ページ内ジャンプ:

スラッシュドット・ジャパン 全文検索

アレゲなニュースと雑談サイト

mixi年賀状でマイミクに秘密の住所や本名が漏れる危険

morihideによる 2008年12月29日 13時00分の掲載
送り側が意図してつつける穴ではない部門より。
情報漏洩 SNS プライバシ

Anonymous Coward曰く、

鳴り物入りで登場した「mixi年賀状」ですが、配達が開始され始めたここにきて、セキュリティ上の不備が指摘されています(トレビアンNEWSの記事)。mixi年賀状は、住所や本名を知らないマイミクに年賀状を送れるというだけでなく、送られる側もマイミクに住所や本名を伏せたまま受け取れるところが、新しくてユニークなサービスだとして話題になりました。ITmediaの記事でも「受け取りOKの場合、住所と氏名を入力すれば、その住所に年賀状が届く仕組み。住所と氏名は、送り手には告知されない」と紹介されています。

ところがトレビアンNEWSの記事によると、受け取り側の住所の入力にミスがあると、郵便局で「あて名不完全で配達できません」の扱いとなって、送り手にその年賀状が返送されてしまうのだそうです。返送された年賀状には、宛先にマイミクの住所と本名が書かれているわけで、間違っているとはいえ住所がわかってしまう場合もありそうです。トレビアンNEWSの記事のケースでは、一部の番地が抜けていたのが原因だそうで、マンション名が書かれているため地図を見ればわかってしまうようです。mixi年賀状の「よくある質問」を確認してみると、たしかに、住所を知らないマイミクに住所氏名を伏せて送れるとは書かれていますが、受け取り側の住所氏名が伏せられるとはどこにも書かれていません。ちゃんと間違いなく住所を入力すればよいのですが、こういうリスクがあることは皆さんわかってて使っているのでしょうか。

知られたとしても自分の入力ミスが原因なわけだし、年賀状をやり取りするくらいの相手なら「絶対住所氏名を伏せておきたい」という人は少ないと思うがどうだろう。

関連ストーリー

IT: mixi、本名や住所を知らないマイミクシィ宛に年賀状を郵送するサービスを発表 64 コメント
mixi年賀状でマイミクに秘密の住所や本名が漏れる危険 | ログイン/アカウントの作成 | 90 個のコメント | コメント検索
表示オプション しきい値:

  • いまどきは (スコア:3, 興味深い)

    lynnlynn (15967) : 2008年12月29日 13時30分 (#1482677)
    Errors-To:ではなくFrom:に返すのが普通なんですかね

    • Re:いまどきは (スコア:5, すばらしい洞察)

      yasu (7) <yasu@REMOVE-THIS-PART.asuka.net> : 2008年12月29日 17時04分 (#1482810) ホームページ

      電子メールの話であれば、Errors-To: に返すには誤りで envelope-from に返すのが正しいのでは? (Errors-To: に返すのはSendmailの独自仕様だったはず。)

      --
      HIRATA Yasuyuki

    • Re:いまどきは (スコア:4, おもしろおかしい)

      kicchy (4711) : 2008年12月29日 15時21分 (#1482732)
      >Errors-To:ではなくFrom:に返すのが普通なんですかね

      逓信省プロトコルは、SMTPよりも古いので
      Errors-To は、スペックに含まれていません。

      # もしかして、表書きはErrors-Toなので
      # Fromは、裏に書いておくべきということだったのか!?
      # すみません。プロトコルを誤認識していたかもしれません・・・

      • Re:いまどきは (スコア:2, 興味深い)

        kousokubus (37099) : 2008年12月30日 23時09分 (#1483509)
        実は、この逓信省プロトコルの脆弱性(仕様?)は、昭和の時代から知られている大穴です。
        料金不足の際も、宛所不明の際も、差し戻されます。

        つまり、旅先からお土産を「あれ?これ重いかな・・・」と送ると、相手が不足分を払ってくれなければ自分の家に戻ってくるという・・・
        架空の相手に絵葉書を旅先から出すと、自宅に返ってくるという…
        (正確には差出人に戻すのが仕様

