘されたにもかかわらず、「最低限の対応」しかしてこなかったと批判する。例えば、Snapchatが公開するFind Friends APIを利用して総当たり攻撃が可能であることが報告されたことがあったが、同社はAPIが呼び出すコールの数を減らしただけで、攻撃が可能な状態であることには変わりなかったという。

 「最低限の対策しか講じておらず、修正にあたっての実装や設計段階でのセキュリティの専門家によるコンサルティングも受けていない。暗号化もすべてのサービスで同じ技術しか利用しておらず、モバイルアプリから簡単に抽出できる」と問題を挙げている。

 また、Dropboxに対しても、Business Insiderが「必ずしもDropboxの非ではないかもしれない。しかし、サードパーティへアクセスを許可しているという点では、最終的にはDropboxの責任だ」と述べるなど、責任を免れえないとの見解を示している。

 一方、Dropboxについては、元NSA(国家安全保障局)の職員で政府による監視プログラムの存在を明かしたEdward Snowden氏が過去に「Dropboxはやめておいた方がよい」として、セキュリティ対策の不備を指摘していた。同氏のコメントは、Dropboxが今年4月に元国務長官のCondoleezza Rice氏を取締役に指名したことに絡めたものだが、その理由は「暗号化をサポートしていない。プライベートなファイルを保護してくれない」というものだった。

 Dropboxはその後、このコメントにブログで反論し、ユーザーとDropboxのサーバー間の通信は暗号化されていると主張した。これらの経緯をなぞりながら、Business Insiderは、Snowden氏が推奨したSpiderOakを引き合いに出し、「SpidarOakのようにユーザーからサーバーまでエンドツーエンドでの暗号化すべき」と主張した。

()