BERLIN, GERMANY - APRIL 22: The logo of the filehosting service Google Drive is shown on the display of a smartphone on April 22, 2020 in Berlin, Germany. (Photo by Thomas Trutschel/Photothek via Getty Images)
Photothek via Getty Images

Googleドライブには、常に最新のファイルを利用できるよう、版を管理できる機能が備わっています。ただし、これに脆弱性があり、悪意のある人物によって特定のターゲットを狙ったスピアフィッシングに利用される危険性があると報告されています。

「版の管理」は、Googleドライブにファイルをアップロードした後、別のファイルを新版としてアップロードできる機能。共有リンクを作成した後に、そのリンクを変えることなくファイルを差し替えたり、修正した写真に変更したりするときに役立つ機能です。

ただし、サイバーセキュリティの専門メディアThe Hacker Newsによると、この機能には、スピアフィッシングに利用できる脆弱性があるとのこと。たとえば、猫の写真をアップロードした後、その新版として、マルウェア入りの実行ファイルをアップロードできてしまいます。

これにより、リンクを共有された人がプレビューすると猫の写真が表示されるものの、ダウンロードする場合には、最新版として登録されたマルウェアがダウンロードされます。

さらに、Chromeブラウザは、Googleドライブからダウンロードするファイルを信頼できるものとして扱ってしまうようです。他のウイルス対策ソフトが問題を検出するような場合でも、Chromeブラウザは無反応だとの指摘もあります。

すでにGoogleには通知済みとのことですが、執筆時点(8月24日14時)ではまだ修正されていません。これが不具合として対応されるのか、あるいは利便性を考慮したうえでの仕様と判断されるのかはわかりませんが、共有ファイルをダウンロードする際には、それが目的のファイルなのかどうかを確認したり、予期しないファイルの更新アラートに注意するなどをより一層心がけておく必要がありそうです。

source: The Hacker News