パスワードを忘れた? アカウント作成
9487 story
Google

Gmailに他人のメールを表示してしまうバグ 46

ストーリー by GetSet
結局まだβな訳だし 部門より

78K曰く、"CNET Japan の記事によると、Gmail に他人のメールを閲覧できてしまうバグが存在していた模様。現在ではこのバグは修正されているが、どれくらいの期間このバグが存在していたかは不明だという。発見したのは HBX Networks UNIX Community Group のメンバーの二人で、送信元アドレスの最後に > を付け忘れたことでこの問題が発覚したらしい。より詳しくは発見者のレポートを参照して頂きたい。
Gmail の招待権を知り合いにばら撒くのも考えもの…??"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2005年01月13日 21時58分 (#678651)
    むしろCNETJapanの記事で「同サービスはまだベータ版として
    提供されている段階だが、Gmailに依存しているユーザーも多い。」
    と書いてあることが、事実だとしたらかなり驚きです。
    • Re:部門名が全てかなあ (スコア:2, おもしろおかしい)

      by gendohki (16311) on 2005年01月14日 0時31分 (#678723)
      Googleってトコに根拠のない信頼感があるんでないかなぁ。
      例えば、個人情報が流出したとしても、
      「さすがだ。そんなことまでぐぐれるのか」と感心されそうだし。
      --
      --
      「なんとかインチキできんのか?」
      親コメント
    • Re:部門名が全てかなあ (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2005年01月14日 0時26分 (#678720)
      さて、その部門名は「結局まだβな訳だし 」と。
      たとえばMSNが新規メールサービスをベータで立ち上げていたとして
      このような優しい言葉が出たかどうか?

      正直なところ、いくらβとはいえ、コミュニケーションツールにおいて
      他人の通信が誰でも読めてしまう事態が発生したというのは
      かなりクリティカルで、サービスイン後も要注意だと思います。
      親コメント
      • by Li on (9067) on 2005年01月14日 9時17分 (#678836) 日記
        >たとえばMSNが新規メールサービスをベータで立ち上げていたとして

        志村ー!Hotmail! Hotmail!
        親コメント
        • > 志村ー!Hotmail! Hotmail!
          MicrosoftがHotmailをベータで運営したことは無いと思いますが。

          Livedoorギガメーラでこれ起きてたとしたら、どうだったろうな。部門名とかな。
      • Yで始まるどこぞのフリーメールもお試し運用中は似たようなことになってました。
        指摘のメール出したけど変事来なかったっけ。
        で、いつの間にか治ってたっけ。
    • by Anonymous Coward on 2005年01月14日 3時55分 (#678792)
      どこにつけていいのか迷いましたがここに付けておきます。

      Gmail Maniacsで同様のトピックを見掛けましたので張っておきます。
      内容の真偽については各自で判断下さい。

      http://www.gmail-maniacs.net/news/000252.html

      Gmail ユーザーなのでACで。
      親コメント
  • 修正された模様 (スコア:2, 参考になる)

    by deleted user (19654) on 2005年01月13日 23時15分 (#678688) ホームページ 日記
    本家 [slashdot.org]によると、(12 日の?) 10:15am PST から、そうしたメールを受け付けなくなったらしいです。
    なお、こうしたセキュリティ問題は security@google.com へ送ってほしいそうです。
    • by Anonymous Coward
      タレコミ文に「現在ではこのバグは修正されているが」とあります。
      でも、このコメントには時刻とセキュリティ問題絡みの追加があるから有用なのかな。
  • もしかして・・・ (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2005年01月14日 1時45分 (#678758)
    From: 村田 巨人 ......

