「gmail」ドメインを「gmai」と誤記、10カ月気付かず2000件超の情報漏えいか 埼玉大 [少考さん★]
■ このスレッドは過去ログ倉庫に格納されています
※ITmedia NEWS
「gmail」ドメインを「gmai」と誤記、10カ月気付かず2000件超の情報漏えいか 埼玉大が「ドッペルゲンガー・ドメイン」の毒牙に
https://www.itmedia.co.jp/news/articles/2211/21/news144.html
2022年11月21日 18時37分 公開 [ITmedia]
埼玉大学は11月21日、教員によるメールの転送ミスが原因で、個人情報2000件超が漏えいしていた可能性があると発表した。本来「@gmail.com」のドメインに送るはずだったメールを、約10カ月にわたって「@gmai.com」のアドレスに自動転送し続けていたという。
2021年5月6日から22年3月3日にかけて、4890件のメールを誤配信していた。一連のメールには、教員の氏名・メールアドレスなどが485件、学生の氏名、学生番号、メールアドレスなどが849件、学外関係者の氏名、メールアドレスなどが788件含まれていたという。漏えいした可能性がある情報の悪用は確認していない。
@gmai.comなどタイプミス・誤認識しやすいドメイン名は「ドッペルゲンガー・ドメイン」とも呼ばれる。ユーザーが誤ってアクセスしたり、メールを誤送信したりするのを狙って取得されたものもある。
通常、存在しないアドレス宛てのメールにはエラーメッセージが返送されるので、タイプミスなどがあった場合は誤送信に気付ける。一方、ドッペルゲンガー・ドメイン宛てのメールは全て受信されてしまい、エラーメールが返ってこず、ミスに気付きにくい。
(略)
※省略していますので全文はソース元を参照して下さい。 >>26
ついたレスから勘案すると、ボケがわかりにくいってよ >>95
spfとかあるし、いまはそんはガバガバじゃない アレフの近隣住民の取材音声をアレフに送信したNHKよりマシじゃね >>24
相手次第。
アカウントがないエラーを返すのと、不着を全部管理者とかに送りつけて返信しないのとざっくり2パターンある。
オールキャッチアドレスとかで調べるとよし。 セキュリティ知識が低いやつ多すぎなんだよ
IPAのSC区分くらい合格しろよ 人口多いとこの国立やのに埼玉大てあんま聞かんな
千葉大の方がよう聞くで >>26
中途入社時、○○○○○@t.vodafone.ne.jpって言ったら、まだそのドメイン使えるんだ?!って驚かれた でもそこは「gomi」だろ臭い玉?wwwwwwwwwwwwwwwwwwwww 自動で電話かけてメッセージ通知する一斉通報のシステムで
札幌の市外局番011にするつもりが、頭に0を誤って付けて
001-1でアメリカに電話かけまくっていた会社を思い出した 俺のところにも間違いだけど昔じゃエグザイルのメンバーから、最近だと羽生君からメールが届くよ いや、設定した時に転送されたかのチェックするだろ? gmailに転送って個人のgmailに仕事用のメール転送してたんやろか?
ええんかそんなことして? >>113
首都圏の大学なのに、トッキーに入ってない LINE outとかのIP電話だと同じ国内通話でも国番号付いて+81とかから始まる番号で相手に通知されるから、大抵びっくりされる。ああもう国際電話もかけない時代なのね >>122
札幌市の電話番号は011-xyz-abcd。アメリカへの発信だと001-1-xyz-abcd-efgh
だから、札幌の電話番号にかけようとしても001-1-xyz-abc-dで止まって
しまうから、結局アメリカには繋がらないのでは? microsoftでsの次にoを入力すべきところ、隣のiを押してしまい、エロさに爆笑した思い出 >>129
企業と大学はそのあたりの運用は全く違うよ 俺もよくgmai.comからメールが届いてたわ。ドメインごと拒否して来なくなったけどw こういうミスを狙ったドメインだとしたら悪用されてるかもな 10ヶ月気づかなかったってことは転送先のgmailを10ヶ月開いてなかったんだろうなあ
転送する必要ないやんけ aks.msっていうドメイン見たときしばらくどこのドメインか分からんかった >>3
埼玉大は駅弁国立の中でも難しいほう
南関東の国立は偏差値が高い >>152
つまり、そういうランクの大学ですらこの有り様、ってわけだなw
日本そのもののレベル低下がもはや致命傷クラス。 >>113
駅弁ごときなのにノーベル賞がいるじゃないか メールシステムって、誰かが「これはひどい。改善しよう)について」と思わないの?
