WWW Watch

Dropbox のセキュリティに関するお話

先日、WIRED VISION に 「Dropboxの暗号化は嘘」:FTCへの告発 という記事が掲載されてちょっとした話題になっていますが、このサイトでも何度か Dropbox オススメだよと書いているので、一応この件に関しても触れておきたいと思います。

Dropboxちょっと乗り遅れた感はありますが…先日、WIRED VISION に 「Dropboxの暗号化は嘘」:FTCへの告発 という記事が掲載されてちょっとした話題になっていますが、このサイトでも何度か Dropbox オススメだよと書いているので、一応この件に関しても触れておきたいと思います。

結論だけ先に言うと何を騒いでいらっしゃるの?なんですが、その辺の理由と、あと最後にこの手のサービスを使う際の注意点とかをまとめています。

さて、今回は告発ってことで記事になっていますが、実は本件、もうちょっと前 (4月の中旬) に Dropbox のセキュリティポリシーが改訂された時点で話題になってたんですよね。

Dropbox がセキュリティポリシーに改訂を加えた内容っていうのは上記の Dropbox Blog で触れられているのですが

Here's both the old and the new language:

Old TOS:
Compliance with Laws and Law Enforcement. Dropbox cooperates with government and law enforcement officials and private parties to enforce and comply with the law. We will disclose any information about you to government or law enforcement officials or private parties as we, in our sole discretion, believe necessary or appropriate to respond to claims and legal process (including but not limited to subpoenas), to protect the property and rights of Dropbox or a third party, to protect the safety of the public or any person, or to prevent or stop any activity we may consider to be, or to pose a risk of being, illegal, unethical, inappropriate or legally actionable.

New TOS:
Compliance with Laws and Law Enforcement Requests; Protection of Dropbox's Rights. We may disclose to parties outside Dropbox files stored in your Dropbox and information about you that we collect when we have a good faith belief that disclosure is reasonably necessary to (a) comply with a law, regulation or compulsory legal request; (b) protect the safety of any person from death or serious bodily injury; (c) prevent fraud or abuse of Dropbox or its users; or (d) to protect Dropbox's property rights. If we provide your Dropbox files to a law enforcement agency as set forth above, we will remove Dropbox's encryption from the files before providing them to law enforcement. However, Dropbox will not be able to decrypt any files that you encrypted prior to storing them on Dropbox.

The Dropbox Blog » Privacy, Security & Your Dropbox から引用

とっても簡単にまとめると、改訂後の方では、「当局からの要請など、正当な理由でユーザーデータの提供を求められた場合は、ユーザーのデータを復号(つまり暗号化を解除)して提供することもあります」 ということが明記されたわけです。

で、それに対して問題点を指摘したのが 「Miguel de Icaza」 なわけですが、この時、Miguel de Icaza が問題にしていたのは、「当局にデータを提供するよ」 という部分ではなく、

My problem is that for as long as I have tried to figure out, Dropbox made some bold claims about how your files were encrypted and how nobody had access to them, with statements like:

  • All transmission of file data occurs over an encrypted channel (SSL).
  • All files stored on Dropbox servers are encrypted (AES-256)
  • Dropbox employees aren't able to access user files, and when troubleshooting an account they only have access to file metadata (filenames, file sizes, etc., not the file contents)

But anyone that tried to look further came out empty handed. There really are no more details on what procedures Dropbox has in place or how they implement the crypto to prevent unauthorized access to your files. We all had to just take them at their word.

This wishy-washy statement always made me felt uneasy.

But this announcement that they are able to decrypt the files on behalf of the government contradicts their prior public statements. They claim that Dropbox employees aren't able to access user files.

This announcement means that Dropbox never had any mechanism to prevent employees from accessing your files, and it means that Dropbox never had the crypto smarts to ensure the privacy of your files and never had the smarts to only decrypt the files for you. It turns out, they keep their keys on their servers, and anyone with clearance at Dropbox or anyone that manages to hack into their servers would be able to get access to your files.

Dropbox Lack of Security - Miguel de Icaza から引用

これまた簡単に言えば、

Dropbox はデータ転送中もサーバへのアップ後も、ファイルはすべて暗号化されてて、Dropbox の中の人でもファイルの中身は見られないようになってるよ (ファイル名などのメタデータにはアクセスできるけど) って書いてたのに、セキュリティポリシーを 「なんかあったら復号化するよ」 って改訂したってことは、元々ユーザーのファイルに中の人がアクセスすることができるようになってたってことじゃん?それってウソついてたってことだよね?