    # 古い穴にドキドキ・・・
  • by tablog (25618) on 2005年01月14日 1時24分 (#678751)
    そういやhotmailにも他人のメールが盗み見できる欠陥がありましたねぇ。

    他のWeb mailサービスにも大体同じような欠陥があったそうですが、「セキュリティが気になるならWeb mailは使うな」でFAなんでしょうか?
    • Re:もはや定番 (スコア:2, 参考になる)

      by Elbereth (17793) on 2005年01月14日 2時01分 (#678765)
      各有名Webメールサービスはサービス開始から結構時間が経ってますので、ある程度枯れてきているだろうと思われますから、一般的にはそれなりに信頼されていると思います。
      Webメール一般の話をすると、そもそものサービスのベースとなるWebサービスの部分でPHPなどで脆弱性がポツポツ発見されたりしてますから、今回のGMailのようなコーディングの単純ミスの部類に入るものがなくても結局安心できないというのがホントのとこではないでしょうか。

      でも普通(POP3/SMTP)のメールサービスも、暗号化されてないと信頼性が低いわけで、PGPとかSSLとか使わないといかんですよね。
      普通のメールでも実はWebで閲覧できるようになってますみたいなサービスもあるし全くもって油断できない世の中です。

      また、メーラーのバグも多々あるわけで、メジャーマイナー問わず、危険は常にあるわけです。Windowsだと、Outlook系は論外としても、Becky!に鶴亀メールにShurikenに後なんかあったっけか、割と致命的なバグは沢山でてますから、結局セキュリティが気になる人はOSもソフトもサービス提供元も厳選しないといかんてのがFAぽいですね。
      親コメント
      • by Elbereth (17793) on 2005年01月14日 2時04分 (#678766)
        >Windowsだと、Outlook系は論外としても、Becky!に鶴亀メールに
        >Shurikenに後なんかあったっけか、割と致命的なバグは沢山
        >でてますから、

        一応自己フォローしとくと、見つかったバグはとりあえず修正されているようですけどね。ほとんどの場合。
        親コメント
      • by mocchino (13752) on 2005年01月14日 11時01分 (#678879)
        >暗号化されてないと信頼性が低いわけで、PGPとかSSLとか使わないと

        よけいなつっこみですが、PGPとかS/MIMEとかですよね
        メールサーバー間はまだまだSMTP over SSLで送信されているわけではないので、End-To-Endで保証するのであれば、送受信者が暗号化するのが安全なのが現状です

        ただ、PGPもS/MIMEもまだまだ一般的ではないんですよねぇ
        S/MIMEの証明書も安くなってきてるので(210円/月くらい?)
        もう少し普及すれば使えるようになるのでしょうが..
        相手が対応してくれないと、効果半減なのがつらいところです

        またメールをWeb閲覧できる場合、現在のプロバイダーだとほとんどがSSL対応ページになっていると思います。
        なので、Webだから油断出来ないと言うわけではないです

        もっともWebメーラー使うときは、SSL対応かどうか位は確認する必要は有るでしょうけど
        親コメント
      • by Anonymous Coward
        PGPもいいんですが、S/MIMEはお試しでも使ってみてる人いないんでしょか。
        無料でS/MIME証明書取れるところもあるんだし。
    • 「セキュリティが気になるなら
      暗号化していないメッセージを送るな」でしょう。
      もともとSMTPにしろPOPにしろセキュリティの概念なんて
      気にして作ったものじゃないから、仕方がないです。

      他人に自分のメールアドレスが詐称されるとか、
      正体不明なアドレスからメールが届くとか
      穴は山ほどありますから、メッセージを
      暗号化して署名を付けるという運用で
      対処するしかないと思います。
      --
      やなぎ
      字面じゃなく論旨を読もう。モデレートはそれからだ
      親コメント
  • ふと思ったのだけど、これって添付されていたファイルまで横流し状態になったりするのでしょうか。Gmail は容量が売りなので、なんかいろいろやりとりしている人が多そうなんですけど。

    メール本体に書けるのは基本的にテキストだけなんで、被害があったとしたら個人情報がらみだと思いますが、添付ファイルが読まれちゃったらいろいろ困る事例がありえそうです。

    --
    [わかってもらうことは難しい。わかってあげることは、もっと難しい。]
  • by Anonymous Coward on 2005年01月13日 22時25分 (#678665)
    なるほど、招待されないとアカもらえないのか・・。

