パスワードを忘れた? アカウント作成
16166653 story
変なモノ

埼玉大学で10ヶ月以上gmailをgmaiと間違えて4890件のメールを誤配信 41

ストーリー by nagazou
前にもあった 部門より
埼玉大学は21日、GoogleのGmailドメインのタイプミスの結果、メールの転送ミスが起きていたと発表した。本来「@gmail.com」のドメインに送るはずだったメールを、「@gmai.com」のアドレスに約10カ月間自動転送し続けていたという(埼玉大学リリースITmedia)。

この誤転送問題は2021年5月6日から22年3月3日まで発生しており、この間4890件のメールを送っていたとしている。一連のメールには、教員の氏名・メールアドレスなどが485件、学生の氏名、学生番号、メールアドレスなどが849件、学外関係者の氏名、メールアドレスなどが788件含まれていたという。

nemui4 曰く、

WHOISによれば、gmai.comのドメインはホンジュラスのドメイン名レジストラを名乗る「BoteroSolutions.com S.A.」が所有している(11月21日時点)。

  • 「エラーがないので正常に転送できていると思った」というのは、「メール送信でエラーが返ってきたからイベント当選者のリストから外す(実際にメールは送られている)」のちょうど逆か。

    あの時は「相鉄ならやりかねない」という声があったけど、埼玉大学様は何と言われるのだろう。

    ここに返信
  • by Anonymous Coward on 2022年11月24日 14時35分 (#4364797)

    gmai.comは誤送信の収集用ドメインってことなんかな。
    ドメインがあってても宛先が間違ってたら戻ってくるよね?あれ、戻ってこないっけ?

    ここに返信
    • by Anonymous Coward
      素朴な設定ならMailbox unknownになるので、送信側MTAでバウンスになるはず。
      だが、主にqmailで問題になったbackscatter spamを抑制するために、不明なアドレスをブラックホール化(成功のステータスを戻してメールは捨てる)している可能性がある。
      もちろん、全メールを収集して何かに使っている可能性もある。
      • by Anonymous Coward

        収集してリスト化してスパムメール飛ばすんだよね。
        そのリストも売れる。

        • by Anonymous Coward on 2022年11月24日 15時45分 (#4364848)

          Gmailサービス開始(2004)より前からgmai.comを取得しているっぽいので、少なくとも取得当初は詐欺目的では無かったのだろうけれど、今はどうなんだろうね。

          BoteroSolutions.com S.A.でググると、新潟県職員やら京都市立芸術大学やら、定期的に情報流出のニュース見つかる。
          もし情報収集目的で事前に取得していたのなら、かなり効率良く稼げてるだろうね。

      • by Anonymous Coward

        うちはバウンスさせないでブラックホールだな

  • by Anonymous Coward on 2022年11月24日 14時54分 (#4364815)

    % dig -tmx +short gmai.com 1 mail.h-email.net.

    ここに返信
  • by Anonymous Coward on 2022年11月24日 15時18分 (#4364829)

    何たる愚昧

    ここに返信
    • by zambia (36932) on 2022年11月24日 16時05分 (#4364860)

      この度は愚妹がとんだことを…

    • by Anonymous Coward

      私は昔@gmail.comでなく@google.comでオンラインショップに登録してしまったことがあります

      • by Anonymous Coward

        @googlemail.com なら MX 登録されているし,ちゃんと届くんじゃないかな。

        確認しようとしたら, ggoglemail.com. ってドメインも有効だった。

      • by Anonymous Coward

        そういや昔、goo.ne.jpと間違える人が多くて困るってgoo.jpだか.comだかの所持者がボヤいてたのを見たことがある気がする(自分も間違えてアクセスした)

  • by Anonymous Coward on 2022年11月24日 15時19分 (#4364831)

    平文で送るのが間違いだよな
    そもそも宛先がgmailじゃ正しく届いても漏れ漏れじゃないか

    ここに返信
    • by Anonymous Coward

      この観点が一つあると思う。
      Googleを全く信用できないと言うと極論になる可能性があるけど、
      少なくともgmail.comが正しかったとてユーザー名部分をタイプミスすれば同じ問題は起こる。

      • by Anonymous Coward

        ユーザー名がたまたあったら漏れることは一緒でも
        たまたまその人に届くだけで済む
        今回みたいに明らかに犯罪者が情報収集してるところへ投げるのとは違うかと

        そう言えば以前は間違いメール多かったな
        よくあるような名前のアドレスを先行して取ってた時はあった
        たまたま間違えたのとスパムは区別つきにくいけどね
        ある特定の人向けのメールを何度も送ってきた人には教えてあげたことあったけど

  • by Anonymous Coward on 2022年11月24日 15時32分 (#4364841)

    コレ「気を付ける」以外の対策って何かある?
    受け取り側がエラー返さないサーバーだった場合気付く機会もほぼなくない?
    メールアドレスのスペルチェック機能でも付けるか疎通確認する?
    結局業務で忙殺されるとそういう余地は吹っ飛ぶのよね。

    もちろんメールがE2Eで暗号化されるのが普通だったらこんなこと起きなかった(起きても問題なかった)だろうけど。

    ここに返信
    • 送信ポチる前に指差喚呼、ヨシ!

