米シマンテックは2012年3月8日、ストレージサービス「Dropbox」を悪用する迷惑メールやウイルスメールが確認されているとして注意を呼びかけた。メール中のURLをクリックすると、Dropboxに置かれた広告やウイルスファイルに誘導される。
Dropboxには、ほかのユーザーとファイルを共有する機能がある。ファイルを共有させたいDropboxユーザーは、共有用のURLが記載されたメールを相手に送る。そのURLにアクセスすると、Dropboxのサーバーに置かれたファイルにアクセスできる。
迷惑メール送信者やウイルス作者は、この機能を悪用する。例えば、迷惑メール送信者は、複数のDropboxアカウントを取得。それぞれのアカウントの共有フォルダーに、宣伝目的の画像とHTMLファイルをアップロードしておく。
そして、その共有ファルダーにアクセスするURLを記載したメールを、多数のユーザーに送信する。共有フォルダーに置かれたHTMLファイルを開いて、ファイル中のリンクをクリックすると、医薬品を販売するWebサイトに誘導される(図)。
シマンテックでは、このタイプの迷惑メールを多数観測。記載されているURLは異なることが多く、48時間で1200種類以上のURLを確認したとしている。
同社によれば、Dropboxは広く使われているので、ユーザーの多くはDropboxのURLを信用し、リンクをクリックしてしまいがちだという。
ウイルスの配布にも悪用されている。同社では、ポルトガル語で書かれた悪質メールを確認している。デジタルカメラで撮影した画像ファイルに見せかけたリンクをクリックすると、Dropboxに置かれたウイルスに誘導されるという。
今回の件ではDropboxが悪用されたが、それ以外のストレージサービスでも、ファイルを共有する機能がある場合には、同じように悪用される恐れがあるとシマンテックでは警告している。
こういった悪用を防ぐために、サービス提供者側が何らかの対策を実施する必要があるものの、優先度は低いのが実情だという。このため、ユーザー側で「リンクを安易にクリックしない」といった対策を採る必要がある。
