パスワードを忘れた? アカウント作成
54971 story
セキュリティ

2ちゃんねるビューアー登録者600人分のメールアドレス流出 54

ストーリー by mtakahas
BCCなんて飾りです。偉い人にはそれがわからんのですよ 部門より

tak_ipc 曰く、

古いニュースになりますが、1月31日に株式会社ゼロから

この度、株式会社ゼロがN.T.Technology社より日本におけるサポート業務の>委託を受けているサービス「2ちゃんねるビューアー」におきまして、お客様のメールアドレスを誤って他のお客様に流出させる不手際がありました。

というメールが届きました。これだけなら特にタレこむ必要は無いのですが、その原因というのが

その際、送信先メールアドレスを「BCC」に入力すべきところを、誤って「CC」に入力して送信したため(……後略)

このような、いかにも初歩的なミスで当事者になるとは思いませんでした。スクリプトで防げそうな気がしますが……。そこでですが、流出側になる可能性のある読者は、どのような対策をとっているのでしょうか? そのほかご意見があればどうぞ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • NTTさんは (スコア:3, 興味深い)

    by Ryo.F (3896) on 2009年02月02日 15時30分 (#1504021) 日記

    NTTさんはCc:およびTo:に複数宛先を書くことが禁止されてた(る?)とか。宛先が複数の場合には、Bcc:を使うべし、と。
    そういうルールになっていれば、MTAでフィルタできるね。
    そうでなくても、To:もしくはCc:に10以上宛先があったらエラーにして送信者に送り返すとかだと簡単にできそうな気がするし、すくなくともMILTERを使えばできそうだ。
    宛先が多い場合は一時保留して管理者がチェックの上送信する、とかでもいいかもね。これは簡単にはできなさそうだけど。

    • by hisabe_3 (34856) on 2009年02月03日 2時29分 (#1504444)

      NTT [ntt.com]とN.T.Technology [nttec.com]を、ごっちゃにしてません?
      もっとも、メアドを流出させたのはN.T.Technology社ではなく、日本でのサポートを委託されたゼロという会社ですが。

      うちにもお詫びメール来ましたが「あなたのメアドは流れてないのでご安心下さい」という内容でした。
      あんまり信用してないけど…。

      親コメント
      • by ttm (8278) on 2009年02月03日 8時10分 (#1504504)

        うちにもお詫びメール来ましたが「あなたのメアドは流れてないのでご安心下さい」という内容でした。
        あんまり信用してないけど…。

        あなたのメアドがCC:で流れていれば、流出させた当のメールを受け取っているはず。
        対偶で、流出させた当のメールを受け取っていなければ、あなたのメアドはCC:で流れていない。
        たぶん。

        親コメント
      • by Anonymous Coward
        NTTやKDDIには、我々が理解できないような摩訶不思議な業務規定があったりするものです。
        元コメのような話が存在しても、必ずしも間違いではないかと。
      • Re: (スコア:0, オフトピック)

        NTTとN.T.Technologyを、ごっちゃにしてません?

        いえ、NTT [ntt.co.jp](私の知っている例はNTT西日本 [ntt-west.co.jp])です。
        hisabe_3さんの挙げられたNTT [ntt.com]は、正確にはNTTコミュニケーションズですね。

        • by D.Matsu (3636) on 2009年02月03日 9時28分 (#1504528) 日記

          いや、#1504444が言ってるのはそういう事じゃなくて「『N.T.Technology(から委託された会社)』のストーリーなのになんでNTTの話?ごっちゃになってない?」って意味でしょう。
          まぁ「そーゆーシステムだったら防げたかもね」という一例だったんだろうとは思いますが、たまたま名前が似てたのが災いしましたかね?

          親コメント
          • Re: (スコア:0, オフトピック)

            って意味でしょう。

            それは解ってますよ。

            • by Anonymous Coward

              元の会社の名称を含めて、わざと誤読を誘っていませんか?

              と言う指摘だと思います。本人は分かっているつもりでも
              受け手がどう感じるかは別の問題ですよ。

              • Re: (スコア:0, オフトピック)

                わざと誤読を誘っていませんか?

                いいえ。そんなシャレたことはしてません(笑)。
                正直に言うと、#1504021 [srad.jp]を書いた時点では、N.T.Technology社のことをまったく意識していませんでした。というのは、この社名を良く見てなかったからです。
                #1504444 [srad.jp]で

                ごっちゃにしてません?

