NICTのセキュリティ演習受講者の情報がDropbox Sign経由で漏えいか：セキュリティニュースアラート

NICTは、セキュリティ講習「実践サイバー演習 RPCI」で使用している「Dropbox Sign」において、ユーザー情報に不正アクセスを受けていたことが判明したと報告した。受講者の一部情報が漏えいした可能性がある。

[後藤大地，有限会社オングス]

　国立研究開発法人情報通信研究機構（以下、NICT）は2024年5月16日、同組織のセキュリティ講習「実践サイバー演習 RPCI」で使用している電子署名システム「Dropbox Sign」において、ユーザー情報に不正アクセスを受けていたことが判明したと発表した。

Dropbox Sign経由でセキュリティ演習受講者の情報が漏えいか

　不正アクセスを受けていた情報には、2021〜2023年度に「実践サイバー演習 RPCI」を受講していた524人のDropbox Signのユーザー名や電子メールアドレスが含まれていたとしている。なお、受講証明書発行時にDropbox Signまたは「HelloSign」のアカウントを作成または同アカウントでログインしたユーザーが対象となる。

　Dropboxの調査によると、署名を求める電子メールを受け取ったユーザーのDropbox Signのユーザー名と電子メールアドレスが流出した。

　NICTによると、Dropboxは不正アクセスを把握した時点で、フォレンジック解析の専門家を招集して調査を実施し、事態の把握とユーザーへのリスク低減の取り組みを開始した。

　本稿執筆時点では、情報の不正使用などの事実は確認されておらず、対象となる受講者には電子メールで事態が報告された。NICTは今回の事案において個人情報漏えいの可能性が否定できないことから、2024年5月15日には個人情報保護委員会に本件を報告したとしている。

　NICTは今回の事案を踏まえて、より一層の情報管理の徹底を図るとともに、Dropboxと引き続きタイムリーな情報共有を努めるとした。