クラウドデータストレージおよび同期企業のDropboxは、同社が提供する暗号化セキュリティのレベルについて消費者を欺いたとして、米連邦取引委員会に苦情を申し立てられた。
インディアナ大学の博士でセキュリティ研究者のクリストファー・ソゴイアン氏は、FTCに送った書簡の中で、Dropboxは保存するすべてのファイルを暗号化しているが、従業員によってこれを解除することができ、同社のセキュリティの信頼性が損なわれていると主張した。
ソゴイアン氏は、この設計は「業界のベストプラクティス」を満たしていないだけでなく、同社が率直に説明していなかった深刻なセキュリティリスクも表していると書いている。
「Dropboxは、データの保護と暗号化の範囲に関して、消費者に対し虚偽の声明を出し続けており、今後もそうするだろう」とソゴイアン氏は記した。「Dropboxの顧客は、データが暗号化されていないため、データ漏洩や個人情報窃盗のリスクが高まっている。」
シオーガン氏の見解では、Dropbox はユーザーを欺き、連邦取引委員会法第 5 条に違反しているという。
Dropboxの暗号化問題が発端となったのは数週間前、ソゴイアン氏をはじめとする関係者が、同社のデータ取り扱い方法について一連のクレームを申し立てたことがきっかけだったと考えられる。おそらくこれに対する対応として、Dropboxは4月21日、利用規約を明確化し、警察の要請があれば、サービスに投稿されたファイルの内容に警察がアクセスすることを許可する旨を明記した。
新しい利用規約には、「上記の通り、Dropbox のファイルを法執行機関に提供する場合、法執行機関に提供する前に、ファイルから Dropbox の暗号化を解除します」と記載されています。
「念のためお伝えしますが、このようなリクエストはそれほど多くありません。過去1年間で2500万人以上のユーザーに対し、月に1件程度です。100万アカウントに1件も発生しません」と、同社はその後のブログ投稿で述べている。
Soghoianのようなユーザーにとって、これは暗号化の使用を無意味なものにします。ファイルが暗号化されている間は安全であっても、その暗号化がいつでも解除できる場合、一体どのような意味でファイルは安全なのでしょうか?
Dropboxをめぐる論争の核心は、Dropboxがユーザーのファイルを暗号化するため、必然的にそのセキュリティを提供するための鍵を保存しなければならないという点にあります。これらの鍵を保存することで、Dropboxはファイルを復号化できるようになります。Dropboxが推奨する解決策の一つは、ユーザーがファイルをアップロードする前に暗号化することですが、これには代償が伴います。例えば、デスクトップPCとスマートフォン間でファイルを同期することはできますが、専用ユーティリティをインストールしなければファイルを開くことができなくなり、そのユーティリティはデバイスによって利用できるかどうかは分かりません。
これに対する Dropbox の回答は、このサービスは完全に安全なファイル リポジトリを意図したものではなく、暗号化されていない USB スティックなど、従来のデータ持ち運び方法よりも安全なサービスとしてのみ意図されているというものです。
「最新のバックアップがない、バックアップがまったくない、誤ってファイルを削除または上書きする、機密情報が入ったUSBドライブを紛失する、ファイルを間違ったコンピュータに残すなど、最も一般的な脅威をユーザーが回避できるようにすることに重点を置いてきました」とDropboxはブログ投稿で述べている。
Dropboxはソゴイアン氏のFTCへの書簡に対し、次のように回答した。「この(ソゴイアン氏の)苦情には根拠がなく、2011年4月21日のブログ記事で取り上げた問題を提起していると考えています。何百万人もの人々が毎日Dropboxのサービスを利用しており、私たちは彼らのデータの安全、セキュリティ、プライバシーを守るために全力を尽くしています」と、Dropboxの広報担当者ジュリー・スパン氏は声明で述べた。
MITの学生、ドリュー・ヒューストンとアラシュ・フェルドウシは、複数のコンピューターからファイルを共有できるよう、メールでファイルを送信する代わりに使える方法を考案するために、2007年にDropboxを設立しました。現在、世界中で2,500万人のユーザーを抱えるDropboxの無料サービスでは、最大2GBの文書、画像、動画を一元的に保存でき、ユーザーがDropboxのクライアントソフトウェアをインストールしたすべてのデバイスに自動的に同期されます。