                と聞かれた時点で気づいたわけですが、この時点よ

    • by Anonymous Coward
      とあるWebメールに携わってますが。
      「ToとCcに複数入力されていたら警告する」というオプションの新設を提案したら、却下されました。
      意味あると思ったんだけどなあ…。
  • MLMを使え (スコア:2, 興味深い)

    by elderwand (34630) on 2009年02月02日 21時17分 (#1504260) 日記

    メーリング・リスト・マネージャは、そういったアドレス流出事故などはとうの昔に鍛えられているので、メール送信者が Bcc と Cc を間違えたみたいな人為的ミスは皆無。
    よくできているオープンソースの MLM なら、お客様あてのメールを、あたかも個別に1通ずつ出しているように見せることもできる。
    メール送信を担当者任せにせず、会社の顧客管理システムの一部としてして位置づけた MLM を構築することから始めるべき。

    • by Yuryu (19524) on 2009年02月03日 11時09分 (#1504616) ホームページ

      MLM = マルチレベルマーケティング [wikipedia.org] かと思いました。
      彼らは、たくさんの人にメールを送ることに慣れているから、それを見習え、と...

      親コメント
    • by Anonymous Coward

      ただし、送信元チェックや確認をちゃんとしないと、送信元詐称タイプのウィルスをばら撒く事に。

      • by Anonymous Coward

        モデレート [rim.or.jp]を有効にすればいいだけでしょ。モデレート機能の無いメーリングリストマネージャは無いと思うんだが。

      • MLMに取り込む前の受信部で、なりすまし対策をしておけば大丈夫だと思いますよ。またはメルマガ用途で書き込む人間が限定されてるなら、メール投稿ではなく、直接MLMに本文を送り込むようなものを使うと良いかと思います。

        --以下本題--
        (たぶんmailmanくらい知ってるだろうに)なぜbcc使っていたかという考察をしてみると、
        MLMやCRMはサーバーウェアでUNIXでCだったりJ2EEだったりのものが多いのですよね。しかもサーバー側で名簿を持つのでそこの管理に不安があったりする。
        ではWindowsでローカルで持ってメールソフト的に稼働するメルマガ用途向けはという
        • by Anonymous Coward

          MLMなんて高度なものじゃなく、アドレス帳を展開してテンプレに宛先や客名を差し込み
          1通にTo1個なメールを大量に送信するような業務用Windowsソフトは沢山ありますよ

    • by Anonymous Coward
      正しく仰るとおりでしょうが、上層部がMLMの必要性を理解するのは、一度流出させた後という……。
      「そんなの社員に気をつけるよう通達すればいいだけだろ。第一、メールが不便になる。」と言われる光景が目に浮かびます。

      セキュリティシステムの導入って、大概がそうですよね?
      • by mocchino (13752) on 2009年02月03日 16時54分 (#1504871)

        いやセキュリティ系のシステムを運用する場合、普及を考えると...

        とりあえずある程度の手間は管理側で負う(今回の場合はMLのシステム構築管理)
        日常業務は楽になるように持って行く(今回の場合は発送先をMLにすることにより、一箇所で済む)
        登録および削除はある程度自動化できるようにする(ユーザーがWebで登録したデーターを自動反映等)

        により極力ユーザーにも利益があるように持って行くのが常套策だと思われます
        まぁその分経費はかかるけどね

        親コメント
  • と、いうかだな (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2009年02月03日 9時33分 (#1504532)

    BCCなんて物を使うのが(存在するのが)まず間違いだよ。
    CCと使い間違えたとかそういう話じゃない。

  • これまで、企業などからの個人情報流出は(おそらく)例外なく2chで晒され、不必要に流出範囲が拡大しました(*)。
    今回の場合、流出しているのは2ch専用のビューアという、それを使うことが便利な程度に2chを利用しているユーザの情報です。

    この情報は果たして他の事例と同様に晒され、拡散してしまうのでしょうか。それとも、「仲間意識」が生まれて
    情報の拡散は局地的で緩やかなものになるのでしょうか。匿名ネットワーク上での人間関係を考えるうえで興味深い事例です。

    * ファイル共有ソフトによる拡散も、その情報を発見した誰かが2chで触れ回ることがきっかけになるのではないかと思います。

    --
    Your 金銭的 potential. Our passion - Micro$oft

    Tsukitomo(月友)
    • 第三者が流出情報を入手したならたとえ被害者が2ch利用者でも祭り上げられるだろうけど、
      今回の場合はCCメールで流出したわけで、自分の入手したアドレスリストに載ってる人は
      同様に自分のアドレスも入手してる。だから下手にばら撒けば仕返しされるかもしれない。
      しかも2ちゃんねるビューアはクレジット払い。たとえ捨てアドでもリスクが高い。
      だから仲間意識とか関係なく、流出したアドレスが広まることはないかと。
      親コメント
    • by Anonymous Coward on 2009年02月03日 1時59分 (#1504423)
      2ちゃんねるビューワ、あたかもソフトウェアの名称のようですが、違います。
      ソフトウェア群は2ちゃんねるブラウザ。

