Hatena::ブログ(Diary)

セキュリティは楽しいかね? このページをアンテナに追加 RSSフィード Twitter

2011-04-22

なにかあったらユーザーのデータを復号して当局に提出するのでよろしく! (Dropbox 談)

(2011/04/23 更新)

最近ユーザー数が 2,500万人を突破し、日本でも人気の高いクラウドストレージサービス Dropbox。実は先日、利用規約(Terms of Service)を変更したことをみなさんご存知だろうか。

Privacy, Security & Your Dropbox (The Dropbox Blog)

Hi Dropboxers,

Like many of you, we’ve been reading the reports about a change we made to our Terms of Service, and more generally about Dropbox’s approach to privacy and security.

Everyone who works at Dropbox knows our most important asset is the trust of our users. Dropbox is used by millions of people every day, including our own friends and families, and we promise them — and all of you — that we work hard to keep your most important data safe, secure, and private.

In this post, we’d like to go through each of the concerns that has been raised, and provide you with answers that we hope you feel are complete, transparent, and straightforward. We also provide detail on specific technical concerns. We look forward to your feedback, and will continue to strive to make our policies as easy to understand as Dropbox is to use. Our goal is to have an open and honest relationship with you so that we can address all of these issues quickly and effectively.


変更によってわかりやすくなったのは結構なのだが、その内容がいろいろと議論を呼んでいる。それはこの部分。(Dropbox Privacy Policyより引用)

Compliance with Laws and Law Enforcement Requests; Protection of Dropbox’s Rights. We may disclose to parties outside Dropbox files stored in your Dropbox and information about you that we collect when we have a good faith belief that disclosure is reasonably necessary to (a) comply with a law, regulation or compulsory legal request; (b) protect the safety of any person from death or serious bodily injury; (c) prevent fraud or abuse of Dropbox or its users; or (d) to protect Dropbox’s property rights. If we provide your Dropbox files to a law enforcement agency as set forth above, we will remove Dropbox’s encryption from the files before providing them to law enforcement. However, Dropbox will not be able to decrypt any files that you encrypted prior to storing them on Dropbox.

この内容をわかりやすく言い換えたのが、この記事のタイトルである。(^^)


Dropboxはユーザーのデータを保管するときに AES(256bit)で暗号化している。しかしその鍵は Dropboxが管理しているので、彼らはその気になればデータを復号して見ることができる。(もちろん鍵は厳重に管理していると言っているが。)

似たようなサービスの Jungle Diskの場合、鍵はユーザーが持っているのでこういうことは起きない。


Dropbox利用規約の改訂で、当局からの要請などしかるべき理由があれば、ユーザーのデータを復号して提供することを明示した。Dropboxユーザーの自衛手段としては、

  1. Dropboxをやめて、別のサービスに乗り換える
  2. Dropboxには、当局に提供されてまずい情報は保存しない
  3. あらかじめ手元で暗号化したデータを Dropboxに保存する (例えば、TrueCryptのコンテナを使う)
  4. 気にしない

これくらいだろうか。

ちなみに私の場合は、以前から 3番目の方法で自衛している。機微な情報は TrueCryptであらかじめ暗号化して、コンテナファイルを Dropboxに置いている。*1 しかしこの方法は頻繁に更新するデータには向かない。もっとも当局へ提出される可能性もあるが、事故などによって情報が漏洩する可能性もあるので、自衛するのはある意味当然ではある。


つい先日 Evernoteにも XSSがあって問題になったが、まあ Dropboxに限らずクラウドサービスを利用する場合、あまり事業者を信用しすぎちゃダメってことだろうか。


# Dropboxはご丁寧にも、Apple, Google, Skype, Twitterも同じことを利用規約に書いていると教えてくれている。(下図は Dropboxブログから引用)

http://dl.dropbox.com/u/19291403/Privacy/Privacy%20Policy%20Comparison.jpg


(2011/04/23 追記)

誤解する人はいないとは思うけど、念のため。Dropboxサンフランシスコを本拠地とするアメリカの会社だから、これ当然アメリカの話です。みなさんのデータが日本の捜査当局とかに提出されちゃうという話ではありません。


(2011/04/23 追記その2)

Twitterにはつぶやいたんだけど、こっちに書くのを忘れてた。ZDNetの記事に紹介されていたイラストがちょっとおもしろかったので。

All your data are belong to US!! (これわかるかな?)

http://i.bnet.com/blogs/2011-04-18-dropbox2.jpg

*1:別に当局に見られて困るような情報ではないけど。

heitattaheitatta 2011/04/29 23:02 これはいいパロディ

はてなユーザーのみコメントできます。はてなへログインもしくは新規登録をおこなってください。