パスワードを忘れた? アカウント作成
5126 story

anetから誤配メール……個人情報付き 77

ストーリー by yourCat
よりにもよって落札連絡とはツイてない 部門より

matsuani 曰く、 "フリーメールサービスのanetからメールが誤配されてきました。どうやらオークションの出品者から落札者への連絡のようで名前、住所、電話番号が書かれてしまっています。転送するのはどうかと思われるので控えますが、ほかにも多くの人に誤配されているようです。"

親のインフォシークの説明によると、名前欄に不正な文字を使ったユーザーのせいでメールサーバーがおかしくなったそうだ。この影響で現在anetのサービスを一時停止、メンテナンスを行っている。
しかしどんな「不正文字」だろう……。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by celsior_user (8983) on 2003年02月28日 20時57分 (#269887) ホームページ
    どこかのレスとダブってますが...

    ・先頭文字が -
     → postfix でデフォルト設定のままだと配信エラーになる

    ・メールアドレスの中に ? が含まれる
     perlでパターンマッチを通すとエラー終了してしまう

    ... といったメールアドレスも作れてしまいます (EZ, J-Phone)

    メール配信サービスに関わっているプログラマの方は注意しましょう。
  • 恐るべき宛先 (スコア:2, 参考になる)

    by Anonymous Coward on 2003年02月28日 20時51分 (#269883)
    問題の宛先には、機種依存文字や \、*、' や ( や - が含まれてます。
    これだとメールサーバが下手な実装をしていると正規表現がマッチして
    しまいそうです。ある意味XSS脆弱性に近いバグがあったのかも。
    • Re:恐るべき宛先 (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2003年03月01日 10時30分 (#270176)
      お前、XSS知らないだろ?
      親コメント
      • by tnk (13707) on 2003年03月02日 11時13分 (#270785)
        「文字列に対して必要なエスケープ処理をしてない」という点では
        XSSと同系統のバグといえなくもない。

        シェルスクリプトやPerlにわたす文字列の``やSQLの;など,
        エスケープ忘れのバグの結果にはいろいろな種類がある。
        親コメント
  • by naruenosekai (13637) on 2003年02月28日 21時20分 (#269906)
    今回、確かにあってはならない誤動作したサーバ設定にも問題があるが
    そもそも、名前欄に'\`つかって、顔文字入れるのがそもそも間違いで、
    自業自得の様な気がして成らないのだが。
    • 対策として (スコア:2, すばらしい洞察)

      by oddmake (1445) on 2003年02月28日 21時34分 (#269914) 日記
      そもそもメールアドレス登録時点で不正な文字ははじけよ・・・
      とか思ってしまったです。

      #最近IISで面白くない仕事したのでID<関係無いぢゃん
      --
      /.configure;oddmake;oddmake install
      親コメント
      • Re:対策として (スコア:2, 参考になる)

        by Anonymous Coward on 2003年03月01日 0時14分 (#270006)
        anetに登録してるアドレス自体は問題ない。
        まっとうな(?)文字で構成されてるもの。
        問題の文字は、MUAで設定する(通常、名前欄とかで)部分で入力されたもの。

        というわけで、今回ので問題がある場所としては、
        ・最初の送信者のMUA(そんな文字を設定させた)
        ・そのメールに対する返信者のMUA(エンコードせずにRFC規定外の文字を流した
        ・anetのMTA(From欄にある不正文字でここまでおかしな動きをした)
        ってところが挙げられるのではないでしょうか。
        #悪いとか悪いくないとかは別として、これを引き起こした原因箇所、という意味で。

        #ちょっと怖くなったので、自分が作ったシステムでCGIからMTAに投げている部分をチェック中なのでAC
        親コメント
      • by Shidho (5649) on 2003年02月28日 23時28分 (#269973) 日記
        登録時にははじいていますね、たぶん。
        To: [Shift_JIS]\ ('-'*)
        宛てにメールを送る(つまり上記文字がFrom:にあるメールに返信した)
        ことで、今回の状況が発生したようです。

        だから、メールサーバ(anet.ne.jp)の問題。
        親コメント
    • by Anonymous Coward on 2003年02月28日 21時35分 (#269915)
      システムの都合でユーザーの行動を「間違い」としてしまうのは
      どうもおかしな気がします。
      人間様が機械におもねっちゃだめだよ。

      そこで頑張るべきはMUAだと思うのですが、
      これ以外にも to フィールドの「彌(2バイト目'\')」をShiftJISのまま送るなんてポカしてる気配が。
      X-Mailer: Microsoft Outlook Express 5.00.2314.1300
      ってそういう仕様でしたっけ?
      親コメント
      • ウチに来たのは (スコア:1, 参考になる)

        by Anonymous Coward on 2003年03月01日 2時12分 (#270065)
        返信して増殖したものだったんですが
        toフィールドが
        To: ")>" <@●●●.freemail.ne.jp "恊カ " ('-'*)<●●●@anet.ne.jp>
        でした。
        X-Mailer: Microsoft Outlook Express 6.00.2800.1106
        です。

        ちなみに元のFromは
        To: ")>" <彌●¥ ('-'*) <●●●@anet.ne.jp>

        記号は半角、●はこちらで伏せ字にしました。

        anetは最近頻繁にメンテしていたのでソフトの修正ミスで
        しょうか。(身売りする前はよく止まってましたが…)
        Infoseekも買収してから開けてビックリ状態なんでしょうねー。。。
        親コメント
        • by saitoh (10803) on 2003年03月01日 14時23分 (#270248)
          うちのメールサーバ(sendmail)が弾いたエラーメールの中にも 当該の形式のアドレスで unbalanced ' ヘッダを見ると anetではqmailを使っているようなのですが、 今回のはqmailのバグではなくてqmailに組み合わせている 転送処理プログラムのバグなのでしょうね。 しかし、メールがエラーになるならともかく、他人に届くのは いったいどういうメカニズムのバグ?
          親コメント
        • by znz (2728) on 2003年03月01日 15時50分 (#270286) 日記
          うちには元っぽいのが来てましたが、そのToは同様に伏せ字にすると
          To: <彌●\ ('-'*) <●●●@anet.ne.jp>)>
          となっていました。