        # 情報が古いのでID。仕様書である郵便法の「還付」を見る限りは正しい実装に思えるけれども…
    • Re:いまどきは by parsley (スコア:1) 2008年12月29日 18時42分
    • 1個のコメント が現在のしきい値以下です。

  • 受け取り側住所誤記の責任が (スコア:3, 興味深い)

    Nuisan (34779) : 2008年12月29日 23時51分 (#1483006)
    受け取り側のユーザ自身にある(入力時のタイプミスなど)場合しか今のところ想定されていないように思うのですが、ユーザが入力した情報を葉書に転記するのはユーザ自身ではなくmixi側なので(で合ってますよね?)、転記の段階で何らかのミスが発生することによってユーザ自身には非が無いのに今回と同様の問題が生じる危険性があるように思います。
    #今回がそうだったんじゃないか、と言っているわけではなく、あくまで一般論として

    というのも、以前とある大手ネットショッピングサイトで買い物をして送付先として自宅の住所を入力し、次に同じサイトで「前回の送付先」を表示させたときに、理由はわかりませんが住所の一部だけがおかしい状態になっていたことがあるんですよ。
    そのときは(無事商品が届いたので)ブラウザ上での表示がおかしかっただけで、あちら側には住所が正しく伝わっていたことになりますが、まさかそんなことが起こるとは思いもよらなかったので当時はかなり驚きました。
    そのときの印象が濃いこともあり、同様の場面でもしあちら側に保存された住所自体が間違ったものになってしまっていたら・・・で、それがネットショッピングではなく今回のmixiのサービスで発生したとしたら・・・などと心配になった次第です。

    というわけで、もし来年以降も同じサービスを続けるのであれば、フェイルセーフという意味で葉書住所面の差出人はmixi事務局に統一して、もし差出ユーザが受取ユーザに自分の住所を知らせたい場合には、裏面に住所を記載できるオプションを用意する、などの対策を取るという案もありかなぁ、と思います。

  • ええと、状況が良く分からないのですが (スコア:2, すばらしい洞察)

    Anonymous Coward : 2008年12月29日 13時05分 (#1482651)
    1. 送り先相手の住所・氏名は知らない関係
    2. 自分の住所・氏名は相手に教えてもいいorもう知られている関係(でないと、「宛先不明」で戻ってこない)
    1・2を同時に満たす条件下の関係で、送り先相手の住所氏名を知ってしまうかもしれない脆弱性?

    2の条件を満たしている時点で、その関係はリアル友人と言えるような気もするが…
    • 受け手の住所が「A県B市C町1丁目1番1号Dマンション101号室」だったとして、
      受け手がmixi年賀状の住所入力時に「A県B市C町Dマンション101号室」などの入力ミスをしている場合に
      あて先住所不明で送り手に年賀状が返送される、ということでしょう。

      受け手が本名や住所をmixi上で明らかにしていなくても、本名が分かってしまうし
      A県B市C町のDマンションをGoogle Mapなどで探せば住所も分かってしまう、ということを
      問題にしているわけです。
    • Re:ええと、状況が良く分からないのですが by kawauso (スコア:1) 2008年12月30日 17時46分
    • >しかしこの時「自分の」住所の登録が間違っていると「相手に」宛先不明はがきが返送されるわけです。
      それは、郵便局からですか?mixiからですか?

      前者なら、どうして郵便局は宛先不明はがきの送り先を知りえましたか?
      後者なら、どうして宛先不明である旨だけでなく、誤った住所まで記す必要がありますか?