という点。

これが、今回の WIRED VISION の記事でも触れられている部分なわけです。

2500万人のユーザーを擁するオンライン・ストレージ人気サービス『Dropbox』を、有名なセキュリティー研究者が米連邦取引委員会(FTC)に告発した。セキュリティーと暗号化についてユーザーをだましたという内容だ。

5月19日(米国時間)にFTCに提出された告発状(PDFファイル)では、Dropbox社はユーザーに対し、保存されるファイルは完全に暗号化されており、同社の従業員はファイルの内容を見ることはできないと説明していたが、それは事実と異なるとして非難されている。

告発状を提出したのは、現在は博士課程に在学中で、FTCで1年勤務したこともあるChristopher Soghoian氏。同氏はこの4月、保存ファイルの内容をDropbox社が見られることを示す情報を発表した。政府の捜査当局や、悪意ある従業員、さらには著作権侵害の巨大訴訟を起こそうとする企業など、ユーザーたちはさまざまな危険にさらされているという。

「Dropboxの暗号化は嘘」:FTCへの告発 | WIRED VISION から引用

「中の人もファイルの中身は見ることができない (ルール的にだけではなく仕組み的に) から安全だよ」 と言ってユーザーを集めておいて、実は中の人ならファイルの中身を見ることができる (ルール的には厳重に管理されているけど仕組み上はできる) ってことでしたってのはユーザーを騙してたってことになるでしょ。という主張ですね。

ただ、これには 4月の時点で Dropbox 側から反論が出ています。前述した 「Miguel de Icaza」 の記事を取り上げた Boing Boing の記事では、追記として Dropbox の CTO である Arash Ferdowsi 氏のコメントを掲載しています。

first, I'd like to clarify what our intent was in how we represented privacy in our TOS. in our help article we stated "Dropbox employees aren't able to access user files" we didn't intend to mislead anybody with this statement - we prevent this via access controls on our backend as well as strict policy prohibitions. we don't feel this statement implies anything about who holds the encryption keys or what mechanisms prevent access to the data.

that said, it's become very clear to us that the statement wasn't explicit enough about what the barriers to access are. consequently, we've updated our help article and security overview to be explicit about this.

secondly, I'd like to clarify that we've never stated we don't have access to encryption keys. we've made quite a few posts in our public forums over the years about this very fact and we are quite open with our community: 1, 2, 3. via JWZ)

Dropbox's new security policy implies that they lied about privacy from the start -- UPDATED - Boing Boing から引用

※ 上記のコメントは WIRED VISION の記事の原文 「Dropbox Lied to Users About Data Security, Complaint to FTC Alleges」 にも追記されました。また、Miguel de Icaza のコメント欄にも同様のコメントがArash Ferdowsi 氏によって投稿されています。

簡単にまとめると、下記のような感じです。

まず最初に、騙したってのは誤解。中の人が誰もファイルを見ることができないようになってるなんて言うつもりはなかったよ (アクセス制限と社内規約で従業員によるファイルへのアクセスは厳しく制限されてるけどね)。ちょっと言葉足らずで誤解を招いたのかもしれないからそれについてはヘルプページに詳しく書いた。あと、はっきり言っておくけど、我々が 「復号キーを持っていない」 なんて一度も言ったことないし、それについてはコミュニティで過去何度も書いてるよ。これとかこれとかこれとかね。

なるほど。で、実際にコミュニティに書かれている内容ですが、

hi zazu,
dropbox is private. dropbox employees are only able to view metadata when debugging problem and helping with support issues. while it is technically possible for files to be decrypted on our side, the same is the case with any online service that allows you to see access files/content (gmail is one example).

Posted 2 years ago #

How much can the Dropbox team see? « Dropbox Forums から引用

「Dropbox はプライベートなサービスです (他人があなたのファイルを見ることはないよって意味かな)。サポート業務で必要な時、Dropbox の従業員はユーザーのファイルのメタデータを見ることはできるよ。技術的に我々がユーザーのファイルを複合化することはできるけど、それは他の Web サービスでもみんな同じだよね (例えば Gmail とか)。」これ、2年前の投稿ですね。

hi vin,
even in this model, your password is sent up to the server in order to decrypt the filenames/file metadata. spideroak could just as easily save the key derived from your password when you log in and decrypt your filenames and data. the fact that their server generates output that contains your filenames, etc. is proof that they can still access your data/metadata if they really want to.

the only way to be 100% sure about that data can not be decrypted in the cloud is to actually do the encryption yourself before the files are uploaded.

all that said, we too, take security very seriously. every file block is encrypted and files are stored encrypted. additionally, all metadata/file data is transferred over SSL.

Posted 1 year ago #

zero-knowledge….do you have it? « Dropbox Forums から引用

長いのではしょりますが、真ん中あたり、「心配だったら Dropbox にアップする前にローカルでファイルを暗号化しといてね。」 これは1年前の投稿。

HELLo!
That is correct, yes.

