mobileme
Apple

MobileMeの全ユーザのメールアドレスは簡単に盗める

次の記事

未来の地図はクラッカージャックのおもちゃみたいになる?

迷惑メール(スパムメール)業者が使うアドレスリストの作成は、今や数十億ドル規模のビッグビジネスだ。しかしWebメールのプロバイダの多くが、だいぶ前に、迷惑メール業者たち(spammers, スパマー)がアドレスを簡単に自動収集する手口の多くを封じこめた。たとえば今では、存在しないアドレス宛てのメールのバウンスをWebメールで受け取ることはない。そうするとスパマーたちは、応答を受け取らないかぎりそのアドレスがまともなアドレスかどうかを判断できない(そのために[今後わが社からのメールを受け取りたくない]などの巧妙で悪質なリンクが一時流行った…それをクリックするとまともで生きてるアドレスと判断される)。HTMLメールではトラッキングピクセル(追跡画素)という手口も彼らのカモたちのアドレス(IP)同定のために利用される。

ところがAppleは、スパマーたちが簡単にidiskのプロパティを覗いてMobileMeのユーザ名簿をぜんぶいただいてしまえる、おそろしくシンプルな方法を作ってしまった。名簿のユーザ名は、@me.comとか@mac.comを付けるだけでメールアドレスになる。

その仕組みを説明しよう。MobileMeの各ユーザは、idiskのファイルを公開的に共有するためのサイトを利用できる。そこにファイルを送って、ファイルを公開的または非公開的に利用する。ページを非公開に設定することは簡単にできるが、でもユーザ名は(フォルダ名から)見えてしまう。これはだめなユーザ名の例idisk.mac.com/mehmehmeh-Public。こちらはまともなやつ:idisk.mac.com/steve-Public (これはSteve Jobsのアカウントだ)。ユーザが公開フォルダを隠したり削除する方法はない。それは、MobileMeのユーザになったら自動的にもらってしまうフォルダだ。

簡単なWebクローラ〔リンクからリンクへとしらみつぶしに全ページを覗いていくプログラム〕を使って、MobileMeの全ユーザの名簿(結果的にメールアドレスリスト)を集めることができる。まさに、赤児の手をひねる朝飯前の仕事だ。

Appleはこの問題を知っているが、一度も苦情がないから大丈夫と言っている。ある読者はAppleからこんな返事をもらった:「iDiskの公開フォルダが原因でスパムメールが来るようになったという苦情はまったく受けておりません。iDiskのフォルダからアカウント名を取り除く方法はございません。たいへん、申し訳ございません。」

そこで、われわれはここに、正式にかつ公式に、苦情を申し立てる。悪者たちはすでにこのことを知っている。どうなるか結果を事前に考えもせず、フォルダ名にユーザ名を安易にそのまま使うような製品を、そもそも作るべきでない。ぜひ、改めていただきたい。

[原文へ]
(翻訳:hiwa)

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中