Dropboxは危険？過去の情報漏洩事件とプライバシーリスクを徹底解説

「Dropboxって危険なの？」と調べているあなたは、おそらくDropboxを使っていて少し不安になったか、乗り換えを検討しているかのどちらかだと思います。 結論から言うと、Dropboxは一般的な用途では十分使えるサービスです。ただし「危険性がゼロ」とは言い切れない理由がいくつかあります。この記事では、Dropbox特有のリスクと、安全に使うための対策を整理します。 よくあるような”なんとなく危険”というような説明ではなく、”Dropbox関連で過去にどんな事件やインシデントがあったのか？”という客観的な事実に基づいて解説します。

Dropboxのセキュリティ：基本的な仕組み

まずDropboxが採用しているセキュリティの仕組みについて解説します。 Dropboxは保存中のファイルにAES-256ビット暗号化、転送中のデータにはTLS/SSLを採用しています。これ自体は業界標準の水準であり、決して低いセキュリティではありません。 ただし重要な点として、Dropboxはエンドツーエンド暗号化（E2EE）を採用していません。暗号鍵はDropbox側が管理しているため、技術的にはDropboxの従業員やシステムがファイルの内容にアクセスできる状態にあります。これはGmailやGoogle Driveと同じ構造です。 一方で、最近はゼロ知識証明などを活用したエンドツーエンド暗号化を備えたクラウドストレージも増えてきています。そういったストレージサービスを利用すると、クラウドストレージの運営元の企業も全くデータを閲覧することができなくなります。残念ながら、Dropboxではそう言った仕組みは採用されていません。

Dropboxで実際に起きたセキュリティ事件

Dropboxは過去に複数の重大なセキュリティインシデントが発生しています。「なんとなく不安」ではなく、実際に起きた事実としてそれぞれ解説します。

2012年：6,800万アカウントの情報流出

Dropbox史上最大の事件です。2012年にDropboxの社員が、LinkedInの情報漏洩で盗まれたパスワードをDropboxのアカウントでも使い回していたことが原因で、攻撃者がDropboxの内部システムに侵入しました。 この侵入によって、6,800万以上のユーザーのメールアドレスとハッシュ化されたパスワードが盗まれました。Dropboxがこの事実を公式に認めたのは2016年、実に4年後のことでした。2024年には「史上最大の情報漏洩（MOAB）」として知られるダークウェブへの大規模データ公開の中に、この2012年のDropboxデータも含まれていたことが確認されています。

2018年：匿名化データの外部提供問題

Dropboxが学術研究目的でユーザーの匿名化メタデータを外部に提供していたことが明らかになり、批判を受けました。Dropboxは「匿名化されている」と説明しましたが、セキュリティ専門家からは「他のデータセットと組み合わせれば個人を特定できる可能性がある」との指摘が相次ぎました。この件を受け、Dropboxはプライバシーポリシーを改訂しています。

2022年：フィッシングによるGitHubリポジトリへの不正アクセス

フィッシング攻撃によって、Dropboxが利用していたGitHub上のソースコードリポジトリ130件に不正アクセスが発生しました。 社内向けツールのコード、開発者のAPIキー、数千件の社員・顧客・取引先のメールアドレスと氏名が流出しました。コアサービスへの影響はなかったとDropboxは説明しましたが、内部情報の流出という点で信頼性に傷がつく事件でした。

2024年：Dropbox Signへの不正アクセス

2024年4月、電子署名サービスのDropbox Sign（旧HelloSign）に不正アクセスが発生しました。攻撃者はバックエンドのサービスアカウントを経由して権限を昇格させ、顧客データベースに侵入しました。 Dropbox Signの全ユーザーのメールアドレス・ユーザー名・アカウント設定が流出。一部ユーザーについては電話番号・ハッシュ化パスワード・APIキー・OAuthトークン・多要素認証情報まで取得されました。Dropboxはこの事実をSEC（米国証券取引委員会）に報告しており、事件の深刻さが伺えます。