However, since the files are encrypted with the DB teams encryption key, they still have the possibility to see the files if they really wanted. If not the web interface would not have been possible. What you should do, for those highly private files, is to use a third party encryption application that you control. TrueCrypt is the recommended one. That way, no-one will ever have the possibility to look at the files. At least not without you giving them the password. ;-)

It all just comes down to how much trust you're willing to place on the few people in the DB team that actually can access the key, if they like (and would take the risk of being discovered).

Happy syncin'!

Posted 1 year ago #

File ownership and privacy rights? « Dropbox Forums から引用

これも1年前の投稿。「DB チームが持ってる暗号キーがあれば複合化はできるようになってるよ。だってこちらで複合化できなければ Web インターフェースは提供できないからね。(DB チームは社内規約で勝手にファイルを見たりしないようにはなってるけど) あとはあなたがウチの DB チームをどれだけ信頼できるかだね。もし心配ならローカルで暗号化してからアップして。TrueCrypt とかオススメだよ。」 1番目の投稿内容ともかぶりますが、暗号キー持ってる人ならファイルを見ることはできるとはっきり書いています。(しかしノリが軽いな…)

ということで、もともと Dropbox 側は 「社内の誰もユーザーのファイルにはアクセスできないようになってます」 などと言ったことはなく、単にヘルプページやセキュリティポリシーの書き方の問題で誤解を招いていただけという話かと思います (そもそも紛らわしい書き方するなよっていう意見はあるかもしれませんが)。

それがセキュリティポリシーを改訂した時にわかりやすく直したため、「誰もファイルにはアクセスできない」 と思っていた人が 「話が違うんじゃないの?」 と言い出したと。

もし意図的に誤解させるつもりならフォーラムで上記のようにバカ正直に 「ファイルの中身は技術的には見られるよ」 なんて書く必要がないですからね。

で、この辺までの話は 4月の時点でもう結論出ていて、告発しましたとか大して重要なお話じゃないんですが、最後に改めてこういうサービスを使用する際の注意点をまとめてみたいと思います。

インターネットの向こう側にファイルを預ける時の心得と対策

まず、Dropbox に限らず、他人が運営、管理するサーバにファイルを預けるにあたっては 「アップロードしたファイルの中身が運営の中の人に見られる可能性がある」 というのは当たり前の前提として覚えておかないといけません。

その上でユーザーが取れる選択肢としては、

  • 見られてもへっちゃら。まったく気にしません。
  • 中身見られたら困るのはそもそもアップしない
  • 中身見られたら困るものはローカルで暗号化してからアップする (100% 安全ではないが)
  • いかなるデータも絶対に他人には預けない (インターネット使わないってことかな…)

あたりになるかと。

事前に暗号化してからアップする方法に関しては、過去に TrueCrypt を使用した方法をこの Blog でも紹介していますのでそちらを参考まで。

あとは

  • Dropbox を使用することによる便利さ・メリット
  • 手元で暗号化したりすることにかける手間
  • ファイルの中身を他人に覗かれる事態が発生する確率
  • 万が一ファイルの中身が他の人に見られた場合の損害

などを天秤にかけて、最もバランスの取れた選択肢を (ファイルの内容ごとに) 選べばいいと思います。例えば旅行の写真が誰かに見られたところで大した問題はありませんが、仕事関連のファイルだと内容によっては慎重に扱う必要がありますよね。

とはいえ、例えば今回の件も別に 「Dropbox の中の人が実は好き勝手にユーザーのファイルを覗いていたのが発覚しました」 とか、そんな話ではありませんし、アメリカではテロ対策もあって、こういった事業者には当局から求められた際、データを提供しなければならない法律 (愛国者法 / USA PATRIOT Act) がありますので、正当な理由があればファイルの中身が捜査当局に開示されるのはごく当たり前のこと。そのためにサービス提供者側で複合化できる手段を持っていることも特におかしなことではありません ※1。

その辺はアメリカの企業が提供しているサービスなら、どのサービスを使っても同じですから、これだからクラウドは危険なんだよとか慌てふためかないようにしましょう。

実際、クラウドは危ないからと言って自宅や会社でデータを保管していたって、物理的にサーバや PC が盗まれるとか、データを誰かが持ち出すなんて可能性が 0 になるわけではありませんしね…サービス提供者が言っているセキュリティ強度やセキュリティポリシーをどの程度信用するかと、リスクに対してどこまで自分の方で自衛手段をとっておくか、そこが重要です。

ということで、長くなってしまいましたが便利なサービスはメリットとデメリットを理解した上で、賢く使って楽をしましょう。

※1
本件はアメリカの法律に関係する話ですので、日本国内で同様のサービスを提供している会社がどういう風にサーバ内のデータを扱っているのかや、法律的にどこまでのデータ提供義務があるのかは詳しく知らないんですが、その辺ってどうなってるんですかね。教えて詳しい人。

関連リンク

Recent Entry

全ての記事一覧を見る

Hot Entry

逆引きおすすめエントリー