このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

Yahoo!IDなどの取得に勝手に自ドメインを使われた場合どうすれば?

発言者:広瀬@明治大学
( Date Tuesday, November 06, 2001 15:01:51 )


自分のドメインを自宅サーバに移行してから、SIMSのログを詳細にチェック
しているのですが、いわゆるSPAMのためのリレーを試みるメールの他に、
自ドメインの存在しないユーザー宛てのメールが時々来ています。

発信元を見ると、その多くがYahoo!やLycosからになっています。最初は
発信元を偽ってSPAMメールでもランダムに送って来ているのだろうと
思っていました。ログは膨れるものの、結局のところUser Unknownで
はじくだけなのでとりあえず静観していたのですが、今日たまたま
届いたメールは、実際に自ドメインに存在するユーザー名宛てだった
ため、受信してしまいました。

で、問題のメールの中身は、「Yahoo! IDの登録確認メール」でした。
ヘッダやログを調べたところ、過去にYahoo!から来てはじかれていた
メールも全て同じものだったようです。で、登録確認とあるから、
本登録のための手続きを今後しなければ抹消されるのかと思いきや、
このメールは単なる通知でしかなく、「どなたかがアドレスを***
誤って***入力された」場合には、お手数ですが自分でアクセスして
削除手続きをしろ、との事。

そもそも誰が何のためにそうした行動を取っているのかも謎ですが、
Yahoo!の登録システムも随分いい加減だという印象を持ちました。

一応、Yahoo!側には(無駄だとは思いますが)システム改善の要求などを
書いたメールを送っておきました。

また、多数のユーザーを抱えているサイトでは、やるべきではないと
思いますが、自ドメインは私一人で使っているので、今回発信サーバが
特定できたYahoo!ID関連のメールを送って来るサーバのIPアドレスは
Blacklistに登録して接続自体を拒否しようかと思っています。

単なるSPAMなら読み捨てて無視するのですが、ものがYahoo!やLycosの
IDがらみなので、その意図が読めずに不安に思っています。

こういった事について何かアドバイスや参考情報がありましたら、教えて
ください。漠然とした質問ですがよろしくお願いします。

今泉克美 さんからのコメント
( Tuesday, November 06, 2001 20:38:15 )

当方の事情を会議室に
書きこまないでいたのですが
類似しているかもしれませんので。

11/5夜に「GOO」から
職場のサーバのPOSTMASTER@自ドメイン宛て、
メールが届きました。
GOOアカウントを取得しているものへの
「規約改定連絡通知」でした。

職場のサーバのpostmasterで
Gooアカウントを取得するはずもなく
また、今までgooからの広告その他も
いっさい来たことがありません。
ようするに突然11/5に会員になっているような
錯覚をおこすようなメールでした。

私どもでは、これが、なんらかのネットサギに使われると
いやですので、ただちにgoo事務局に通報しています。


今泉克美 さんからのコメント
( Wednesday, November 07, 2001 13:03:40 )

gooから返信のメールが届きました。
弊社ドメインのPostmasterが
なにものかによるGOOコミュニティー会員登録のさいに
連絡先として記入されていたとのこと。
抹消していただきました。
この返信メールは、大事にとっておくことにします。
今後何かがあっても、このメールで身の証しを立てられるので。

広瀬@明治大学 さんからのコメント
( Saturday, November 10, 2001 10:14:00 )

今泉さん、コメントありがとうございました。

その後の経緯ですが、まずYahoo!のメンバーサービスから返事が来ました。
こちらからのメールには、自ドメインは私個人で使っていることを明記して
おいたにも関わらず、「誰かがメールアドレスを間違って登録してしまい、
しかも間違いなため本人に確認メールが届かず、何度も登録しなおそうと
したのだと思われます」というトンチンカンな回答内容でした。

そこで再度、更に詳しく情報を付けてメールを出したのですが、「貴重な
御意見をありがとうございました」という回答が返って来ました。どうやら
これ以上の対処をするつもりは全く無いようです。

ちなみにこれはYahoo! Japanだけの問題では無く、全世界のYahoo!で、
IDの登録システムには同じような仕組みを使っているようです。

単なるメーリングリストの配信先の登録じゃないんだから、個人的には
最低限、

1. まずWeb上で仮登録作業として連絡用E-Mailアドレスを入力させる。この
  時点ではサービスは一切使用できない。
2. 連絡用E-Mailアドレス宛てに、本登録用のページのURLと、登録用
  パスワードを送る。
3. その登録用パスワードが入力された時点で、始めて登録が完了し、
  サービスが利用できるようになる。
4. 一定時間内に3.の作業がされなかった場合には、仮登録自体も抹消
 される。

位の事は、(特にあれだけの規模で各種サービスを提供しているサイト
ならば)社会的責任としてもやるべきだと思うんですが。