セキュリティは楽しいかね? このページをアンテナに追加 RSSフィード Twitter


なにかあったらユーザーのデータを復号して当局に提出するのでよろしく! (Dropbox 談)

(2011/04/23 更新)

最近ユーザー数が 2,500万人を突破し、日本でも人気の高いクラウドストレージサービス Dropbox。実は先日、利用規約(Terms of Service)を変更したことをみなさんご存知だろうか。

Privacy, Security & Your Dropbox (The Dropbox Blog)

Hi Dropboxers,

Like many of you, we’ve been reading the reports about a change we made to our Terms of Service, and more generally about Dropbox’s approach to privacy and security.

Everyone who works at Dropbox knows our most important asset is the trust of our users. Dropbox is used by millions of people every day, including our own friends and families, and we promise them — and all of you — that we work hard to keep your most important data safe, secure, and private.

In this post, we’d like to go through each of the concerns that has been raised, and provide you with answers that we hope you feel are complete, transparent, and straightforward. We also provide detail on specific technical concerns. We look forward to your feedback, and will continue to strive to make our policies as easy to understand as Dropbox is to use. Our goal is to have an open and honest relationship with you so that we can address all of these issues quickly and effectively.

変更によってわかりやすくなったのは結構なのだが、その内容がいろいろと議論を呼んでいる。それはこの部分。(Dropbox Privacy Policyより引用)

Compliance with Laws and Law Enforcement Requests; Protection of Dropbox’s Rights. We may disclose to parties outside Dropbox files stored in your Dropbox and information about you that we collect when we have a good faith belief that disclosure is reasonably necessary to (a) comply with a law, regulation or compulsory legal request; (b) protect the safety of any person from death or serious bodily injury; (c) prevent fraud or abuse of Dropbox or its users; or (d) to protect Dropbox’s property rights. If we provide your Dropbox files to a law enforcement agency as set forth above, we will remove Dropbox’s encryption from the files before providing them to law enforcement. However, Dropbox will not be able to decrypt any files that you encrypted prior to storing them on Dropbox.


Dropboxはユーザーのデータを保管するときに AES(256bit)で暗号化している。しかしその鍵は Dropboxが管理しているので、彼らはその気になればデータを復号して見ることができる。(もちろん鍵は厳重に管理していると言っているが。)

似たようなサービスの Jungle Diskの場合、鍵はユーザーが持っているのでこういうことは起きない。


  1. Dropboxをやめて、別のサービスに乗り換える
  2. Dropboxには、当局に提供されてまずい情報は保存しない
  3. あらかじめ手元で暗号化したデータを Dropboxに保存する (例えば、TrueCryptのコンテナを使う)
  4. 気にしない


ちなみに私の場合は、以前から 3番目の方法で自衛している。機微な情報は TrueCryptであらかじめ暗号化して、コンテナファイルを Dropboxに置いている。*1 しかしこの方法は頻繁に更新するデータには向かない。もっとも当局へ提出される可能性もあるが、事故などによって情報が漏洩する可能性もあるので、自衛するのはある意味当然ではある。

つい先日 Evernoteにも XSSがあって問題になったが、まあ Dropboxに限らずクラウドサービスを利用する場合、あまり事業者を信用しすぎちゃダメってことだろうか。

# Dropboxはご丁寧にも、Apple, Google, Skype, Twitterも同じことを利用規約に書いていると教えてくれている。(下図は Dropboxブログから引用)


(2011/04/23 追記)


(2011/04/23 追記その2)


All your data are belong to US!! (これわかるかな?)



heitattaheitatta 2011/04/29 23:02 これはいいパロディ