    うーんお試しとか捨てアカとかできないようにしてるかな?
    • Re:招待権 (スコア:2, 興味深い)

      by targz (14071) on 2005年01月14日 2時05分 (#678767) 日記
      自分で自分(の別アドレス)に招待しちゃえば、いくらでも捨てアカウントを作れるので、その可能性は低いでしょう。
      むしろ、招待制というのは、Gmail に対する話題性や価値を高めるためのスパイスではないかと。簡単には入手できないものなので、Gmail アドレスを持っていることがステータスになるというわけで。

      # qmail だったら、拡張アドレスという仕掛けで自分のアドレスをいくらでも追加できるので、
      # これを利用して Gmail のアドレスも自由に増殖させることは技術的には可能です。規約違反かどうかは未確認:-)
      親コメント
      • Re:招待権 (スコア:2, 参考になる)

        by kitsune.info (18329) on 2005年01月14日 5時56分 (#678798) ホームページ

        たしか、Gmail の場合は自分のアカウントの前に "文字列+" をつけて見た目のアカウントを増やせましたね。たとえばこんな感じ:
        hoge+someone@gmail.com

        捨てアカとか Gmail アカウントそのものの増殖とかとは別の話ですけど。
        どっちかというと、mailto:someone@gmail.com?subject=hoge の代わりに使ってちょうだいというニュアンスなのかも。
        ただし、+ の文字に対応していない環境があるとかないとかで、Google も「いちおう使えるようにしておいたけど、期待に添えないことがあるかもね」とかいう説明をどこかに書いていた記憶があります。

        # Web メールなんてのは定期的にセキュ穴が見つかるもんだと思っておいた方がよさげ

        --
        [わかってもらうことは難しい。わかってあげることは、もっと難しい。]
        親コメント
        • by r31_gts_tb (14753) on 2005年01月14日 12時36分 (#678926) ホームページ
          Postfix のプラスドユーザみたいですねぇ
          # Postfix 使ってるのかな?
          --
          ------------------------
          いつかきちんと仕上げよう
          親コメント
          • by Anonymous Coward
            うちは+じゃなくて.にしてます。
            Webのフォームに入れるときに、+を拒絶するRFC読んでないサイトがあまりにも多いので。
        • by Anonymous Coward
          一応申し上げておきますと、逆です。
          someone@gmail.com に対して someone+hoge@gmail.com です。
          • おっと、こりゃ失礼しました。ご指摘感謝。
            久々に inbox を覗いてみたら、招待できる人数が 10人になってますね。前は 6人だったような。
            私の利用容量は 2MB しかありませんでした。0.2% ですな。ちょっと前まで、プロバイダのメールボックスが 5MB だったような気がするけど。
            --
            [わかってもらうことは難しい。わかってあげることは、もっと難しい。]
            親コメント
  • by Anonymous Coward on 2005年01月13日 22時34分 (#678672)
    英語は苦手なのでリンク先は読めないのですが、
    かいつまんででもストーリーで紹介してほしかったなぁ…
    • by deleted user (19654) on 2005年01月13日 23時06分 (#678683) ホームページ 日記
       メーリングリストのスクリプトを作って、テストのために自分の
       gmail アカウントに送って見てみたら、ちゃんと届いているみたい。
       しかし「オプション」リンクをクリックしてみると「Reply To」が
       HTML になっていた! よく見てみると他人の HTML メールのようだ。

       「原文を見る」リンクでメッセージのソースを見てみると問題ない。
       そこでスクリプト出力を見てみると From の最後の ">" が欠けていた。
       推測だが、gmail 側で From アドレスの終端を探すルーチンが
       ">" に依存しているのではないか。

