×

“gmail”とそっくりの「ドッペルゲンガー・ドメイン」 狙いは誤送信メールの個人情報?

2022年11月23日 2:11
“gmail”とそっくりの「ドッペルゲンガー・ドメイン」 狙いは誤送信メールの個人情報?

埼玉大学の教員が、メールを誤送信し、学生ら約2100人分の個人情報が流出していたことがわかりました。その原因は「ドッペルゲンガー・ドメイン」という、打ち間違いを狙ってメールを集めるようにつくられたドメインによるものでした。

■10か月…誤った先に“送り続け”


有働由美子キャスター
「メールアドレスを打ち込むとき、急いでいて、『@gmail.com』を、"エル"の文字を忘れて、『@gmai.com』とうっかり打ち間違えたことあるという方もいると思うんですが、これで個人情報が大量に流出する問題が起きたんです」

「埼玉大学で去年5月、教員が大学のメールアカウントから私用のGmailアカウントにメールが自動で転送される設定を行ったところ、間違えてドメインを『gmai.com』にしてしまいました」

「そのことに気付かないまま、ことし3月までのおよそ10か月間、この間違えたドメインのメールにおよそ5000件転送され続けたというんです。これによって、教員や学生らの名前、電話番号などの個人情報、およそ2100人分が流出しました」

「間違えて送ったら、エラーの通知がきて気付きそうなものですが…どうしてでしょうか?」

小野高弘・日本テレビ解説委員
「『gmai.com』は、打ち間違いを狙って作られたドメインだからです」

「元のドメインとそっくりなこのドメイン、自分そっくりな人を見る『ドッペルゲンガー』にちなみ、『ドッペルゲンガー・ドメイン』と呼ばれています。『gmai.com』のドメイン自体は存在しているのでメールは送れてしまいます。だからエラーの通知がこないのです」

「今回、誤って送信した教員も、『正しいアドレスに転送されないのは、単に設定がうまくできていないんだと思っていた』ということです」

■目的は詐欺メールの送信


小野委員
「ITジャーナリストの石川温さんによると、「ドッペルゲンガー・ドメイン」の所有者の目的の1つは、誤送信メールに記載された個人情報を抜き取ること。最終的にはフィッシングメールや詐欺メールを送りつけることです」

「例えば、クレジットカードでの買い物情報をもとに、そのカード会社を装ってメールを送るなど、よりひっかかりやすくする場合もあるそうです」

■誰にでも起こる打ち間違い…AIで排除できる?


有働キャスター
「(ドメインを)間違わないことが大事ですが、それでも打ち間違えてしまうことはあります。それをAIで排除するようなことはできないのでしょうか?」

落合陽一・筑波大学准教授(「news zero」パートナー)
「技術的にはできます。メールアプリの管理者がブラックリストにあるドメインに送ろうとしても、送れないようにすることはできる」

「ただ、それが実際に、悪意のあるドメインか、悪いことに使われているかというのは、被害者が出てからでないとわからないので、被害をゼロにはできないし、かつ、あやふやな時に、訴訟リスクにもつながるため難しい課題だと思います」

有働キャスター
「システムが難しいとなると、どうしてもアドレスを手入力しなければいけない時は何度も確かめる……。単純だけど、今はそれしかないです」

(11月22日『news zero』より)