メールアドレスの漏れ先を追求してみる
2019-08-10 | やってみた

先日EPARKという病院や飲食店などの予約や受付を行うサービスから、「EPARKお客様満足度調査ご協力のお願い」という件名でメールが届きました。
はて?EPARKは使った覚えはないよな・・・
と思いつつスルーしていましたが、翌日同じくEPARKより「【お詫び】EPARKお客様満足度調査アンケートメールに関して」というメールが届きました。
内容を確認すると、「本来対象ではなかった方々へメールを配信しておりましたことが判明いたしました。」とのことでした。
ツイッター上にも
EPARKからアンケートメール来たけど私EPARK利用したことないというか今日まで名前すら聞いたことないんだがどこからメールアドレス漏れたんだろ?
— マルチ (@8284ice) August 9, 2019
EPARKって所から間違ってメールが届いたんだけど、
— zundamochi (@zundamanju) August 9, 2019
・使ったことないし
・楽天専用で使ってるアドレス宛だし
どう考えても楽天経由で漏れてるんだけど(#^ω^)ピキピキ
epark登録した覚えがないのにメール来たの怖過ぎるが。楽天かTポイント関係かな。。。
— き (@fugu_suki_szbh) August 9, 2019
というように、同じような疑問を持った方が大勢いました。
私のアカウントにも「楽天からメールアドレスが漏れたかどうかを調査している」という方よりコンタクトがあったほど、やはりどこから漏れたのか?は気になりますね。
メールアドレスは漏れて当たり前?
日々、スパムメールや広告メールなどいわゆる迷惑メールや、フィッシングメール、ウィルス付き標的型メールといったガチのサイバー犯罪のメールなど、メールアドレスを教えたはずもない相手からどかどか飛んできます。
今どきは自分のメールアドレスが知らないところで収集・悪用されることに慣れ過ぎちゃって「あぁ、またか・・」ってな具合ですね。
メールアドレスが漏れる原因は色々あります。
1.ハッキング等により情報漏えいしたサイトやサービスから漏れる
2.ある会員サイトに登録した自分の情報が別のサービスで利用されたり、転売される
3.ホームページやブログ、掲示板などに記載したメールアドレスから漏れる
4.アドレス収集者がランダムなアドレスを生成し、無差別送信による調査で漏れる
など、結局どうして漏れたかなんて追っかけようがありません。
実際ちょっとググると上記1なんていくらでも漏れてるのが分かります。
Google:情報流出 お詫び
自分のメールアドレスが漏れているか調べる
以前ラボのコーナーに「自分のサイトを調査してみる」という記事で、自分のアカウントが過去に漏れたかどうかを調べる「Have I been pwned?」というサービスを紹介しました。
Have I been pwned?(外部リンク)
上記サイトは英語なので、このサービスで使われているデータベースを利用したFirefox Monitor(右図)というのもあり、そちらは日本語対応しています。
Firefox Monitor(外部リンク)
もちろん、このサービスは全ての漏洩データを網羅しているわけではなく、今回EPARKから私に送られたメールアドレスは、このサービスでは「漏れていません」と出ました。
原始的な方法で漏れ先を調べてみる!
こういうのってやっぱりモヤモヤしますね。
とはいうものの、信用していたサービスがメールアドレス等の情報を他に横流しなんてことがあれば、それは由々しき事態ではないかと思ったりしたわけです。
そこでちょっと面倒なんですが、私が会員登録しているサイトの中から40サイトほど、登録メールアドレスを全て別々にしてみました。
例えば、Facebookにはfacebook@cottonwool.jp、楽天にはrakuten@cottonwool.jpというように、それぞれのサービスにちなんだメールアドレスを発行し各サービスに設定。しかもそれらメールは受信しかしないとなれば、迷惑メールやスパムが届いた時点でどのサービスが漏れたかが分かるはずです。
(実際はcottonwool.jpドメインは使用していません)
普段使いのメーラーに40近くのアカウントを登録するのは、日常業務に差し支えるので、フリーのメーラーソフト「EdMax」を使って管理することにしました。
しばらくこれで様子を見て、何か動きがあればまたブログに紹介します。
(追記 8/13:せっかくなので現在登録先をもっと増やしています。)
ちなみに今回のメールアドレスの作り方では個人情報に当たらないようで、keisuke-mori@cottonwool.jpのように個人が推測、調査により判明でき、かつ、サイト等で公開していないメールアドレスは個人情報に当たるようです。難しいもんですな。
もう一ついうと、ホームページ等で公表していないメールアドレスに対し、営業目的とした広告メール等は本人の事前承諾なしに勝手に送りつけると特定電子メール法違反(処罰対象)となります。
公表しているメールアドレスでも営業メールを拒否していると保護対象になるようです。
参考:コットンウール会社概要
大半の営業メールは違反してるよね~。
詳しくは総務省が発行するガイドラインを御覧ください
本日、とあるサイト専用のメールアドレスにフィッシングメールが届きました。
当てずっぽうで判明するようなメールアドレスではないので、漏れた可能性が高いです。
各サイトにはメールアドレスのみならず、パスワードも全てバラバラに登録してあるので、パスワードの漏洩が確認できたらIPAに報告します。
この記事はお役に立ちましたか?
役に立たなかった | 役にたった | |