Dropboxのプライバシーポリシーで知っておくべきこと

セキュリティ事件だけでなく、Dropboxのプライバシーポリシー自体にも注意すべき点があります。

Dropboxが収集しているデータの範囲

Dropboxは氏名・メールアドレス・電話番号・住所・支払い情報といった基本的な個人情報に加え、ファイルのサイズ・アップロード元・共有相手・ファイル操作の履歴・接続デバイスの情報・IPアドレスなど、非常に広範なデータを収集しています。 また、Dropbox DashというAI機能を利用すると、過去90日分のブラウザ履歴（訪問したURLとそのページの内容）も収集されます。 これはDropboxの公式プライバシーポリシーに明記されています。

データの第三者共有

Dropboxは「データを広告主には売らない」と明言していますが、Google・Amazon・OpenAIなど複数の大手テック企業を含む第三者にデータを提供しています。 プライバシーポリシーには「公共の利益のため」という曖昧な表現での当局へのデータ提供も含まれています。 さらに、Dropboxのプライバシーポリシーではユーザーのドキュメントや操作データをもとに機械学習モデルのトレーニングに活用することも明記されています。具体的には検索精度の向上・自動整理・ドキュメント要約などの機能改善に使われるとされています。

アメリカの法律に基づく管轄

Dropboxはアメリカのサービスです。アメリカはFive Eyes（英・米・加・豪・NZ）の情報共有同盟に加盟しており、米国政府機関は法的手続きを経てDropboxにデータの開示を求めることができます。 また、かつてのUSA PATRIOT Actなどに代表されるアメリカの安全保障関連法は、企業に秘密裏の情報提供を義務付ける場合があります。

Dropboxが特に危険な使い方

Dropboxのリスクは使い方によって大きく変わります。特に以下のような用途には向いていません。

• 契約書・法的文書など機密性の高いビジネス文書の長期保管
• 医療記録・健康情報の保存
• パスポートや免許証などの身分証明書のスキャンデータ
• 財務情報・確定申告書類
• ジャーナリストや活動家が扱う情報源が特定されると困るデータ
• 第三者に絶対に見られたくないプライベートな写真や動画

逆に、一般的な写真のバックアップ・共同作業用のドキュメント・仕事上の一般的なファイル共有といった用途であれば、Dropboxのリスクは一般的なクラウドストレージと同程度です。

Dropboxを安全に使うための対策

現在Dropboxを使っている場合、以下の対策で安全性を高めることが可能です。

1. 二段階認証（2FA）を必ず設定する。SMS認証ではなく認証アプリを使うのが推奨です
2. Dropboxで使うパスワードは他のサービスと絶対に使い回さない。2012年の事件はパスワードの使い回しが原因でした
3. 機密性の高いファイルはDropboxに保存せず、別のより安全なサービスに分けて管理する

より安全なクラウドストレージを探している場合

Dropboxの代替サービスを検討する場合、重要なのは「エンドツーエンド暗号化（E2EE）またはクライアント側暗号化に対応しているか」という点です。これがあると、サービス提供者側でもファイルの内容を読めなくなります。 当サイトとしては、pCloudというクラウドストレージサービスをおすすめしています。 pCloudは、Dropboxと同じスイスに拠点を置くクラウドストレージで、オプションの「pCloud Crypto」を追加することでクライアント側暗号化に対応します。また、クラウドストレージとしては異例のライフタイムプラン（買い切り）が用意されており、長期的なコストパフォーマンスに優れています。詳しくはpCloudの詳細や評判・レビュー記事をご覧ください。

まとめ：Dropboxは「危険」か「安全」か

最後にこれまでの解説に基づいたまとめをお示しします。

観点	評価	補足
暗号化の強度	普通	AES-256採用だがE2EEなし。Dropboxがファイルを読める
過去のセキュリティ事件	要注意	2012年・2022年・2024年と複数回の重大インシデント
プライバシーポリシー	要確認	広範なデータ収集・第三者共有あり
一般的な用途での安全性	問題なし	写真・一般文書の共有には十分
機密情報の保管	非推奨	法的文書・医療記録・身分証明書には向かない
法的管轄	注意	米国法の管轄。政府機関からのデータ開示要請に対応

Dropboxは「危険なサービス」ではありません。ただし、「何でも安心して預けられるサービス」でもありません。保存するファイルの性質に応じて使い分けるか、より強い暗号化を持つサービスへの乗り換えを検討することをおすすめします。