Gmailのメールアドレスを間違えて運用していないか確認しましょう

Gmailのメールアドレスを間違えて運用していないか確認しましょう
目次

私の身に降りかかってきたとんでもない間違いメールについてご紹介します。

ここでは、皆さんに気をつけて欲しいというメッセージとして公開しています。

同じような被害にあった人の参考になれば嬉しいです。

はじめに

個人的に楽天という会社は信用なりません。少なくても私はそう思っています。どう思うかは自由なのと、自分に起きた事実を公開しているだけです。

楽天市場の会員登録にまつわるお話です。

最初に誤解無きよう記載しておきます。

私は楽天市場の黎明期から使い、楽天カードがスタートした時にカードも所持していました。当時は楽天ばかり利用していました。Amazonに対抗できる唯一の日本の企業だと思って期待してたからです。

それが何年前でしょうか、酷い経営になってから全ての楽天サービスから足を洗いました。従いまして今は楽天の会員でもなく何もサービスは受けていません。

皆さんが楽天ポイントが云々と言っているのとは桁違いに、ポイントがワンサカ大盤振る舞いの頃に、ヘビーユーザーとして便利に使わせていただきました。とても得しましたね。

確か、楽天が社内で英語を公用語にしてから迷走したように感じます。当時の社員の方とお仕事したこともあり、少しだけ内情を聞いていました。あの担当者、他で活躍していればいいのですけどね。

私は楽天サービスの会員ではないことから、不可解な出来事となりました。

楽天の会員でもなければ、楽天からのメールも一切受信していないメールアドレスで起きた事実です。と前置きしておきます。

メールアドレスの確認はしていない

楽天は全くもってとんでもないシステムで運営している会社に感じます。

現在は新規に会員登録をすると、メールアドレスの確認がされることが多い。昔ならいざ知らず、もう当たり前でしょう。

しかし、これがされていないとなるとどうでしょう?

メールアドレスはテキトーでも良いということになります。テキトーにするのは意味が無いことは明白です。

なぜなら、お知らせはともかく、注文の確認メールなどもそのアドレスに行ってしまうからです。

私は他人なのに、他人の注文の確認メールが楽天ショップから送られてくるということです。

アカウントを乗っ取られた!というのなら話は別で、勝手に注文されて実害が出ます。

今回のケースは希かも知れませんが、ユーザーが間違えて私のアドレスを入力してしまった。

それでも会員登録が出来ること自体がおかしいという話です。

メールアドレスが似通っている

今回のケースでは、メールアドレスがGmailでした。

私も皆さん同様、いくつもメールアドレスを所持していますが、中でもGmailは招待制の頃からのもので、短く分かりやすいアドレスになっています。
恐らく同じアカウントが欲しい人が多くいるでしょう。

残念ながら同じアドレスは取得できないため、数字を付け足したモノ、間にドットをいれたもの(Gmailはドットは入れられる)を仕方なく取得している人が大半でしょう。

そういう間違いメールは他にも毎月あります。

同じような悩みの人はネットで検索するとすぐに見つかります。

メールのヘッダーを調べると・・・楽天!

もしかしたら、偽装されたメールであって、フィッシング詐欺メールじゃない? と疑いました。

それならそれで、実害が誰にも及んでいないと思えるため構いません。

このメールはReturn-Path: myinfo@rakuten.co.jpから来たものです。

もちろん一応は見ました。画像のように、メールのヘッダー(Gmailではソース)を確認してみました。

メールソースの一部
アップ
Return-Pathもそうですが、認証されている旨もこの通りです。(仮にAES暗号128bitで漏れていたらもう何も信用できない)

Received-SPF: pass (google.com: domain of myinfo@rakuten.co.jp designates 133.237.15.7 as permitted sender) client-ip=133.237.15.7;

認証処理に成功したpassとも記載があります。それでも保証するものでもないハズです。

それでも、このIPアドレスは楽天のサーバーです。ほら。

うろ覚えですみませんが、このSPFレコードは偽装できないと思います。(もしかして今は偽装できるの??)

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=rakuten.co.jp; s=rakuten〜(省略)

DKIM署名もrakuten.co.jpなので、これでも偽装かと言われたらおかしいと思う。

結論:楽天から送られているで間違いない。

実は他にも確認できた

今回のケースは恐らくユーザーの入力間違い。

あくまでも推測に過ぎませんが、今回の私に降りかかった問題は、登録した人のITリテラシーの低さが問題かと思います。

こちらも最近は怪しくなってきたGoogleのGmailアドレスだったからです。

そして、極めつけはユーザー登録だけでなく、そのユーザーは早速お買い物をしています!

色々問題あるので政府みたいに黒で塗りつぶし

このタイミングでも私にはカード会社から利用のお知らせもありません。そもそも私は楽天の会員ではありませんから、これで私に請求が来たら、とんでもなくヤバいってことです。でも、今回はそうじゃない。

注文メールからも分かるように、つまり楽天の会員登録は他人のメールアドレスでもできるという事実です。

Gmailの特徴をうろ覚えで使っている人が多い

Gmailって特殊でして、@より前のアカウント名に、ピリオド(ドット)が使えます。このドットが入っていても別のアドレスとして認識しつつ、本来ドットが入っていないアドレスへ届きます。

abcdef@gmail.comの場合

例えば、abcdefにドットを入れます。

abc.def@gmail.com

これで別のアドレスとして登録できます。がしかし、どちらも送ると本来のabcdef@へ送られるということです。

極端に言えば、全部ドットを入れてもOKということ。

他のユーザーがあなたにメールを送信する際に、誤ってメールアドレスにピリオドを追加した場合でも、メールはあなたの受信トレイに届きます。たとえば、メールアドレスが「johnsmith@gmail.com」の場合、次のようにピリオドが含まれたメールアドレスもあなたが所有していることになります。

john.smith@gmail.com
jo.hn.sm.ith@gmail.com
j.o.h.n.s.m.i.t.h@gmail.com

注: Gmail を職場や学校などの組織で使用している場合([ドメイン名].com や [学校名].edu など)は、ピリオドが含まれると別のメールアドレスとして扱われます。ユーザー名に含まれるピリオドの数や位置を変更する場合は、管理者にお問い合わせください。

