うちでは.comと.bizのドメイン3つを個人用と会社用に分けてお名前.comで管理しています。なので、2つのお名前IDを持っていて使い分けている状況です。そのうち、個人用の方はメールマガジンを受け取る設定にしており、会社用の方はメールマガジンを受け取らない設定にしております。
本日、17時33分頃送信されたメールマガジンが個人用のお名前IDの方に届きましたが、タイトルと中身がちょっと変だったんですよね。何が変かというと、他人の氏名(姓のみ)およびお名前ID、その方が所有しているドメインが複数列挙されたメールだったのですよ。明らかに、メールマガジンのシステムで障害が起こっています。
以下、時系列でツイートを…
お名前.comから「六川様」宛てのメールが来たんだが、オレは「六川様」ではない。これって、やらかした系ですか?
— ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 12月 4
メールに記載されている「お名前ID」もオレのもんじゃないんだがw — ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 12月 4
メールに記載されている「お名前ID」もオレのもんじゃないんだがw — ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 12月 4
今の段階で「六川様」のお名前IDでログイン試行をして、パスワード忘れたってやると「六川様」のパスワードを教えてくれるのかな?やらないけどw — ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 12月 4
うちにもきたお! RT @dream_exp: お名前.comから全く知らない人宛てのメールが飛んできたんだが何事? pic.twitter.com/Sj2QYRrH4r
— ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 12月 4
GMOやらかしちゃったみたいだな。名字とお名前IDが流出! — ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 12月 4
ウチの2件(個人用・会社用)は大丈夫なのか?((((;゚Д゚))))ガクガクブルブル — ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 12月 4
お名前.comが祭りになってるぞwww — ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 12月 4
お名前.comで漏洩したのは氏名(姓のみ)、所有ドメイン、お名前IDか。酷いな。
— ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 12月 4
ウチのも絶対に漏れてるな…((((;゚Д゚))))ガクガクブルブル — ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 12月 4
万一の可能性としてDB不整合だとすると、パスワードも漏洩する可能性あり。お名前.comはアホだからパスワードをメールで教えてくれるんだよな。
— ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 12月 4
パスワードリマインダを途中まで操作してみました。お名前.comではお名前IDさえ判ればメールでパスワードそのものを知らせてくれる仕様になっています。で、途中でメールアドレスの一部が表示され確認する画面があるので、そこで確認しました。
お名前.comのパスワードリマインダでは正しいメールアドレスが表示されるようなので、パスワード漏洩の危険性は無さそうだな。 — ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 12月 4
さすがに怖くて送信ボタンは押せません。
GMOはそろそろ、可能性というレベルでも良いから初報を出すべきでは?
— ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 12月 4
来た!>お名前.comメールマガジン誤配信に関するお詫び | ドメイン取るなら お名前.com – ドメイン取得 年間380円~ http://t.co/jr9BCVcGu6 — ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 12月 4
初報の魚拓はこちらです。
お名前.comから侘びメールが来た。削除して下さいと言うことらしい。
— ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 12月 4
お詫びのメールは20時36分頃に送信されてきました。事件発生から約3時間です。
所有ドメインが漏れていることを問題にしている人がいるのが不思議だったんだが、whois代行を使っている人が多いのかな。ウチはもともとwhois代行がないレジストラから移管したので、そのままオープンになっているから気にしてなかった。 — ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 12月 4
ウチは公開しているので全く気にしていなかったのですが、代行サービスを使って隠している方もいらっしゃるので、確かに問題ですね。
原因は作業ミス。誤送信件数は164,650件。>お名前.comメールマガジン誤配信に関するお詫び(更新:2014年12月4日 20:20) | ドメイン取るなら お名前.com – ドメイン取得 年間380円~ http://t.co/jr9BCVcGu6 — ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 12月 4
第二報の魚拓はこちらです。 お名前IDを付け替えという方法(元々は他の利用者への移管用にあるもの)があるので、それで個人用のお名前IDで管理しているドメインだけ新しいお名前IDに付け替えをしましたが…
取り敢えず確実に漏れたであろうお名前ID(個人用)を付け替えた。法人用は漏れていないっぽい(宣伝メールをもらわない設定にしている為)のでそのまま。 — ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 12月 4
う〜ん、お名前IDを廃止出来ないみたいだな。カード情報も削除出来ないっぽい。これは早急に対応すべきだろう。>GMO — ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 12月 4
そうなんです。廃止する方法が判りませんし、登録してあるクレジットカード情報を削除する方法も判りません。というか、そういう機能がありません。お名前.comを運用しているGMOインターネットさんには早急に機能追加をして欲しい物です。
コメント
GMOのアカ解約には書類手続きが必要です。昨年春に書いた記事ですがよろしければどーぞ。
情報ありがとうございます。「お名前.comのメール誤送信事件(その後)」で書いた通り、今はオンラインで出来るようになりました。