多発するデータ漏洩事件、Dropboxの安全性は？

Dropboxは2008年にリリースされ、瞬く間に人気のクラウドストレージの名前となり、2021年には7億人の登録ユーザーがいる。もしあなたがDropboxユーザーなら、この大手テック系ファイルホスティングサービスが長年にわたってデータ漏洩や不祥事を起こしていることは、ほとんどの場合ご存知だろう。Dropboxは人気のある大手テクノロジー・プロバイダーだが、現在ではDropboxより優れて安全ではないにせよ、似たような代替ストレージ・プロバイダーがたくさんある。Dropboxが100％安全でプライベートなものなのか疑問に思っているのであれば、このサイトをご覧ください。プライバシーの専門家として、Dropboxのプライバシーと安全性についてご紹介します。

前にも言いましたが、もう一度言います。人気があるから良いというわけではありませんし、残念ながら人気があるからプライベートというわけでもありません。特に個人情報や個人データに関しては。長年Dropboxはクラウド・ストレージ・プロバイダーのリーダー的存在だったが、その浮き沈みの後、Dropboxがいまだにエンド・ツー・エンドの暗号化を使用しておらず、悲しいことにあなたのプライバシーを保護していないことは、あなたにとってはニュースかもしれない。

要するに、これは米国に拠点を置く企業がいつでもアクセスし、あなたのファイルを閲覧できることを意味する。つまり、Dropboxは外部からの攻撃からあなたのデータを守るために強力な投資をしているかもしれないが、内部からの盗み見から安全だという意味ではないのだ。Dropboxのセキュリティとプライバシー機能について、さらに詳しく説明します。

目次

• Dropboxのセキュリティ
• でも本当に安全なの？
• Dropboxのプライバシーに関する懸念

適切なクラウドストレージ・プロバイダーを探すとき、Eメールと同じように、1つの靴がすべてにフィットするわけではありません。完璧なクラウド・プロバイダーを選ぶ際に考慮すべき要素はたくさんあるが、私が最も重要だと思うのはセキュリティとプライバシーだ。

データのセキュリティというのは、あなたのデータがどれだけ守られているかということです。もしプロバイダーがあなたの個人データを外部や内部からの攻撃から守ってくれなければ、そのプロバイダーはどれほど安全なのだろうか？データ・セキュリティは、あなたのファイルがあなたの個人的なデバイスからクラウドに転送されるとき、そしてクラウドサーバーに保存されるときに使用されます。プライバシーは、セキュリティと同様に重要であり、誰があなたの個人情報にアクセスできるのか、アクセスできる場合、プロバイダーがあなたの個人データをどのように使用するのかを意味する。

クラウド・ストレージのベンチマーク、あるいはゴールド・スタンダードと言えるのは、ゼロ知識暗号化（プライベート・エンド・ツー・エンド暗号化とも呼ばれる）を備えたものだ。エンドツーエンドの暗号化では、ユーザーだけが自分のアカウントと個人情報にアクセスできる。残念ながらDropboxはエンドツーエンドの暗号化には対応していません。適切な暗号化を使えば、自分のアカウントにアクセスできるのは自分だけであることが保証され、プライバシーとセキュリティの両方のボックスにチェックが入ります。

Dropboxのセキュリティ

セキュリティに関して、Dropboxは、あなたのファイルがあなたのデバイスからサーバーに転送されている間、およびあなたのファイルがサーバーに保存されている間、非常に優れたプロトコルを遵守しています。Dropboxのウェブサイトにも記載されているように、ファイルの転送時には、DropboxはSSL（Secure Sockets Layer）/TLS（Transport Layer Security）暗号化を使用しています。TLS/SSLは、デバイスとサーバー間のデータ転送を保護します。このような暗号化がなければ、データは外部からの攻撃に弱く、ハガキを送るのと同じように誰でも読むことができます。

Dropboxを使用する場合、ファイルは転送中に暗号化され、到着時に復号化され、もう一度暗号化されますが、今回は256ビットのAES（Advanced Encryption Standard）で暗号化されます。Dropboxのサーバーにデータが保存されているときは、AES-256ビット暗号化によって保護されます。Dropboxの暗号化実装の問題は、あなたのデータを保護する秘密鍵にアクセスできることだ。そのため、米国に本拠を置くこの企業は、あなたのデータを簡単に復号化できるため、すべてのデータに完全にアクセスできる。

Dropboxは、あなたのファイルが転送されている間はSSL/TLS暗号化を使用し、あなたのファイルがサーバーに静止している間はAES-256ビット暗号化を使用している。画像ソースDropbox

Dropboxは標準的な暗号化プロトコルを使用していますが、エンドツーエンドの暗号化は提供していません。彼らは暗号化キーにアクセスできるので、理論上、Dropboxではあなたの個人的なファイルや情報は自由に利用できる。前述したように、Dropboxはより広いレベルでは安全だが、プライベートであることやエンドツーエンドの暗号化を提供していることについては評価できない。GmailやOutlookのような多くのビッグテック企業では、確かにセキュアだが、プライバシーに関しては？ユーザーのプライバシーは広告ベースのビジネスモデルをサポートしないのだ。

そしてもちろん、Dropboxには詳細なプライバシー・ポリシーがあり、どのデータをどのように使用しているかが明確に記載されている。彼らを信頼する必要があるのか、それとももっと安全な選択肢があるのか？

その他のセキュリティ機能

Dropboxは二要素認証に対応しており、ログインに保護レイヤーを追加することができる。最近の多くのオンラインアカウントと同様に、ログイン認証情報に加えて、ログイン時にセキュリティキーまたはコードを使用することで、この追加保護を追加できます。 2FAは、アカウントを外部からの攻撃から安全に保つために推奨されている。特に、2021年のDropboxの情報漏えい事件では、7800万件のパスワードが漏えいした。

