最近、非常に重大な事故を起こしてしまったので報告します。実際の被害は、最高が7だとすると3か4ぐらい、しかし潜在的な危険度からいうと7段階で7、ってくらい重大。Dropboxでファイルを大量に失なってしまったばかりか、個人情報流出の危険をおかしてしまいました。(実際には流出といえるものはありませんでしたが)
- Dropbox Businessチームに招待され参加して「アカウントを統合」すると、自分では抜けられない状態になる
- それだけでなく、それまで自分がもっていたファイルもすべてチームのものになる
- 個人用の契約が勝手に解除されてしまう
- 私のアカウントを削除すると、管理者は私のファイルを自分のものにすることができる
- 管理者にアカウントを削除されるとなにもなくなる。アカウントがなくなるので、Dropboxに問い合せすらできない
- 管理者の協力でファイルはなんとか復旧できそうだけど、ためこんだPapersのファイルを失なう(復旧できないかもしれない)
ってなことが起こりました。
事の起こりは、世話になってるあるひと(A氏)が、少し大き目のファイルを共有するためにDropboxを使おうとしたことでした。どうもA氏はDropboxとか使ったことがなかったみたい。A氏はDropbox Business Advancedのトライアル版から関係者にチーム参加への招待を出したわけです。(チームに招待するんじゃなくてファイルを共有というか公開するだけで十分だったわけですが)
私はDropboxを長年課金してつかっていて、いまは個人用のProfessionalアカウントをもっていました。
私はうっかりその招待のリンクを踏んでしまい、招待を受諾してしまいました。受諾すると「アカウントを統合する」と「新規アカウントを作成する」の二択になるわけですが、ここで「Dropboxの新規アカウントまた作るとか面倒だから、「アカウントを統合」でいいだろう」とそっち選んでしまったわけです。
https://help.dropbox.com/ja-jp/teams-admins/admin/invite-team
https://help.dropbox.com/ja-jp/teams-admins/team-member/join-business-team
ところが!このチームに入って「アカウントを統合」すると、私は自分ではこのチームから退会することができないのです!
さらに、私がもっていたファイルもどうもチームの所有になってしまうらしく、手元のPC (Mac)のディレクトリも変更されている。チーム名のフォルダが勝手に作られ、そのなかに私のフォルダがあるという状態。これは気持ち悪い。
さらに、それまで設定していたファイル共有などがすべて無効になってしまうようでした。共有は便利なので学生様たちといろいろやっていて、特に次の日の1回生のテスト範囲・予想問題などをPapersで公開してたので問い合わせ続出。ここらへんで「おかしい」と思いはじめました。
私のファイルを管理者(A氏)が見ることができるかどうかもよくわからない状態。いちおう下の説明では読めないってことになってるけど、ファイルが自分の知らない状態になっているというのはものすごく気持ち悪い。みなさんわかりますよね。ごくごく個人的な情報もDropboxとかに置いてるものだし、学生様や大学の機密情報とか他人の目に触れるところにあったら懲罰懲戒ものです。
https://help.dropbox.com/ja-jp/teams-admins/team-member/team-access-to-files
自分では退会してもとの状態に戻すことができないので、A氏に「(チームから)私のアカウントを削除してください」とおねがいしたわけです。(私は管理権がないのでどういう状態になってるかわからない)
次の日、A氏から「削除した」という連絡がはいって確かめるとMacのDropboxのファイルはすべてなくなっており、またブラウザからログインもできない。ログインできないとDropboxは問い合わせ窓口さえなくなります。ここらへんから本気であわてました。(実は、私の前にもう一人同じ状態になってしまった人がいたのですが、それはおいておいて。)
アカウントを削除するときに、A氏はメンバー停止の他の選択肢を選ぶこともできたのですが、「削除しろ」って言われたわけだから「アカウントの削除」を選択した(あとになってみれば他の選択肢もあったのですが)。ところが、管理者は「このメンバーのファイル コンテンツを移行する」を選択することができて、A氏は安全のためにそっちを選択した。これはわかる。それによって、A氏は私のファイル群(2TB)をまるごと自分のフォルダに置き自由にすることができるのです。しかしこれおそろしいでしょ。本当おそろしい。
