ここから本文です

勝手に使われたメアドを取り返そうとして“犯罪者になりかけた”件

ITmedia エンタープライズ 9月6日(火)14時15分配信

 前回、私が所有するメールアドレスを、ブラジル在住のマリオさんに「自分のものである」と勘違い(?)され、次々とネット上のサービスに登録されているというお話をしました。

【画像】見ず知らずの“マリオ宛のメール”まで管理するはめに……

 実は、あのコラムを書いたあとにも次々とメールが届いており、とうとうビジネス関連のメールらしきものまでも来るようになりました。翻訳サービスにかけると、どうも「履歴書が届いてないけど、どうなってる?」といったような内容だったため、さすがに「これはマリオ(仮名)のメールアドレスじゃないよ!」と返信しておきました。ちゃんと連絡がつくといいのですが……。

 読者の方々からの反応の中には、「メールアドレスは持っているのだから、IDを取り返せばいいだけでは?」という意見もありました。実際、その手も検討したのですが、考えれば考えるほど「やってはいけない手」なのではないかと思ったのです。

 現状としては、各種サービスの登録時に「私のメールアドレス」が使われており、連絡は全て「私のメールアドレス」に来るようになっています。サービス登録時の完了メールだけでなく、恐らくこれから来るであろうメールマガジンも、全て私のメールアドレスに届きます。

 もしマリオ氏が再度ログインしようとしたときも、マリオ氏が私のメールアドレスを入力し、パスワードを正しく入力できれば、全て問題なくサービスを受けられるはずです。アラートメールなどの機能をのぞけば。

 ただし、マリオ氏がもし「パスワードを忘れたら」大変なことになります。マリオ氏がパスワードを忘れ、「パスワードを忘れた方はこちら」とクリックし、自分しか知らないであろう情報を入力してパスワード初期化を依頼しても、その結果は「私のメールアドレス」に届くだけで、マリオ氏には届きません。

 この時点で、マリオ氏がアカウントを復活させることはかなり難しくなるでしょう。ほとんどのサービスはパスワードのリマインダーにメールを使うので、メールアドレスを変更しようにも元のメールアドレス(つまり私のメールアドレス)に確認が届くので、恐らくメールアドレスの変更すらできないはずです。

 それはつまり、マリオ氏のアカウントに対して私がパスワードの初期化を依頼した場合、私はそのサービスのアカウントにログインが可能になるということです。

 登録サービスにパスワードの初期化を依頼すると、私のメールアドレスに初期化のメールが届き、クリックして新しいパスワードを入力することで、リセットが完了します。

 当初は私も「この方法で済むかもしれない」と思ったのですが、実はこれには大きな問題があったのです。

 日本には「不正アクセス行為の禁止等に関する法律」があります。総務省のページに、不正アクセスの定義が説明されています。

 不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)は、不正アクセス行為や、不正アクセス行為につながる識別符号の不正取得・保管行為、不正アクセス行為を助長する行為等を禁止する法律です。

識別符号とは、情報機器やサービスにアクセスする際に使用するIDやパスワード等のことです。不正アクセス行為とは、そのようなIDやパスワードによりアクセス制御機能が付されている情報機器やサービスに対して、他人のID・パスワードを入力したり、脆弱性(ぜいじゃくせい)を突いたりなどして、本来は利用権限がないのに、不正に利用できる状態にする行為をいいます。

・不正アクセス行為の禁止等に関する法律

 これによると、パスワードを用いるなどの方法で「アクセス制限」をしているサービスに対して、「他人のID・パスワードを入力」することが不正アクセスであるとしています。

 今回の事例に照らし合わせると、マリオ氏はメールアドレスを間違えてはいるものの、その文字列は立派な「マリオ氏のID」です。それに、マリオ氏のパスワードも設定されているわけです。

 もし、私がこの状態でマリオ氏のパスワードをリセットした場合、彼が設定し、彼が管理しているアカウントを不正にログインしたとも考えることができるでしょう。

 そのため、現状でパスワードリセットができることは自明なのですが、それは“他人のアカウントを乗っ取る行為”ともとられてしまいます。

●いかなる理由でも、他人のアカウントにアクセスしてはならない

 今回の一連の騒動で、私は多くの教訓を得ました。

 サービス事業者がアカウント設定時にメールアドレスの保持をきちんと確認しているかどうかということ、サポートサービスがどの程度、ことの重大さを理解できているのかということ、そしてメールを万が一他人に盗まれてしまうと、多くのアカウントを簡単に乗っ取れること、さらには興味本位で他人のアカウントにログインしようとしてはいけないこと――。

 メールアドレスは皆さんが思った以上に“重要”です。そのため、例えばGmailを利用していて、そのアドレスを使って各種サービスに登録しているのであれば、Gmailを奪われると全てのアカウントが奪われることになります。

 そうならぬよう、以前も紹介したように2要素認証(2段階認証)を利用し、できる限りの手を尽くしておくべきかもしれません。もちろん、メールアドレスを間違って登録しないことも重要ですよ。

最終更新:9月6日(火)14時15分

ITmedia エンタープライズ

TEDカンファレンスのプレゼンテーション動画

暗闇で光るサメと驚くほど美しい海洋生物たち
波のほんの数メートル下で、海洋生物学者であり、ナショナルジオグラフィックのエクスプローラーかつ写真家のデビッド・グルーバーは、素晴らしいものを発見しました。海の薄暗い青い光の中で様々な色の蛍光を発する驚くべき新しい海洋生物たちです。彼と一緒に生体蛍光のサメ、タツノオトシゴ、ウミガメ、その他の海洋生物を探し求める旅に出て、この光る生物たちがどのように私たちの脳への新たな理解を明らかにしたのかを探りましょう。[new]