200KBのメールヘッダ 26
ストーリー by wakatono
DM名簿添付メール 部門より
DM名簿添付メール 部門より
gori 曰く,"読売オンラインによると、明治乳業が発行するメールマガジンに、登録者1万人分のアドレスをコピーしてはりつけ送信したようだ。
読売の記事は「コピーして張り付け」となっているので、メール本体にアドレスが載っているような印象を受けるが、明治乳業の謝罪文によると、「他の会員の方のメールアドレスを表示した形で送信」したことになっている。
この両社が正しいとすると、1万人のメールマガジンのアドレスを、コピーペーストして発行している?
いずれにせよ、1万人分のメールアドレスだと、アドレスが平均20byteとして、200Kbyteの巨大ヘッダのメールマガジンが届いたことになる。"
オレも仕事柄、いろんなところからのダイレクトE-mailを受け取る機会が多い。たまに To: や Cc: に、他の顧客アドレスが記されてることがある(当然送り手のミス)が、今回はまたすごい。つぅか、普通のMTAでこれ配送できるのか?とか、違う論点でも気になる。
違う論点 (スコア:4, 参考になる)
Re:200kb程度では (スコア:4, すばらしい洞察)
確かに RFC-2822 上は、一行につき 1000 バイトの制限が 課されますけど、次の行頭を空白文字で始めれば 継続が効く訳ですから。
送信前のチェック体制より... (スコア:4, すばらしい洞察)
仕組み作りって言っても、一からプログラム書いたりしなくても、単純にMailing List用のソフト使うとかすれば、こういうのは間違いなく防げるでしょうし...
Re:送信前のチェック体制より... (スコア:3, 興味深い)
To:やFrom:の内容は、必要ならばドメインパートを追加するためにMTAが必ず1つずつ見ます。ですから、大量にmailbox(とRFC2822では書いてあったような)を書いてあると、MTAにとっては仕事が重くなります。新手のDoSといわれても仕方ないでしょう。
MUAで何とかしろといわれたら、group表記にしてしまうのも手ですけどね。
Re:安全なメールマガジン配信法 (スコア:3, 参考になる)
ウチなんて、固定的に複数人に届けられるメールは全部fmlでデリバリしてるけど...
ネットワーク管理関係のメールなんかで、4人しか受けないってのもある。
まぁ、これなんかは担当者が変わっても、spool引っ張って見れば過去の履歴がわかるという面もあってやってる事だけど。 これ最悪 :-)
BCCと間違ってCCに入れちゃったら元伝のような事故に即直結じゃん。
まぁ、自前のサーバアカウントが無いとかで、メーリングリストの仕組みを自分で作れないっていう場合もあるかもしれないけど、そういう場合はMLサービスとかを使うべきだと思う。
タダでやってる所もいっぱいあるし。
YahooBB!もやっちゃった (スコア:2)
http://pc.2ch.net/test/read.cgi/isp/1003164344/313
http://pc.2ch.net/test/read.cgi/isp/1003164344/301
1MB近いものが来たそうです。
流行ってるんでしょうか。
氷山の一角… (スコア:2, 参考になる)
同じようなことをやらかした中小企業をいくつか知ってます。
そもそも個人情報の扱いそのものがズサンとしか思えないところが多いようです。
検索エンジンで特定の文字列で検索かける(/.に来るような方々ならご存知でしょう…)と、
注文データやら、アンケートやら、懸賞やらのデータが見つかった時期がありました。
それにはメールアドレスのみならず、氏名、住所、電話番号が…
こういうのを見つけて名簿屋なんかに売った人も居るんだろうなあと思います。
たとえ事故であるにしろ (スコア:2, 参考になる)
たとえ事故であったにせよ、メールアドレスという個人情報が、具体的なかたちで流出した、ということがとても大きな問題です。
場合によっては「プライバシー侵害」「定款違反」という法律的な問題になりかねないから、いつ訴訟になってもおかしくない。
技術といっても、送信先アドレスを隠蔽するのはたいした技術じゃない。
あまりにも、仕事に対する、あたりまえなレベルでの緊張感がなさすぎ。
Re:たとえ事故であるにしろ (スコア:2)
実は単にToやCcに入れるとそうなることを「知らなかった」という、もっとレベルの低い問題のような気がするのです。
緊張感をもってしても「手違い」じゃないんだから防ぎようがなかったりして。
個人レベルの緊張感だけでなく、企業レベルでの緊張感が必要とされるところなんでしょうかね。
Re:送信前のチェック体制より... (スコア:2, おもしろおかしい)
「システムを使うのがもったいない」
という編集長判断で(笑)、普通のMUAから手動でメール配信させられてました。
せっかく用意されているものを使わない方がもったいないと思うんですがねぇ。
まあ、「Mailing List用のソフトを使う」ということ一つ取っても実際の現場では一筋縄ではいかない、ってことです。
なぜそういう部下にまかせたか? (スコア:2)
緊張感といっても、作業者当人だけではなく、「だれにやらせるか」という人選をした人も含めた問題でしょう。それもできないのであれば、管理職としての能力がない、ということになります。
また、横で見ていた人がもしいれば、そういう人が注意すべきだったしね。
前にも花王で、ML使ってメールの大量配信したところ、そのアドレスに外からウィルス入れられちゃった、という事故もありました。これは花王自身ではなく、ここの広告代理店やっていた某大企業が、さらにその下請けに仕事を出し、そこでバカをやった、ということでした。
仕事を任せるほうも、相手が大丈夫かどうか調べておかないとダメですね。
Re:MSにも前科アリ。 (スコア:2, すばらしい洞察)
# 数学は科学の女王にして奴隷
おふとぴMailPublisher (スコア:2)
たしか、Perlのプログラムを1000万円くらいで売っていた気がしたのだがぁ・・・
Re:安全なメールマガジン配信法 (スコア:2, 参考になる)
> bccにずらずら並べるってのがベターなのかな?
