昨年あたりから時々ニュースになっているのが、Gmailに転送設定したものが「gmail.com」ではなくて「gmai.com」と誤記した結果、長期間に渡って情報が漏洩してしまっていたという事件です。初めて聞いたときは「そんな事ある?」と思ったのですが、報道が繰り返されるのを見て「あるんだ!」に考えが変わっていきました。
良くあるパターンとしては都度手打ちではなくて「メーリングリストへの設定で誤って登録」か「メールサーバーへの設定で誤って登録」という2パターンみたいです。しかしながら、実際には「都度手打ち」でも発生していそうな予感がします。その場合は長期間に渡って気が付かないという事がないため報道されるような大きな事故にはならないのだろうなと考えられます。
ちなみに「gmai.com」に転送するとどうなるかというと、該当するユーザーが存在しない(要するに@の前が同じアドレスがサーバーに存在しない)にも関わらず受け取ってしまうんですね。まあ、実際には受け取った振りをして破棄しているのかも知れませんが、それはgmai.comのメールサーバー管理者のみぞ知るという情報なので実際に情報漏洩が発生しているかも知れないし、発生していないかも知れないという状況という事になります。
このような有名ドメインと誤認するようなドメインを取得し、誤送信されてきたメールをエラーにせずに飲み込んでしまう運用をしているドメインを「ドッペルゲンガードメイン」と呼びます。一般的には大企業の場合、このような自社のドメインと誤認するようなドメインは予め取得しておきブランド防衛するものなのですが、残念ながらGoogleはしておらず「gmai.com」というドメインを他者に取得されてしまっているという状況になっております。
参考までに2件の事例を貼っておきます。
2022年11月21日 埼玉大学
2023年2月9日 鹿児島大学
いずれも大学ですが、一般企業でも発生しうる問題かと思います。
このような事件が発生すると、誤送信が発生していた期間の特定と、誤送信されたメールの件数、それらのメールに記載されていた個人情報の数等を調査し、対象者に対しての謝罪や個人情報保護委員会への報告等が必要になります。また、再発防止策の検討や実施も行う必要があり、特にIT人材に乏しい中小企業では大きな負担がのしかかってきます。
さて、弊社では埼玉大学の事件を受けて弊社のメールサーバーに対して「gmai.com」への誤送信対策を行いました。弊社メールサーバー上ではメーリングリストの運用はしておらず、また、転送設定もしていないのですが、弊社および弊社サーバーを利用されている御客様がメールアドレスを手打ちした際に適切に処理できるようにしておく必要があると判断し、実施致しました。
実際に行ったのは、ToかCcに@gmai.comが書かれていたらメールを拒絶するという設定を行っただけです。Bccに書かれた場合は別途対策が必要なのですが、Bccに書く事はないだろうという事でToとCcのみにしています。一見簡単なようにも見えますけど、実際にはメールサーバーに関する知識が必要だったり、あとは、使っているメールサーバーによっては(中小企業の場合、細かい設定を出来ないホスティングサービスを利用されている企業も多いです)そもそも設定できないという事もあります。調査の上で対応を検討する必要があります。場合によってはメールサーバーの移転等の検討も必要になるでしょう。御社のメールサーバーを管理している業者と調整される事を推奨致します。
例によって「ウチは大丈夫」とお考えになるかも知れませんが、現実には既にドッペルゲンガードメインへの誤送信が行われているかも知れません。気が付いていないだけで…