メールって最近仕事で生産性が悪いとか、スパムメールが多いとか、携帯キャリアを変更したら使えなくなった、というようなネガティブな意見をよく聞く様になりましたが、インターネット普及に非常に貢献した技術の一つなので、悪者扱いせずに、仲良く付き合っていく人が便利にITを活用しているように思えますね。
仕事で必要不可欠なメールですが、ふとしたタイミングでGmailのアカウントがユニークになっていないことに気がつきました。
そして、その事で想定できる色々なトラブルを事前に知っておかないと、なかなかめんどくさいことになりそうなので、ブログ記事に書いておくことにしました。
とあるチームで作業していた時の話
僕がとある上場会社でマネジメントしていた4名ほどのチームで、その中の一人が届いたメールで悲鳴をあげた事で発覚しました。
企業の商品を検証する事が目的の品質管理チームで、唯一の女性担当者だった人が、「自分のメールじゃないのに自分のメールの受信BOXに届く」と言って気持ち悪がっていたのを見かけ、詳しく話を聞いてみたところ、
自分の名前と似た様なGmailのメールアカウントなのだそうですが、自分に何故送信されてくるのかよく分からないとのこと。
具体的に書くと、「田中優子(仮名)」さんという名前で、"yuko.tanaka@gmail.com"(仮のメールアドレスです)というメールアドレスを使っていた時に、"yukotanaka@gmail.com"というメールアドレスでのメールが届くのだそうです。
※使っているメールアドレスは適当に作成したもので、筆者の知り得ないメールアドレスです。
実はこうしたメールが過去に何度か届いた事があり、そのメールには、何かトラブルが発生したので、メールの返信をして欲しいとの内容が書かれていたそうで、メールを受けた彼女は、このメールに対して返信しなければいけないかどうか悩んでいたのだそうです。
実はもう少しエグい内容が書かれており、悲鳴に繋がったそうです。
原因発覚
gmailのアカウントの仕様で、googleアカウントは、「.」(ピリオド)を追加するアカウントも全て同じアカウントとして認識されるそうです。
Googleヘルプ | 他人宛てのメールが届いた場合
具体的に書くと、
「johnsmith@gmail.com」の場合、次のようなピリオドを含むメールアドレスは、すべてあなたが所有していることになります。
john.smith@gmail.com
jo.hn.sm.ith@gmail.com
j.o.h.n.s.m.i.t.h@gmail.com
※メールアドレスは架空のモノです。
という事なのだそうです。
でも、ここで気が付いたことは、googleは、同じ文字列でピリオドが追加されただけのアカウントは作成できないはずなので、そもそもメールアドレス自体を間違えているという事は仕様を考えてみるとよくわかります。
間違いメールを受け取った彼女は、自分のアカウントだと思っていた文字列と違うアカウントが自分のメールボックスに送信されてくるのが、非常に気持ちが悪いそうです。
気持ちはわかりますね。
おまけに、彼女は優秀な検証担当者だったため、人一倍気持ち悪さが強かったんでしょうね。
そもそもアカウントのユニーク性とは?
メールアドレス | wikipedia
Google社が何故このような不思議な仕様を認識しているかというと、メールアカウントで使える文字列はwikipediaに書かれている通りですが、ピリオドが先頭や最終に来てしまうとNGなのだそうです。
どうやらピリオドがアカウントで注意点として多い事がわかります。
そして、区切り文字として使われがちなピリオドで、同姓同名が取得できてしまったら、間違いメールの温床になりかねません。
こうしたことを危惧したgoogleは、きっと、ピリオドを含むアカウントを全て同一という仕様にしたんでしょうね。
ちなみに、余談ですが、アカウントは大文字小文字も同じに扱われますので、これも同じ様な理由なのでしょうね。
考えられるトラブル
さて、ここまではgmailの仕様ということで納得がいくのですが、他サイトでメールアドレスをユニークとして判定するログイン方式の場合、
yuko.tanaka@gmail.com
yukotanaka@gmail.com
y.u.k.o.t.a.n.a.k.a.@gmail.com
※メールアドレスは架空のモノです。
これらは全て同じメールアカウントなのに、複数のログインIDとして登録できてしまうでしょう。
メールアドレスはユニークであるにも関わらず、ユニークではないのですね。
これは気持ち悪い。
もはや不正利用の匂いしかしません。
みなさん、間違っても、懸賞サイトなどで、メールアドレス1つにつき1送信などの際に、複数のアカウントで送信しないようにしましょうね。
当選確率が上がるなんて事は間違ってもないでしょうが・・・
そういや、googleの迷惑メールフィルタでもこの仕様は使われているんでしょうか?
こうした事がなんだか気になってしまう体質になってしまいましたね。
Gmail アドレス内の 「.」(ピリオド) を無視する仕様がフィッシングに悪用可能だという指摘
そして、上記リンクに書かれているようなフィッシングの危険もあるので、 ログインサービスを展開している人はこうした事を踏まえて仕様構築をしないといけないという事がよくわかります。
ITインシデントは、「知らなかった」では済まされない事が多いので、こうした技術仕様を熟知しなければいけませんね。