       ただ From: <hoge@hoge として送るだけでこんなことになってしまう。
       ベータだということを忘れてはならない。

      てな感じかなぁ。
      親コメント
    • by Anonymous Coward on 2005年01月13日 22時58分 (#678679)
      メールスクリプトのテストで自分のgmailアカウント宛に送って見たら、Reply-to:ヘッダに他人のメールがべたっと貼りついたのが届いたよ。どうやらgmailはFrom: 行をパーズする時にデリミタが閉じてないと行末を越えてそこのバッファに残っていたごみを読み込んじゃうらしい。でそのバッファには他人のメールの内容がランダムに残っている場合があると。
      親コメント
    • by snd (14690) on 2005年01月14日 20時18分 (#679108)
      そんな時こそgoogleの言語ツールを使って翻訳ですよ
      親コメント
    • そんな人が「Anonymous Coward」だなんて…
  • 悪用 (スコア:0, オフトピック)

    by beat9872 (16046) <debianNO@SPAMnifty.com> on 2005年01月13日 22時46分 (#678677) 日記
    これってどうやったら悪用できるの?
    悪用できるかどうかって重要ではないのかも知れないけど・・・。
    • Re:悪用 (スコア:2, 参考になる)

      by s-tomo (2841) on 2005年01月14日 14時05分 (#678973) ホームページ 日記
      > これってどうやったら悪用できるの?

      スパム業者が連打してメールアドレス大量ゲットですよ。
      親コメント
    • by sen (197) on 2005年01月13日 22時54分 (#678678)
      はい。
      もれなく、よそさまのメールがのぞけます。

      やり方はタレコミにある通りレポートを参照。
      親コメント
    • マイナスモデがついちゃったけど、悪用法を聞いているのではなくて、
      見えちゃうメールって自分で選べないんだから、偶然悪用できるようなメールが悪用する人の目に入らなければ特に困らないんじゃないかな?
      と言う意味のつもりだったんですけど。

      私が分からないだけで悪用する事ができるのかな?
      と言う事で、”どうやったら悪用できるの?”なんですよ。

      悪用できるメールに当たるまで繰り返すって方法はあるか。

      もちろん、こういうセキュリティー上の穴は無くすべきだけど
      これはそんなに大きな問題ではないんじゃないか?
      と思ったもので・・・。
      親コメント
      • Re:悪用 (スコア:2, すばらしい洞察)

        by digoh (17917) on 2005年01月14日 10時37分 (#678862) 日記
        意図的に悪意を持った人がこれを利用しようとするのは難しくても、
        たまたま秘密を知ってしまった人が誘惑に勝てず他人の秘密をばらしてしまう危険はあるわけです。

        あるいは。
        「恥ずかしい」ってのはそれだけでも精神的被害と言えますからね(程度はさておき)。

        ごく簡単な例として。
        このバグを利用して「今日の100通」とか言って
        100回試行してその結果をダラダラ開示するだけのサイト
        なんてのを立ち上げられてしまった場合を考えると良いかも。
        親コメント
      • by kitsune.info (18329) on 2005年01月14日 7時40分 (#678815) ホームページ

        大きな問題になるかどうかは、実際に問題になってみないとわからない罠。
        というか、「悪用した人」が事後に発覚することはあっても、「悪用する人」を事前に特定できないでしょ?
        普段から悪事に興味津々な人は論外として、普段は善良な人が「たまたま覗けちゃったので、出来心でつい……」ということもあり得るわけですから。
        また、悪用された時の被害の大きさは、読まれたメールに何が書いてあったかに大きく依存しそうです。
        というわけで、「悪用する人に利用されなければ大きな問題にならない」というのはちょっとずれているんじゃないかと思います。

        --
        [わかってもらうことは難しい。わかってあげることは、もっと難しい。]
        親コメント
    • by greentea (17971) on 2005年01月15日 17時22分 (#679454) 日記
      過去にも「村田 巨人」バグ [google.co.jp]ってのがあったみたいだけど、
      そのときとは違って今回はメールだから、ランダムでも見られたら困るのもあるのでしょう。

      見られたら困るようなものを平文で、β版のフリーメールで送るなって話もありますが。
      --
      1を聞いて0を知れ!
      親コメント
    • by Anonymous Coward
      悪用は、メールアドレス1つから可能です。

      メール内容があれば、さらに個人情報が得られます。
      あなたの2行の文章からだと「悪用に興味がある」と分かるわけです。

      「悪用に興味がある」→「モラルが低い」→
      じゃあ違法物販売のメールを送りつけようということになるわけです。
      かなり一元的な物の見方ですが。
typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...