      このビューワ、通称●は、年額33ドルをクレジットカードで支払うことで、
      過去ログを参照でき、おまけで、各種書き込み規制が大幅に緩和されるというサービスでして、
      2chが言うには、●の売上でサーバのハードウェアを購入しているそうです。

      いわば、2chのスポンサーってわけですね。
      親コメント
      • プレミアム会員である●持ちは、一部からは相当嫌われてるらしいですね。その書き込み制限の緩和が故に、粘着荒らしが使ったりで(金払ってまで必死ってのも...)、過去ログがどうでもいい人にとっては制限緩和が魅力ってのもあって強く対策できないようですし。

        仲間意識はあってないようなもんで、叩けるなら昨日の友人でもといったところですが、漏れた先は全員被害者と言うのが幸いしてか、相互監視が抑止力になっているかもしれません。
        いまはまだおとなしいですが、工作で騒がれた企業の社員とか、荒らしたDQNコテが特定されたら情けも容赦も罪悪感もないででしょう。後に個人攻撃で顕在化してくると思いますよ。Googleより充実した2ちゃんねる粘着情報網は実名顔写真まで収集集約できるはず。

        • 仮にいたとして●で荒らすと、アカウント削除されるので、たかだか一度荒らすだけのために3000円払ってるならそれは別にかまわないと思います。
          親コメント
          • by Anonymous Coward
            いるよFoxの掘ったログ見てみ
        • by Anonymous Coward

          >プレミアム会員である●持ちは、一部からは相当嫌われてるらしいですね。
          そんなハナシ聞いたこと無いけどなあ。

          「次スレ立て失敗したー誰か●持ってるやつヨロシク」「ほいきた」
          みたいな感じで、新規スレッド作成のたびに活躍してくれる人って印象しかないけどね。

          #「過去ログクレ」って香具師にdat落ちしたdatファイルくれたりするし。

          • by Anonymous Coward
            2ch規制議論のスレッドを眺めてると、たまに●嫌いの方に遭遇できます。
            理由は#1504460氏の言うとおりで、金出してまで荒らす奴がいることと、2chサイドが
            それに強く対策しないケースが多い(ように見える)ことであるように見受けられます。

            #俺は巻き添えで規制されてるのに荒らしは●持ってて継続して荒らしてるじゃんか!
            #みたいな主張を見かけたことがあるような。事実かどうかは知りません。
            • by Anonymous Coward
              33ドルなんて普通に1〜2時間働けば手に入る値段なんで、荒らしたいならしかたないかと。
        • by Anonymous Coward
          今回流出したのはメールアドレスであって、コテハンやトリップがセットになってるわけではないので、コテ特定にはつながりにくいのではないでしょうか。
          まあ騒がれている企業のアドレスが含まれていたらちょっとした祭りになるかも知れませんが、そのユーザーが荒らし・粘着行為をしたという直接的な証拠にはならないですよね?

          ただ、そんなに荒れてる板・スレッドには出入りしてないせいか、●持ちが忌み嫌われてるのを見たことはないですね。
          それに、費用負担しているユーザーは無料で使ってるユーザーよりも行為の自由度が高いという
        • by Anonymous Coward
          > プレミアム会員である●持ちは、一部からは相当嫌われてるらしいですね。

          おそらく僻みからのアンチ●発言でしょう。
          2chには年齢制限がありませんので、そういう子供がたくさん入り込んで来ますが、大人は温かくスルーするものです。
    • 「企業などからの個人情報流出」みたいに社外秘の資料やスキャンダラスな写真でも流出したなら話は分かるけど、今回はただのメールアドレスだけだから。案の定まったく盛り上がっていませんな(↓)。
      【●】メールアドレス流出に関するご報告とお詫び [2ch.net]
      「2ちゃんねるビューア」サポートのゼロ社からメアド600人分流出 [2ch.net]

      --
      モデレータは基本役立たずなの気にしてないよ
      親コメント
    • by Anonymous Coward on 2009年02月03日 5時35分 (#1504473)
      >この情報は果たして他の事例と同様に晒され、拡散してしまうのでしょうか。
      他の事例と同様にスレが立ち、需要がない流出事例と同じく速やかに終了しました。
      晒され、拡散するにはエロとか秘め事とか犯罪めいた何かが不足しています。
      もしそういう何かが含まれていれば、リストに載ってない誰かによって晒され拡散するでしょう

      >それとも、「仲間意識」が生まれて
      ないない(AA略
      そんなのあったら、敵に回すと恐ろしいが、味方につけても頼りない
      などと言われたりしませんて。