スパムメールがキチガイみたいに飛び回ってるわ
ccとbccの打ち間違いによる情報流出が後をたたないわ
あまりにもメチャクチャだろ
スパムメールを打てないようにするとか、情報流出が起きないようにメールソフトを工夫するとか
誰一人考えたこともないんだろうか 報告してないだけで全国で相当件数あると思うよね、こういうの その前に個人情報をgmailアドレスに送るなよ
なんで送ってるんだ? >>68
これはタイポスクワッティングという立派なサイバー攻撃なんだよ
すでに10年以上の歴史がある既存のエクスプロイトだ
攻撃者はMTAにNDRを返さないよう細工がしてある
仕方ないとかじゃなくて、今後は出題されるかもしれない ・日常的に不特定多数に一斉メールを送る
・にも関わらずメール送信がマクロなどで自動化されていない
という条件が合わさらないと起き得ない奇跡の漏洩ではないだろうか
BtoBでメールの手打ち入力ってする機会がない気がする 上司に夜中にメール送ったら
夜中に送るなって怒られてビックリした こんだけ技術発展してるんだから
メールソフトが「そのアドレスはフィッシングです」
みたいに警告してくれりゃいいのにね >>148
こういう悪事を働く人は賢いからバレないように正しいアドレスにも届くようにしてるぜ 無関係の俺をccに入れて、毎日3年くらい業務日報を送り続けてる人がいる。
気付かないもんだな。
確認してくれって見積添付してる時もあってやべーぞ。 >>158
企業ならいくらでも改良してる
・社外当てには警告
・社外宛に社外秘の文字が含まれてると保留
・受信時はなりすましは拒否
・フリーメールは保留
・送信メールは5年間保管
新しい抜け穴が出たら随時対応 >>154
そもそも間違えたのって職員か何かだろ
学生のレベルと関係あるのか? >>176
同じ部署ってだけでcc付けられる担当がミスった時に
なぜお前らが気づかないと関係ないのに怒られることが
たまにあるけどそんなメールを一々読まないよ >>168
んなことない。365をアカデミック契約して学生に使わせてる大学はたくさんある。
それに、企業と違って大学は学外個人とのメールやりとりも多いから、
gmailとの送受信を禁止したら仕事にならない。 送る方は気付かないかもしれんが
転送される方はなぜ気付かないのか?
あれっ来てないじゃんってなるやん >>152
広島だと学生での人気は同志社より下。
妙にこの県の学生は駅弁を嫌うw >>158
公開鍵暗号と組み合せて他人のなりすましを防止しつつ本来の受取人以外には中身を解読できないメールを送れる仕組みはあるけど
送信側と受信側の両方がその仕組みに対応していないといけない
普及していないのが実情 >>152
埼玉と横国と茨城は医学部の設置が認められなかったので格下扱い。横国はまだしも埼玉や茨城に行くなら山梨や群馬に行くわ。 こういうのってEDRが送信をブロックしたり
そもそもフルサービスリゾルバがクエリに応じないようにするべきだわ
NDRを返さないMTAを違法認定するように立法も仕事しろよな gmai.comで検索すると釧路市の文書が引っ掛かるけどまさかね…… >>190
ノーベル賞受賞者を輩出してるんだけど… そもそもgmail宛に個人情報を送るってのが意味不明なんだけど、どういうことなん? >>1
> ドッペルゲンガー・ドメイン宛てのメールは全て受信されてしまい
ドメイン名の問題ではなく、そのドメインがキャッチオール設定
してるかどうかって話なのでは?
ドッペルゲンガードメインであってもキャッチオール設定してなきゃ
たまたま同名アカウントがあるケース以外はエラーが返ってくるわけで >>196
企業では有り得ないけど、大学なら普通にある ■ このスレッドは過去ログ倉庫に格納されています