×
セキュリティ

Gmailの仕様を詐欺に利用できると技術者が指摘


macOSのインターネット配信アプリ「Vidrio」を開発しているジム・フィッシャー氏は、Gmailの仕様を悪用することで、詐欺が行える可能性があると指摘しています。フィッシャー氏によると、実際にGmailの仕様を利用して、Netflixの正規ユーザーに対して、「別のユーザーがNetflixを利用するための支払情報の入力を求める」メールを送信することができたとのことです。

The dots do matter: how to scam a Gmail user
https://jameshfisher.com/2018/04/07/the-dots-do-matter-how-to-scam-a-gmail-user

フィッシャー氏によると、自身が考案した詐欺の方法を使用することで、Netflixから自身宛に以下のメールを受信することに成功したそうです。実際に受けとったメールには「アカウントを停止しました。現在の支払情報に問題がありましたので、支払情報を更新してください」と書かれており、メールはNetflixから間違いなく送られてきたものとのこと。


そして、このメールに書かれている内容も事実で、Netflixは本当に「支払情報」に問題があったため、フィッシャー氏に送信しています。しかし、支払情報に問題があったのは、フィッシャー氏のアカウントではありません。フィッシャー氏はNetflixに「jameshfisher@gmail.com」でアカウントを登録しているようですが、このメールはフィッシャー氏のアカウントに「.(ピリオド)」を足した「james.hfisher@gmail.com」宛に送信されています。つまり、Netflixはフィッシャー氏ではなく、「james.hfisher@gmail.com」で登録したユーザーの支払情報に誤りがあったため、確認のメールを送信していたというわけです。

このメールがなぜ「jameshfisher@gmail.com」に届いたのかは、Gmailの仕様に関係します。GmailではユーザーIDの中に「.(ピリオド)」が追加されていても、Gmailが正しいと判定したユーザーID宛に送信されるという仕組みになっています。

Gmail アドレスでのピリオドの扱い - Gmail ヘルプ
https://support.google.com/mail/answer/7436150

他のユーザーがあなたにメールを送信する際に、誤ってメールアドレスにピリオドを追加した場合でも、メールはあなたの受信トレイに届きます。たとえば、メールアドレスが「johnsmith@gmail.com」の場合、次のようにピリオドが含まれたメールアドレスもあなたが所有していることになります。

・john.smith@gmail.com
・jo.hn.sm.ith@gmail.com
・j.o.h.n.s.m.i.t.h@gmail.com


通常であればメールアドレス内の「.(ピリオド)」の有無で違いがあれば、異なるメールアドレスを指します。当然、Netflixは異なるユーザーに送信したと考えているため、「james.hfisher@gmail.com」宛のメールがフィッシャー氏に届くとは知る由もありません。

フィッシャー氏は、このGmailの仕様を悪用することで、詐欺が成立する可能性があると指摘しています。以下の手順は、Netflixを正規のユーザーに支払いを行わせて、無料で番組を視聴しようとしたケースを想定しています。

◆手順
1.「gmail.com」のメールアドレスで「登録済み」と表示されるまで、Netflixのサインアップを行い続ける。
(例:登録済みアドレスとして「jameshfisher@gmail.com」を発見)
2.発見したメールアドレスにピリオドを付けたアドレスでNetflixアカウントを作成する。
(例:Netflixの新規アカウント作成画面でメールアドレスに「james.hfisher@gmail.com」を入力。なおアカウント作成時はNetflixの仕様で確認メールは送信されません)
3.偽のクレジットカード番号で無料トライアルに登録する。
4.Netflixはクレジットカード番号に誤りがあるとして、カードをキャンセル。
5.Netflixがカード番号に誤りがあるとして、ピリオド付きのメールアドレス宛に支払情報の更新メールを送信。
(james.hfisher@gmail.com宛てにNetflixがメール送信)
6.メールが送られてきた正規のユーザーが自身宛であると勘違いして、カード番号を入力。
7.カード番号の入力を確認したら、Netflixの登録アドレスをピリオド付きのものから別のアドレスに変更する。
8.他人のカード情報でNetflixを視聴できるようになる。

フィッシャー氏は、Netflixがメールアドレスの確認をしていないという問題はあるとしながらも、Gmailにも問題があると指摘しており、「Gmailユーザーの大多数は、ピリオド付きのアドレスに送信できる仕様を知らないと考えられます。そして、アドレス内にピリオドが含まれていても送信できるという機能が必要と考えるユーザーが一定数存在すると思いますが、望んでいないユーザーも多数いるはずです。Googleは、ピリオド付きのアドレスでの送信可否をユーザーに選択できるようにすべきです。少なくとも私は望んでいません」と述べています。

・関連記事
Gmailに届いたメールをエイリアスごとに自動でタグを付けて分類してくれるGoogle Apps Scriptを使ってみた - GIGAZINE

Googleが推進するウェブ高速化フレームワークのAMPが電子メールに対応、2018年後半にGmailにも導入へ - GIGAZINE

複数のメールアカウントやSNSでのカスタマーサポートをGmail上で一括運用できるChrome拡張機能「Deskun」を使ってみた - GIGAZINE

Gmail内でサードパーティアプリの操作を直接実行可能な「Gmail アドオン」の提供開始 - GIGAZINE

Gmail・Googleカレンダーと連携して中小企業の人事を効率化する「Google Hire」がサービス開始 - GIGAZINE

in ネットサービス,   セキュリティ, Posted by darkhorse_log