      >ファイル共有ソフトによる拡散も、その情報を発見した誰かが2chで触れ回ることがきっかけ
      その通りだと思いますよ。むしろ祭られないで終わる流出(何かが不足してるもの)の方が
      はるかに多いのですから。
      親コメント
      • by Anonymous Coward
        #1504473 [srad.jp]です。
        すいません。メールってところがすっとんでました。
        >リストに載ってない誰か
        は、捨てアドの誰かと思ってください。
  • by mocchino (13752) on 2009年02月03日 14時01分 (#1504764)

    BCC/CCで外部メール出すところがまだあったとは...
    Mailing List使えば間違ってもなんら問題にならないのに
    しかも600人もつらつらと設定するのはかなり面倒だと思うんだけどなぁ~

    ユーザー用ML作って、MLを管理し
    発信者は特定の端末or認証を必要とするように設定する

    ってしておけばなんら問題の無いというのは過去何回か複数の企業で起こって常識レベルに
    なったと思っていたけどまだまだやっちゃうところがあるんですねぇ~

  • by Akami (4183) on 2009年02月03日 16時25分 (#1504855)

    主にマスコミWeb媒体向けのプレスリリースでしたが、ブロガーやニュースサイト管理人、業界企業にもまとめて打ってました。
    一般向け非公開のメアドを一つも使っていなかったのが最低限の救いです。

    失敗は当たり前のようにあるとして、問題はどうやって対策を取るか。個人レベルのプロジェクトなのでできることにも限界があります。
    もうすぐ同じ宛先に続報のプレスリリースを送り込む時期が来ますが、いちいちCc: とBcc: を間違えていないことを確認するしかないでしょう……(苦笑

  • メーラーで、TOもCCもBCCも見えなくして、別の方法での送信先の指定方法を取っても良いと思う。
    それで、送信するときTOやCCやBCCを自動生成するとか。

    CCなのかBCCなのかは、メール作成時に指定するのではなく、アドレス帳で指定しておくようにする。
    アドレス帳のグループやラベル等に、表示と非表示の属性を持たせて、それらを送信先に選んだ場合は、自動でCCやBCCに振り分け。
    そうすりゃ、BCCで送るべき所を間違えてCCにしたって間違いは起きなくなる。

    実は、そういうメーラーって既にあるのかもしれないが。

  • by Anonymous Coward on 2009年02月03日 1時27分 (#1504413)
    昔からよくある話ですが、今だになくならないですね
    俺も95年ごろ使ってたプロバイダの会員からプロバイダへのサービス完全要求の呼びかけメールでやられました
    ホームページのエイリアスからメアドを推測したようで、厳密には漏洩とは言えないかもしれませんが

    メーリングリストマネージャーを使えとかいうコメントもありますが、いっその事宛て先はすべてBccにして、
    ToやCcを使わせないメーラーを標準にしてはどうでしょうか?
    • by Anonymous Coward

      > ToやCcを使わせない

      To:もCc:もないメールってRFC的に通ったっけ?
      ああ違う、To:は決め打ちでFrom:と同じにでもしておけばOKか。

  • by Anonymous Coward on 2009年02月03日 2時04分 (#1504427)
    誰かに言えばタダでdatをくれるし、●板を書き込めるぐらいしか特性がない
    • by Anonymous Coward
      かつて●を買ったことがありますが、
      ノンストップでdatが取得できること、
      次スレ立てに失敗したり、長いテンプレの途中で連投規制を食らわない
      この2つで、かなり快適でしたよ。
  • by Anonymous Coward on 2009年02月03日 7時41分 (#1504491)
    下記のように、流出対象者以外も同じ内容が載っているんだけど、タレコミ主は流出対象だったんだろうかと気になった。

    > この度、株式会社ゼロが N.T.Technology 社より日本におけるサポート業務の
    > 委託を受けているサービス「2ちゃんねるビューアー」におきまして、
    > お客様のメールアドレスを誤って他のお客様に流出させる不手際がありました。
    >
    > このメールをご確認いただいているお客様のメールアドレスおよび、
    > その他の個人情報は流出していない事を確認いたしました。
    > ご安心ください。
  • by Anonymous Coward on 2009年02月03日 10時48分 (#1504592)
    以前、とある萌え系のお店でも同じミスがあったなぁ。
    CCに私を含むたくさんの(といっても開店して間もないころだったので50人くらいだったかな?)人の名前とメールアドレスが。
    後でお詫びのメールが来ただけだった。
  • by Anonymous Coward on 2009年02月03日 14時28分 (#1504781)
    数年前のことですが

    送信時のBCCが、そのまま全部受信者に送られるようになってしまったことがありました。
    ヘッダまで見る習慣のある受信者から連絡あるまで気づかず…

    特定のメーラ+特定のプロバイダの組み合わせでのみ発生 && ある日急に発症 && メーラのバージョンアップはしていない
    なので、プロバイダの設定が変更されたのかな?

    どっちの問題で発生したのかまでは追及しなかったので原因は不明
typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...