https://help.dropbox.com/ja-jp/teams-admins/admin/delete-member
というわけでここまでで何が起こったかというと、私はチームに参加して「アカウント統合」するというワンクリックで、自分のデータ財産とアカウントの生命をA氏に渡してしまい、(A氏は意図してなかったけど)アカウントを殺されて財産を奪われた、という形なわけです。(もちろんA氏は意図していたわけではないが結果的にそうなる)
こんなのがワンクリックで生じるなんてことは私は考えもしませんでした。Profesionalアカウントで課金してるんだし、課金契約が解除されたというメールも届かなかったし、「チームへようこそ!」みたいなのが最後の連絡でした。
アカウントを削除されることによって、私、4台のマシンでDropboxのファイルをもっていたのですが、1台のこらず全部ファイルが消えました。わざわざぜんぶ一瞬で消してしまう仕組みなんですね。消すかどうかたずねもしない。
しょうがないのでアカウント作りなおして、窓口に問い合わせとかしたんですが、まあファイルはA氏が保存していたのを「共有」したりしてとりもどせそうですが、Papersにあった大量のメモや教材みたいなのはもう復活はむずかしそう。窓口担当者によれば、「統合については管理者と参加者の同意なので」とか「アカウントを削除しても復活できるのだが、「ファイルを移行する」をするともう復活できない、問題が起きたときにすぐに相談してくれ」のような話で、つまりDropboxには責任はないというほのめかし。まあ責任あると認めちゃうと損害賠償とかされて面倒だから認めないでしょうね。
まあこんな大事故、ひさしぶりに起こした感じで、PCもネットも30年以上触っているのに恥かしい。結果的に、学生様の個人情報や他の守秘義務のある書類等は(たいていエクセルやワードなので)OneDriveにあったので、失なったり危険にさらしたのは私の個人情報とPapersにあったメモや教材なのですが、それでも打撃とショックは大きい1)読書メモやこういうブログ記事なんかも、いったんPapersで書くクセがついていて、メモ段階で残ってるやつがけっこうあって相当痛い。。2TB近いファイルをダウンロードして別のにあげなおすのも数日がかりになること確定で、そのためにディスク用意しないとならんし。そのほかもろもろの調整もしないとならん。
A氏はこういうの不慣れだからしょうがないし(それはわかっていた)、私はあるていどわかってるつもりになってるのに「(Dropboxだから)さすがにそんな危険なことはないだろう」と思いこみがあってすごく馬鹿だというのはその通りなのですが、こんな仕組み、悪意あるユーザーが誰かを招待して簡単にファイル奪ったり消したりできるってことなので、ほとんど許しがたいと思います。少なくとももっと何度も確認するべきだ。だって、自発的に奴隷になって、それ以降あらゆる権限がなくなる不可逆的な契約とまったく同じなんですよ?悪魔メフィストフェレスだって、魂奪う契約する前にもうすこし条件を説明してくれたはずだ。
Dropboxは便利だし信頼していたのに、ほんとに残念というかなんというか。「契約料金の残りの分はすでに返金している」みたいな連絡はもらったけど、正式な通知はなし。警告なしのワンクリックでこんなことになるなんて納得がいかないので、Dropboxにはクレームつけています。まあ詫び石とか要求するつもりはないけど。
んで、この話を授業でしゃべったら、学生様たちのなかには、自分たちの個人情報が流出したのではないかと不安になった人たちもいたようで、もうしわけないことをしました。当局の耳にもはいったみたいなので、まあ始末書ぐらい書かないとならんかもしれません。でもそれくらいですみそうで、潜在的な事故の大きさかさするとこれくらいですんでまだましだったとは思います。
References
| 1. | ↑ | 読書メモやこういうブログ記事なんかも、いったんPapersで書くクセがついていて、メモ段階で残ってるやつがけっこうあって相当痛い。 |
ピンバック: Dropbox Businessは非常に危険です (悪いデザインは人を苦しめます) | 江口某の不如意研究室 | 暮らしの総合まとめサイト KURAMATO
ピンバック: 2020-06-21のニュース | Re: spam news