Gmailの仕様を詐欺に利用できると技術者が指摘 – GIGAZINE

ふむ・・・


macOSのインターネット配信アプリ「Vidrio」を開発しているジム・フィッシャー氏は、Gmailの仕様を悪用することで、詐欺が行える可能性があると指摘しています。フィッシャー氏によると、実際にGmailの仕様を利用して、Netflixの正規ユーザーに対して、「別のユーザーがNetflixを利用するための支払情報の入力を求める」メールを送信することができたとのことです。

The dots do matter: how to scam a Gmail user
https://jameshfisher.com/2018/04/07/the-dots-do-matter-how-to-scam-a-gmail-user

フィッシャー氏によると、自身が考案した詐欺の方法を使用することで、Netflixから自身宛に以下のメールを受信することに成功したそうです。実際に受けとったメールには「アカウントを停止しました。現在の支払情報に問題がありましたので、支払情報を更新してください」と書かれており、メールはNetflixから間違いなく送られてきたものとのこと。

そして、このメールに書かれている内容も事実で、Netflixは本当に「支払情報」に問題があったため、フィッシャー氏に送信しています。しかし、支払情報に問題があったのは、フィッシャー氏のアカウントではありません。フィッシャー氏はNetflixに「jameshfisher@gmail.com」でアカウントを登録しているようですが、このメールはフィッシャー氏のアカウントに「.(ピリオド)」を足した「james.hfisher@gmail.com」宛に送信されています。つまり、Netflixはフィッシャー氏ではなく、「james.hfisher@gmail.com」で登録したユーザーの支払情報に誤りがあったため、確認のメールを送信していたというわけです。

このメールがなぜ「jamesfisher@gmail.com」に届いたのかは、Gmailの仕様に関係します。GmailではユーザーIDの中に「.(ピリオド)」が追加されていても、ピリオドのないメールアドレス宛に送信されるという仕組みになっています。

Gmail アドレスでのピリオドの扱い – Gmail ヘルプ
https://support.google.com/mail/answer/7436150

他のユーザーがあなたにメールを送信する際に、誤ってメールアドレスにピリオドを追加した場合でも、メールはあなたの受信トレイに届きます。たとえば、メールアドレスが「johnsmith@gmail.com」の場合、次のようにピリオドが含まれたメールアドレスもあなたが所有していることになります。

・john.smith@gmail.com
・jo.hn.sm.ith@gmail.com
・j.o.h.n.s.m.i.t.h@gmail.com

通常であればメールアドレス内の「.(ピリオド)」の有無で違いがあれば、異なるメールアドレスを指します。当然、Netflixは異なるユーザーに送信したと考えているため、「james.hfisher@gmail.com」宛のメールがフィッシャー氏に届くとは知る由もありません。

フィッシャー氏は、このGmailの仕様を悪用することで、詐欺が成立する可能性があると指摘しています。以下の手順は、Netflixを正規のユーザーに支払いを行わせて、無料で番組を視聴しようとしたケースを想定しています。

◆手順
1.「gmail.com」のメールアドレスで「登録済み」と表示されるまで、Netflixのサインアップを行い続ける。
(例:登録済みアドレスとして「jameshfisher@gmail.com」を発見)
2.発見したメールアドレスにピリオドを付けたアドレスでNetflixアカウントを作成する。
(例:「james.hfisher@gmail.com」でNetflixアカウントを作成)
3.偽のクレジットカード番号で無料トライアルに登録する。
4.Netflixはクレジットカード番号に誤りがあるとして、カードをキャンセル。
5.Netflixがカード番号に誤りがあるとして、ピリオド付きのメールアドレス宛に支払情報の更新メールを送信。
(james.hfisher@gmail.com宛てにNetflixがメール送信)
6.メールが送られてきた正規のユーザーが自身宛であると勘違いして、カード番号を入力。
7.カード番号の入力を確認したら、Netflixの登録アドレスをピリオド付きのものから別のアドレスに変更する。
8.他人のカード情報でNetflixを視聴できるようになる。

フィッシャー氏は、Netflixがメールアドレスの確認をしていないという問題はあるとしながらも、Gmailにも問題があると指摘しており、「Gmailユーザーの大多数は、ピリオド付きのアドレスに送信できる仕様を知らないと考えられます。そして、アドレス内にピリオドが含まれていても送信できるという機能が必要と考えるユーザーが一定数存在すると思いますが、望んでいないユーザーも多数いるはずです。Googleは、ピリオド付きのアドレスでの送信可否をユーザーに選択できるようにすべきです。少なくとも私は望んでいません」と述べています。

情報源:Gmailの仕様を詐欺に利用できると技術者が指摘 – GIGAZINE


へぇ・・・