      #それなりに意味はある

    • コレ「気を付ける」以外の対策って何かある?

      「メールを御送りさせていただきましたが届きましたでしょうか?」って電話で確認するんですよ。

    • by Anonymous Coward

      私は秘密な情報は必ず暗号化ZIPに閉じ込めてメールしてるから大丈夫なのだ!

      # そしてパスワードも同じメールアドレスに送る…

      • 暗号化にするのは必要だが、そもそも10ヶ月間にだれでも気付いてなかった?自動送信は便利だけど、ドメインをチェックせずに行われたの??!
      • by Anonymous Coward

        パスワードだけ後から送るのってホント意味無いよな…

      • by Anonymous Coward

        先日もTo:をミスした別人宛のPPAPが届きました。

        コロナ以前からあったがコロナ以降リモートワークの関係か増えている。

        #基本無視

    • by Anonymous Coward

      本学教員が大学のメールアカウントからGmailへの自動転送設定を行った

      と発表されているので、むしろなぜ1年以上気づかなかったのか、または気づかない用途で転送していたのか気になります。

      • by Anonymous Coward

        なんかうまく動いてないと思っただけで設定を消さずに放置してた可能性はある。

      • by Anonymous Coward

        gmai.comが情報収集しつつgmail.comに転送(リレー)してたら分からんのではないですか。
        そもそもメールってリレーされてくものだよね?

    • by Anonymous Coward

      組織なら送信先ドメインを絞ることは可能じゃないかな
      まぁ業務によっては難しいけどDenyList参照くらいはあってもいいかと

    • by Anonymous Coward

      サーバー側で何とかならないのかな?
      もちろん学内前提で、外部に送信するには学内の中継サーバー経由必須にする必要あるけど
      内部からのバケットも送信先ポートを制限するなど必要になるし
      下手にやると抗議多そうだけど

      学内のシステムを守ることの方が大事だと言えば出来そう
      まさか学内で対戦ゲームが出来ないとか抗議してくる馬鹿はいないだろ(実際は多そうだが)

    • by Anonymous Coward

      転送先のメールアドレスを手入力するのが間違いでは。
      対象のメールボックスにログインしてアカウント情報からコピーしたりアドレス帳からコピーしたり。

    • by Anonymous Coward

      まともな企業なら情報漏洩防止のために初回送信時は疎通確認してOKなら電話帳登録。登録以外の宛先へは送信禁止。FAXの頃から基本は一緒。

      • by Anonymous Coward

        よくある日本人名字@gmail,comとかのアドレスを持ってる人は身をもって体験してると思うけど
        大学はもちろん名の知れた大企業でも杜撰なところ結構多いのよ。
        #時々これ悪用したら洒落にならないだろうなというメールが転送されてきて恐ろしいのだ。

    • by Anonymous Coward

      gpgで暗号化でもしとけ。

    • by Anonymous Coward

      いい加減にGoogleが買い取ってGmailサービス終了までメールサーバー無効にしてもらうのが一番いいんだけど、ドメイン移転に失敗してるのはどうしちゃったんだろう。
      https://srad.jp/comment/4005573 [srad.jp]

  • by Anonymous Coward on 2022年11月24日 20時20分 (#4365039)

    何が咲いた

    ここに返信
  • by Anonymous Coward on 2022年11月25日 9時24分 (#4366417)

    個人で持ってるキャッチオールしているドメインにドメイン1字違いの企業宛メール宛と思われるメールがどさどさ送られてくるんだがいちいち相手にするの面倒で放置中。
    会社で同じ苗字の人宛メールがたまに送られてくるがそれは宛先にこっそり教えてる。
    どっちも見たらまずそうな内容なんだよ

    ここに返信
    • by Anonymous Coward

      そのうち訴えられるから大丈夫かと

      自分に落ち度がなくて勝手に口座に振り込む事件から
      こういう時に逮捕される可能性は高くなってるかと
      本能にその情報見てない証明出来れば良いが、閲覧歴とか簡単に偽装できそうだし
      というかすでに見てるじゃんw

  • by Anonymous Coward on 2022年11月25日 16時07分 (#4366738)

    gmailをgmaiと間違えて送信
    gmaiをgmailと間違えて送信

    ここに返信
typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...