RFC2822 の「3.4. Address Specification」で、「group」として定義されてる書き方を使いましょう。
たとえば、
To: funyu: kotori, oniichan;
と書くと、MUA はこのリストから recipient to のリストを作るものの、実際に相手に送られるメールのヘッダでは MUA が
To: funyu:;
という風に隠してから送ります。
500人の中に入りました。 (スコア:1)
26日に受け取りましたが、開こうとするとやたら重い。 見事にメール本文にアドレスがならぶ。
結局本文はメールアドレスのみここまで来ると笑いますね。
メールサイズは約244KB、お詫びメールが約2KB 120倍♪ 被害は何倍になるんでしょうか・・・。
確かにTOやCCは今まであったがここまでのはなかなか・・・
いったいどうやったらこんなミスをするのか教えて欲しいものだ。
その手の業界にいてもMLに個人メールを送る奴もいるからしかたないか・・・しかたないか?
MSにも前科アリ。 (スコア:1, 興味深い)
X-Box参入を公式にアナウンスしていなかった某社や
他ハードメーカーの関連会社だったはずの某社など、
どんなところが開発してるのかが良くわかってよかったです。
Re:500人の中に入りました。 (スコア:1, 興味深い)
山ほどあります (スコア:1, 参考になる)
だけでもポカミスは減るでしょう。
今ならqmailのfastforwardがシンプルかつ高速で良いかもね。個々の
ドメインあたりのユーザーが多いなら一緒に送るpostfixが効率的かな。
MUAで対処するのもありかもね。
・・・まぁ、とにかく手作業はやめろって(笑)。
200kb程度では (スコア:0)
謝罪メールレスポンス (スコア:0)
あ~あ すごいことするなぁ・・・ このアドレス売れないかしらなんて、他人事ながら興味心身、謝罪メールのレスポンス待っていました。
VAAM&コルディア通信 01/10/26 14:27:35(メール本体)
VAAM&コルディア通信(お詫びとお願い) 01/10/26 19:09:11
VAAM&コルディア通信(事務局からのお詫び) 01/10/26 21:28:56(公式謝罪文?)
対応まで5時間、最初のお願いメールぐらいさっさと出せばいいのに・・・ ひょっとして自分のメルマガ受け取っていないとか?
Re:氷山の一角… (スコア:0)
以前あったのですが、日経のナントカって雑誌のセキュリティのアンケートメールでやってました。
アンケートする前に自分のセキュリティをなんとかして欲しかったですね。
安全なメールマガジン配信法 (スコア:0)
特定多数にメールを配信する方法って確立してないんですかね?
MLの仕組みを使うってのも大げさに感じられるし、
bccにずらずら並べるってのがベターなのかな?
Re:MSにも前科アリ。 (スコア:0)
でも、ま (スコア:0)
どんなメールヘッダになっているのか? (スコア:0)
一度見てみたいですね。
こちらには来ませんでしたから。
配信受け持つ会社が牛乳で狂牛病になって、アタマがおかしくなったのかな?あ、飲んでなくてもいっしょだって?失礼いたしました。
Re:安全なメールマガジン配信法 (スコア:0)
うちは、配信専門のSMTPサーバをスクラッチでCで作っちゃいましたが。1週間もあればデバッグまでできるよ。普通。