アカウントを乗っ取られる可能性があるようです

意識していないとgmailアカウントを乗っ取られる可能性があるようです

ITmediaエンタープライズの記事に、少し気にした方がいいかも。と思わされる記事が投稿されてました。記事はITmediaの宮田健さんが実体験を基に感じたことを記事されているものです。

なんとなく「はい」を押したらアウト! プッシュ通知認証でアカウントを乗っ取られそうになった話
http://www.itmedia.co.jp/enterprise/articles/1807/24/news030.html

ITmediaの宮田健さんが遭遇した事象とは?

記事の事象では、まったく関係ない人が自分のGmailアカウントを間違って覚えている?ことから、自分のアカウントでログインできず、他人のGoogleアカウントをリセットしているということのようです。

確かに脊髄反射的に[はい]を押していることが多いかも

アカウントのリセットを行うと、「リセット確認のメール」が登録アドレスに飛んできて、「アカウントの復元」に[はい]をタップするとアカウントの復元プロセスに移行するようですが、その先も認証があるようなので、簡単に乗っ取りという訳にはいかないみたいですが、可能性としては乗っ取られることもあり得るのでは?
googleアカウントだけではなく、アプリのインストール時などの承認なども良く読まずに[はい]をタップしているので、自分に来たとしたら反射的に[はい]をタップしているかもしれません。

内容は良く読んで承認しましょう。と、この瞬間は思うのです・・・

知っている人は知っているgmailの仕様で . (ドットとかピリオド)が無視される

Gmailの仕様として、登録するアドレスは . (ドット)が無視されるようになっています。googleの出している例のアドレスでも判るように、johnsmith@gmail.comとj.o.h.n.s.m.i.t.h@gmail.comは同じメールアドレスと認識されるため、Gmail上では johnsmith という綴りのメールアドレスを別ユーザが作成することはできないのです。利便性は高く、送信者が間違って . を含んでしまっても目的のアドレスにメールが届くことになります。

Gmail アドレスでのピリオドの扱い
他のユーザーがあなたにメールを送信する際に、誤ってメールアドレスにピリオドを追加した場合でも、メールはあなたの受信トレイに届きます。たとえば、メールアドレスが「johnsmith@gmail.com」の場合、次のようにピリオドが含まれたメールアドレスもあなたが所有していることになります。

john.smith@gmail.com
jo.hn.sm.ith@gmail.com
j.o.h.n.s.m.i.t.h@gmail.com
注: Gmail を職場や学校などの組織で使用している場合([ドメイン名].com や [学校名].edu など)は、ピリオドが含まれると別のメールアドレスとして扱われます。ユーザー名に含まれるピリオドの数や位置を変更する場合は、管理者にお問い合わせください。

出典:Gmailヘルプ
https://support.google.com/mail/answer/7436150

自分のメールアドレスにピリオドが追加されている場合
送信者があなたのアドレスにピリオドを追加しても、そのメールはあなたに届きます。他のユーザーがあなたのメールを見たり、あなたのアカウントを取得したりすることはありません。たとえば、メールアドレスが「johnsmith@gmail.com」の場合、次のようなピリオドを含むメールアドレスは、すべてあなたが所有していることになります。

john.smith@gmail.com
jo.hn.sm.ith@gmail.com
j.o.h.n.s.m.i.t.h@gmail.com
自分宛てのメールではないと思われる場合は、送信者に問い合わせて、入力されたメールアドレスが誤っていることを知らせてください。

詳しくは、Gmail アドレスでのピリオドの扱いをご覧ください。

出典:Gmailヘルプ
https://support.google.com/mail/answer/10313?hl=ja

これはGmailとしての仕様ですが、例えばメールマガジンであるとか、メールアドレスを登録するサービスであれば、. (ドット)は無視しないものがほとんどなので、johnsmith@gmail.comとj.o.h.n.s.m.i.t.h@gmail.comは別ユーザとして登録できたりすることになります(普通は意味がないのでしないと思いますが)。不正?に登録数を増やしたい場合にはあるかもしれません。

この事象の問題点

この記事には、もっと前に別の記事もあるのですが、そちらも読むとメールが届く以外にも問題があることが判ります。

ブラジルの「マリオさん」に、勝手にメアドを使われていたでござるの巻
http://www.itmedia.co.jp/enterprise/articles/1608/30/news040.html

私が「パスワードがない世界」を選べない理由
http://www.itmedia.co.jp/enterprise/articles/1702/07/news042.html

クラウドサービスを使用するために、ユーザ登録しようとすると「すでに登録されています」と却下されるのは少し困ります。
また、多くの有料サービスは、メールアドレスをアカウントのキーにしているとしても、支払い方法は別途登録が必要になると思いますので、仮に請求が来ても無視していればいいだけだと思いますが、実際に使用しているユーザ(間違って登録したユーザ)には、支払い登録についてのメールも届かないでしょうから、どうなることやら?という気もします。

スポンサーリンク
spdsk-side
spdsk-side