引用:Gmail アドレスでのピリオドの扱い

間違えているのは、この逆です。

例えば、Gmailの新規作成画面で、abcdef.777@でメールアドレスを取得しても、取得したのは abcdef777@であって、ドットは関係ありません。

で、ここでもしもドットを省くだけでなく、777すらも省いたとすると、そのメールの宛先は abcdef@へ行くということになり、あなたの作った abcdef777@とは異なるということが分かっていないのではないでしょうか。

「+」と勘違い?

このことと更に「+〜」を付けられることも勘違いの要因ではないかな?

アカウント名に+zzzなどと付けても、ドットと同じように+以降を無視したメルアドとして届きます。

abcdef+zzz@で使った場合、やはりメールの受信は abcdef@に届きます。

この辺を取り違えて、ドット以下を省いても届く、といった誤った認識ではないかなと推測しています。

もちろん、単に打ち間違えであって、本来は数字が付くなどアカウントの文字数が異なるハズです。

本人ではなく教えてもらったメルアドならそれもあるでしょう。

しかし、楽天の会員登録などはメルアドの本人の可能性は大です。ということは、単に楽天からメールを受け取っても仕分けられるように使い分けているぜ!って気持ちで、ドット以下をバッサリと省いたに違いないと邪推します。

仮に本人が間違えただけならボケただけ。余程、そのメルアドのアカウントが良かったのに作れなくてって感じでしょうか。こちとら2000年より前から使っているんだから、取れるわけないだろうと思うけどな。短いし。

そして今頃、注文確認メールが届かない!ムキー! クレーム言ってやる!ってなってると思う。

いや、あなたが間違ったのだってば。

情報漏洩はこうやって起きているかも?

実際、私は超お人好しなので、せめてお店の人にはお知らせしたいところです。

しかし、これまでも同様のことは多々あり、お礼どころか返事すら来ませんよ。世知辛い世の中です。

もしも私は悪人だったなら?

注文メールには当然ながら名前、住所、電話番号、が記載されています。何を買ったのかも分かります。

仮に伝えようにも、今回はそもそも楽天の会員ではないので、どうにもなりません。第三者からの訴えもスンナリとスムーズにはいかないでしょう。

私にとってはメール爆弾の不利益はあっても、結果として何も利益はありません。時間の無駄。

それでも楽天公式のヘルプサイトから伝えるかなーと、QAで解決しないボタンを押すと、チャットが出てくる!こういうところがIT会社のゲスいところですね。

どうせ最初はBOTでしょうし、やっと繋がっても個人情報を提示しないとならないでしょう。(憶測で誤解ですね。私見です)それは嫌だ。それにそんな義務もない。時間の無駄。

そっと画面を閉じました。

セキュリティは甘い

楽天だけではありませんと前置きしておきます。

楽天のサービスには、2段階認証というのも2021年になっても確か、まだ無いのでは? 楽天の会員でもないので知りませんがね。

この2段階認証はやはり強力です。

スマホに紐付けているので、ほぼ突破できません。(ほぼというのは完璧はないから)

実際に私は2段階認証の無いサービスは最早怖くて使えません。

過去に日本のサービスでいくつも情報漏洩のリストに入ったことがあります。某教材会社や犬の携帯会社のなんて、当時の流行であった500円のQUOカードで済ませましたからね。バカにしている。500円の情報なのかって。

海外を入れたら相当数が漏れています。今は漏れていない情報なんて無いでしょう。

こちらはいつ漏れても、サっとサービスを切れる体勢を整えるくらいしかできません。

現在だと、ずっと同じ情報(電話番号やメルアド)を持ち続ける方がリスクが高いです。

対策は迷惑メール処理と無視

結論としては無視するしありません。実害はメールが嫌と言うほど届くことです。

しかし、私は楽天の会員でもない。どうなっても全く関係ない立場です。

くだんのユーザーからか、もしくは楽天から対応して欲しいと言われない限り何の義理もありません。言われたら前向きに検討する程度です。

今回のケースとは異なり、自分の会員メールアドレスがこうなったとしたら、かなり困る事案です。

とはいえ、それはなかなか無いでしょう。
それだとパスワードが漏れていることにもなりますし、単にメールアドレスだけ他人に届くのはおかしいことです。

最後に言っておくと…、

あなたのメールアドレスは世界中で漏洩しています!(たぶん)

そのため、登録してあったサービスは順番に他のメールアドレスに変更しています。細かい登録もすべて調べにくく、まだ削除こそできませんが、放置するメールアドレスです。

だから、私のGmailアドレスがどうなろうが、最終的には漏洩しているのでたくさんの迷惑メールや詐欺メールが届くというわけです。

少なくても、各種サービスを使う時はセキュリティに気をつけましょうという話です。

なんか、信じるか信じないかはあなた次第みたいな記事になってしまった?!

追記:後日、楽天サポートに連絡を取り、メルマガ登録などを解除してもらいました。該当する会員に連絡を取るとのこと。もう、どーでもいい。