Dropbox、スパムメール問題の経緯と今後の対策を説明

[佐藤由紀子，ITmedia]

　クラウドストレージサービスの米Dropboxは7月31日（現地時間）、同サービスで利用しているユーザーのメールアカウントにスパムメールが届くようになった問題についての調査結果を報告し、今後のセキュリティ対策について説明した。

　この問題は7月半ばごろ、ユーザーがDropbox専用に使っている電子メールアドレス宛てにオンラインカジノの宣伝メールが届いたとの報告が多数寄せられ、Dropboxからメールアドレスが流出したのではないかとの疑念が浮上したもの。同社は社外の専門家にも依頼して調査していた。

　調査の結果、まず、Dropbox以外のWebサイトから盗まれたユーザー名とパスワードが少数のDropboxアカウントへの侵入に使われたという（この“少数のDropboxアカウント”のユーザーには個別に連絡済み）。そうしたアカウントの1つがDropboxの従業員のもので、この従業員のストレージには、ユーザーのメールアドレスが記録された、あるプロジェクトのドキュメントが保存してあった。スパム送信者はこのドキュメントの情報を悪用したとDropboxは考えている。

　こうした問題が二度と起こらないよう、従業員のDropboxにユーザーデータを保存しないようにするとともに、以下の4つの対策を実施するという。

• Dropboxのログインに、二段階認証機能を採用する。二段階認証機能は、Googleアカウントでもオプションで利用できるログイン方法。向こう数週間以内に実施する
• 不審なアクティビティを検出する新たな自動メカニズムを追加する
• アカウントの「設定」に「セキュリティ」タブが追加された。このタブで、ログイン状態を確認できる
• 安全性の低いパスワードを利用しているユーザーや、パスワードを長期変更していないユーザーにパスワード変更を促す

「設定」の「セキュリティ」タブ

　Dropboxはユーザーに対し、複数のサービスで共通のパスワードを使わないよう求め、パスワードを覚えていられない場合は1Passwordのような管理ツールを使うよう勧めている。