しかし、実際に安全なのだろうか？

TutaMailのような厳密なエンドツーエンドの暗号化プロトコルを使用することで、ユーザーや意図した受信者以外が情報にアクセスできない場合にのみ、真のセキュリティとプライバシーが達成されることを、Tutaで働き始めてすぐに学びました。エンドツーエンドの暗号化により、ファイルはサーバーに送信される前に自動的に暗号化されます。ファイルがサーバーに残っているときは、アクセスできず保護されているため、暗号化キーを持つユーザー以外はアクセスできません。

Dropboxでファイルを暗号化する場合は、少し技術的で厄介になります。この場合、サードパーティの暗号化ツールを使用する必要がある。画像ソースDropbox

Dropboxはデフォルトでエンドツーエンドの暗号化を提供していないが、ユーザーにはVeracryptのようなサードパーティの暗号化ツールを使うオプションがあり、これを使えば暗号化されたファイルをDropboxにアップロードできる。エンドツーエンドの暗号化を回避する方法があることは明らかだが、これはサインアップした瞬間からデフォルトであるべきもので、プライバシーの権利を犠牲にして不便を強いるものではない。

この問題に対処するため、Dropboxは最近Boxcryptorを買収した。Boxcryptorはエンドツーエンドの暗号化ツールで、Dropboxのファイルをクラウドにアップロードする前に暗号化することができる。しかし、Dropboxがこの機能を自社のアプリケーションにネイティブで追加するかどうか、またどのように追加するかはまだ明らかになっていない。BoxcryptorでDropboxファイルを暗号化する方法について詳しくお知りになりたい場合は、Dropboxのウェブサイトからお問い合わせください。

Dropboxのプライバシーに関する懸念

クラウドストレージは、重要なファイルやドキュメントを個人的に保存する場所であるべきです。多くの人にとって、クラウドは、税金の書類、写真、財務書類など、不格好なハードドライブが壊れたときに失いたくない重要な情報をバックアップするのに最適な方法だ。大量の記録を持つ企業にとって、クラウドは機密情報を保存するのに最適な場所だ。しかし、企業にとってクラウドが選択肢となるのは、その記録が機密で私的なものである場合に限られる。残念ながら、Dropboxの場合、保存されている情報はプライベートではない。プライバシーがなければ、ユーザーのファイルやデータが機密のままであるとは言えない。これは大きな懸念を引き起こす。

Dropboxはユーザーデータをどう扱っているのか？

Dropboxはプライバシーポリシーの中で、ユーザーの個人情報を処理し、利用状況、デバイス、IPアドレスを収集・追跡し、Amazon、Google、OpenAI、その他のDropbox傘下の企業などの「信頼できる」サードパーティと個人情報を共有することを明確にしている。あなたに関する多くの情報を収集するだけでなく、法執行機関やその他のサードパーティと共有することも可能であり、ユーザーとしてはこれらのデータ共有慣行を文字通りコントロールすることはできません。

Dropboxの管轄

考慮すべきもう一つの要素は、Dropboxの管轄権だ。Dropboxの本社は米国にあり、サーバーの大部分も米国にあります。Dropboxは英国、EU、日本、オーストラリアにもサーバーを設置している。残念ながら、ユーザーはデータの保存場所を選ぶことはできない。米国にデータが保存されるという点では、米国にはプライバシー保護法が存在せず、当局によるデータへのアクセスが容易であることを知っている私たちにとって、これは大きなマイナスだ。

サードパーティのツールを使ってデータをエンド・ツー・エンドで暗号化しない限り、データはプライベートではないということだ。さらに、米国を拠点とする同社が大量のユーザー情報やデータを収集し、グーグルのような信頼できるパートナー（ターゲット広告の掲載をビジネスモデルとする）と共有していることも明らかだ。さらに、Dropboxのコードはオープンソースではなく、プライバシーとセキュリティのトップ基準を満たしていない。つまり、Dropboxは最も安全な選択肢ではないのだ。

幸運なことに、今は2024年であり、数年前と比べると、プライバシーに重点を置いたクラウドプロバイダーがたくさん増えている。もしDropboxを捨てたいのであれば、あなたのプライベートな事柄を確実に守るために、エンドツーエンドで暗号化されたこれらのクラウドプロバイダーをお勧めする。

Dropboxの代替サービスリスト

• Tresorit：スイスの暗号化クラウド・ストレージ・プロバイダーで、最近スイス郵政公社に買収された。独立企業として運営されているが、スイス郵政公社はスイス政府によって管理されているため、懸念されるかもしれない。
• Internxt：EUを拠点とし、Google Driveのようなビッグテック・プラットフォームに代わる倫理的なクラウドストレージ。
• メガ：Megaは、キム・ドットコムが主導し物議を醸したプロジェクト、Megauploadの後継としてリブランディングされた。
• NextCloud：オープンソースコラボレーションとクラウドストレージがかつてないほど簡単になりました！

NextCloudがあなたのニーズに合わない場合、またはDropBoxを使い続けたい場合は、クラウドにアップロードする前にローカルでファイルを暗号化することが重要です。この回避策は、あなたの情報を安全に保ち、アクセスしやすくします。

どのオプションを選択しても、データは現在も将来も安全である必要があります。そのため、私たちは独自のポスト量子暗号化クラウドストレージ・プラットフォームTuta Driveのリリースに向けて取り組んでいます。Tuta Driveを使えば、政府の監視プログラムによって使われる「今収穫し、後で復号化する」戦術からデータを安全に保つことができる。私たちは、プライバシーは通信を超えて拡張されるべきであり、あなたの個人文書も同じ保護に値すると信じています。

一緒にインターネットをより良いものにしていきましょう！