          そこから
          Delivered-To: ●● ('-'*) <●●●@anet.ne.jp
          に配送されて
          Delivered-To: ●●●@10.208.5.101
          と私のアドレス宛に配送されていました。

          というわけで<>がまずかったに1票。
          親コメント
      • ためしに
        Microsoft Outlook Express 6.00.2800.1106
        でテストしてみましたが、Toフィールドも漢字はBエンコーディング
        していますよ。
        親コメント
    • 機種依存文字の事も知らない人がいるので半分は仕方の無いこと。
      とはいえ、今回の一件は被害甚大でしたな。

      もっともこんなんで訴えられた日にゃたまらんとも思ったり。

      --

         //座右の銘は「人生目分量」。 Funorita

      親コメント
    • そもそも、変な文字(って何?)入れると個人情報をばらまく可能性があるということは事前に説明されてれたのでしょうか?

      そりゃ、オタクな人にとっては「ふつーそんなの入れる奴いねーよ」という
  • admin@anet (スコア:2, おもしろおかしい)

    by 335 (4199) on 2003年03月01日 2時21分 (#270071) 日記
    は、僕なのです。administratorじゃないけど。

    しばしば管理者だと信じた方からの苦情が飛んで
    きます。

    オフトピ -1
  • 宛先の名前の部分に顔文字が入っていて、その一部に半角の「*」が使われていました。これが原因だったんでしょうか?
  • by depress (12451) on 2003年03月01日 1時17分 (#270039)
    【お願い】:ご自身宛ではない受け取られた一部のユーザー様は、お手数ですがメールを削除していただきますよう重ねてお願い申し上げます

    って書いてあるところを見ると、infoseek(anet)側ではどこに誤配したかも分からないってことなのでしょうか。

    せめて誤配先が調査すれば分かる程度であることを願う。
  • by Anonymous Cowboy (6205) on 2003年03月03日 12時49分 (#271523)
    個人情報がついていたのはたまたま誤配されたメールが個人情報を含んだ内容だったからで、
    anetが自前のデータベースから追加したものじゃないですよね?

    メールが誤配されればそこに書かれていたことは個人情報だろうがなんだろうが内容を問わずもれてしまうのは自明なわけで、
    なんでわざわざ「個人情報付き」と強調しなくてはならないのか理解に苦しみます。
  • by Anonymous Coward on 2003年02月28日 19時52分 (#269843)
    半角ですかね。もしかして制御コード系?ESCとかLF,CRかな?
    • by tomatsu (2545) on 2003年02月28日 20時29分 (#269871)
      一部のユーザー様が名前の欄に不正な文字列(特殊記号)をご利用になっていらっしゃったため、弊社転送メールサーバーに不具合が発生いたしました。

      と説明に書いてあります。

      機種依存文字を含んだ文字列を文字コード変換すると、コントロールコード混じりの文字列を吐いてしまう物が有ったような気のせいだったような……。
      親コメント
      • サニタイジングしてないフォームに . と改行コードか何か突っ込むとメールコマンドが渡せるってのはありがちな話だと思いますが、、、

        # 全く見当が付かないがエラい人のツッコミを期待して呟いてみるテスト
    • 半角ってなんですか?と言うお約束なレスは置いといて、
      制御コードを弾かないとすれば(仮定)不用意な処理だよね。
      LF,CRでユーザのデータが1行ずつずれる?(そんな馬鹿な)
  • by Anonymous Coward on 2003年02月28日 19時58分 (#269849)
    うちにも来ましたねえ 新潟の・・・
    • by Anonymous Coward
      住所氏名電話番号全て晒されちゃいましたねえ
      • by Anonymous Coward
        これって「不正な文字を使ったユーザ」はご本人なんでしょうか?それとも赤の他人?
        ご本人ならまだしも、赤の他人だったら本当にかわいそう...
        • by Anonymous Coward
          うちにも来ました。
          相当数ばら撒かれてる?

          ネットオークションの落札者か出品者の連絡先ですね。

          2chで晒されていない事を祈る…;

          #もちろんAC
  • by Anonymous Coward on 2003年02月28日 20時14分 (#269861)
    バッファオーバーフローというオチでは
  • by Anonymous Coward on 2003年02月28日 20時37分 (#269877)
    なぜうちにも送られてくるのでしょうか?

    anetにうちのメールアドレスが入ってるってこと?しかしなぜ?
    ご丁寧に、「ご確認ください」ってのも配信されて来てるけど、
    これって、サーバは何処宛に送ってるのでしょうか?

    # うちのメールアドレスがanetに知れてるって事は、
    # anetスパム事業部とかあるのか?
    • by Anonymous Coward
      anetにユーザ登録した覚えがないのに送られてきたってことですか?
      もしそうであるとして、InfoseekのMLサービスを利用、またはその MLにユーザとして参加していますか?
      • by Anonymous Coward
        その後、過去に弟がanetに登録した事があったことが判明しました。

        InfoseekがSpam業者であるかのような書き込みをした事をお詫び致します。
  • by Anonymous Coward on 2003年02月28日 23時55分 (#269995)
    帰宅してメール確認したらこの件のメール(+これに返信しているメールが数通)来てたので、ヘッダ見なが原因が判らずうなってました。
    先に/.見とけば時間を無駄にしなくてもすんだのに……。

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...