Document Exhibit 99.1
Dropbox Signに関する最近のセキュリティインシデント
4月24日、Dropbox Sign(旧HelloSign)の本番環境への不正アクセスが発生したことが判明しました。さらなる調査の結果、脅威の存在がDropbox Signの顧客情報にアクセスしたことが判明しました。このインシデントはDropbox Signのインフラ関連に限定され、他のDropbox製品には影響がなかったと考えています。私たちは、行動を起こす必要があるすべてのユーザーにステップバイステップの指示を提供し、データをさらに保護する方法を説明するための連絡を取り合う過程にあります。また、セキュリティチームでは、ユーザーのパスワードをリセットし、Dropbox Signに接続したすべてのデバイスからユーザーをログアウトし、すべてのAPIキーとOAuthトークンの回転を調整しています。詳細とFAQについては、以下をお読みください。
4月24日、Dropbox Sign(旧HelloSign)の本番環境への不正アクセスが発生したことが判明しました。さらなる調査の結果、脅威の存在が、Dropbox Signの顧客情報(電子メール、ユーザー名、電話番号およびハッシュ化されたパスワード)を含むデータにアクセスしていたことが判明しました。一般アカウントの設定とAPIキー、OAuthトークン、多要素認証などの認証情報も関連しています。また、Dropbox Signを介してドキュメントを受信またはサインしたが、アカウントを作成しなかった場合、電子メールアドレスと名前も公開されました。これに加えて、「Googleでサインアップ」といった方法でパスワードを設定しなかった場合、パスワードは保存されず公開されていません。顧客のアカウント(つまり、ドキュメントや契約などの内容や支払い情報)に対する不正アクセスの証拠は見つかっていませんでした。
Dropbox Signを介してドキュメントを受信またはサインしたが、アカウントを作成しなかった場合、電子メールアドレスと名前が公開されたことがあります。また、Dropbox SignまたはHelloSignのアカウントを作成したが、私たちとパスワードを設定しなかった場合(例:「Googleでサインアップする」)、パスワードは保存または公開されなかったということです。顧客アカウントの内容(つまり、ドキュメントや契約)または支払情報に対する不正なアクセスの証拠は見つかっていませんでした。
技術的には、Dropbox Signのインフラは他のDropboxサービスと大きく分離されています。しかし、私たちはこのリスクについて徹底的に調査し、このインシデントはDropbox Signインフラに限定され、他のDropbox製品に影響を与えなかったと考えています。
何が起こったか、そして私たちの対応について
この問題に気付いたとき、私たちは産業界をリードする法医学の専門家と共に調査を開始し、ユーザーに対するリスクを理解し、軽減するための措置を講じました。
私たちの調査に基づいて、第三者がDropbox Signの自動システム構成ツールにアクセスしました。脅威のアクターは、バックエンドで使用される非人間アカウントの一種であるサービスアカウントを侵害しました。そのため、このアカウントは、Signの本番環境内でさまざまなアクションを実行する権限を持っていました。脅威のアクターは、このアクセスを使用して、私たちの顧客データベースにアクセスしました。
これに対し、私たちのセキュリティチームでは、ユーザーのパスワードをリセットし、Dropbox Signに接続したすべてのデバイスからユーザーをログアウトし、すべてのAPIキーとOAuthトークンの回転を調整しています。私たちはこのイベントをデータ保護監督官および警察当局に報告しました。
私たちが次にやること
Dropboxでは、信頼に値することが最優先であり、顧客とそのコンテンツの保護に当たっては、高い水準を維持しています。ここでは、その基準に達していませんでした。このインシデントによる顧客への影響について、深くお詫び申し上げます。
私たちは顧客にリスクを軽減するために、昼夜を問わず取り組んでおり、行動を起こす必要があるすべてのユーザーにステップバイステップの指示を提供し、データをさらに保護する方法を説明するための連絡を取り合う過程にあります。
私たちは今後、このような脅威に対する保護を強化するため、このインシデントを詳しくレビューしています。私たちは顧客と協力しており、このインシデントに影響を受けたすべての人々を支援するためにここにいます。
このインシデントに関してお問い合わせいただく場合は、こちらからお問い合わせください。
顧客FAQ
私はSignの顧客です。Dropboxは私を保護するために何をしてくれましたか? 私は何をする必要がありますか?
ユーザーの口座(つまり、ドキュメントや契約書)への未承認アクセスの証拠は見つかっていません。
パスワードを期限切れにし、接続されていたすべてのデバイスからログアウトし、あなたの口座を更に守ります。次回、あなたがあなたのSignアカウントにログインすると、パスワードをリセットするためにメールが送信されます。できるだけ早く行うことをお勧めします。
APIのお客様の場合、あなたのアカウントのセキュリティを確保するために、新しいAPIキーを生成して、それをあなたのアプリケーションと構成し、現在のキーを削除する必要があります。 以降、APIキーの一部の機能を制限する予定です。署名リクエストと署名機能のみがビジネスの継続性のために引き続き操作可能になります。APIキーを回転させると、制限が解除され、製品は通常通り機能し続けます。以下に新しい鍵を簡単に作成する方法が記載されています。
マルチファクタ認証のために認証アプリを使用している場合はリセットする必要があります。既存のエントリを削除してからリセットしてください。SMSを使用している場合は何も行う必要はありません。
他のサービスでもDropbox Signパスワードを再利用した場合は、そのアカウントのパスワードを変更し、可能であればマルチファクタ認証を利用することを強くお勧めします。
DropboxアカウントにリンクされたSignアカウントがある場合、Dropboxアカウントは影響を受けません。
いいえ。今のところ私たちの調査によると、このインシデントはDropbox Signのインフラ関連に限定され、他のDropbox製品には影響を与えていません。
ただし、他のサービスでもDropbox Signパスワードを再利用した場合は、そのアカウントのパスワードを変更し、可能であればマルチファクタ認証を利用することを強くお勧めします。Dropbox Signアカウントのこれを行う方法についての説明は、ここをクリックしてください。
Sign APIのお客様ですか。お客様のデータも漏洩しましたか?
Dropbox Signを通じてドキュメントを受信または署名したが、アカウントを作成しなかった人の名前とメールアドレスが公開されました。
このインシデントに関するより詳細な情報はどこで入手できますか?
私たちは行動を起こす必要があるすべての影響を受けるユーザーに連絡するプロセスに入っており、1週間以内にすべての通知が完了すると予想しています。
あなたの調査は完了しましたか?
私たちの調査はまだ進行中です。新しい情報があり次第、追加の更新を提供します。