      を考えた結果、きっと親コメントの人は
      はがきにもともと送り主、受け取り主の住所が書かれていたとの結論に達したのでしょう。
      --
      1を聞いて0を知れ!
    • だめだ・・・まだ状況が理解できない by Livingdead (スコア:1) 2008年12月29日 16時35分

      • Re:だめだ・・・まだ状況が理解できない (スコア:3, 参考になる)

        Anonymous Coward : 2008年12月29日 16時46分 (#1482796)
        差出人住所として自分の住所を記載することも可能なのですよ。

        http://mixi-nenga.jp/static/faq/index.html#anchor05 [mixi-nenga.jp]

        Q.はがきが不達となった場合は戻ってきますか?
        ・差出人住所を「自分の住所を差出人にする」を選択し直接入力した場合
        入力した差出人住所宛に不達はがきは返還されます。

        ・差出人住所を「ミクシィ年賀状事務局」とした場合
        受取人の住所入力の不備などの理由により不達となったはがきは、「ミクシィ年賀状事務局」の私書箱宛に返還され、差出人のお手元には返還されませんのでご注意ください。(私書箱に返還された不達はがきは、サービス終了時の2009年1月31日まで保管後、速やかに破棄されます。)また、ミクシィ年賀状事務局に返還されたはがきを、差出人へ転送することはできかねますのでご了承ください。


        住所を知らない相手に対し自分の住所を明かしつつ年賀状を送るケースというものは想定しづらいですが。
      • Re:だめだ・・・まだ状況が理解できない by hoge_plus (スコア:1) 2008年12月29日 16時42分
    • FAQ [mixi-nenga.jp]によると、明示的に年賀状の受取辞退するか、確認メッセージを5日間放置すると年賀状は送られてこないらしいです。
      ただ、辞退したらそのことは相手に通知されるとは書いてありますが、5日間放置した場合どうなるかは書かれていません。
      (通知されるのか、されるとして、放置によるものか辞退によるものか区別はつくのか)
      ただし、送られない年賀状の分の代金は請求されないので、受け取っていないことを知ることはできるかと。

      >BはAのストーカーかもしれませんし、DV加害者かもしれないのですから。
      もし、文面に脅迫やそれに類似するものを書くと予想されるなら、
      受け取る、を選択して送り先を最寄りの警察署や相手の勤務先にするとよいかもしれません。
      --
      1を聞いて0を知れ!
    • 3個のコメント が現在のしきい値以下です。

  • マイミクになら知られたって良いだろうに。 (スコア:2, おもしろおかしい)

    MISSION (13232) : 2008年12月29日 14時03分 (#1482697) 日記
     そりゃぁめんどくさいからこちらから送った奴の差出人はmixi事務局にしてるけど、別に本名や住所を知られて困るような相手をマイミクにした覚えはない。
    --
    ここは自由の殿堂だ。床につばを吐こうが猫を海賊呼ばわりしようが自由だ。- A.バートラム・チャンドラー 銀河辺境シリーズより
  • 年賀状の内容が年明け前に漏洩することについてのツッコミはなし?(ぉ
  • 当年賀状はブラックホールに飲み込まれ消失しました

    #という夢をみた
  • 出してもいない年賀状が返送されてきたら怖いかな、とか思ってみたり。

    (1)
    ふたつのアカウントを、それぞれ架空でミクシィに登録する
    (ミクシィは架空かどうかの確認はしていない、、、はず)
    アカウントA、ターゲットなるひとを騙る
    アカウントB、誰でもいいが、ターゲットになるひとが快く思わないひとを騙る

    (2)
    ふたつのアカウントをマイミクにする

    (3)
    アカウントAからアカウントBにミクシィ年賀状を出す、このとき
    差出人はアカウントAの住所名前を選択する
    (これにより不達時にターゲットに返送される)
    受取人はアカウントBの住所名前を入力するが、わざと住所を微妙に間違える
    (※ここポイント)

    (4)
    受取人住所の微妙な間違いにより不達になり、差出人であるアカウントAに返送される

    (5)
    アカウントAは出してもいない年賀状が返送されてきてガクブル

    お金は掛かりますが、匿名性を逆手に取られる危険性があるのでは無いかと感じます。
    これを防ぐためのミクシィ側の対策としては、なんらかの手段で本人確認をするしか
    無いと思いますが、ミクシィ登録時等の本人確認はすでに行われているのでしょうか・・・

    #あとミクシィ年賀状に不利に働く可能性のある要因として、ミクシィ上でニックネームを
    自由に変えられることもあるかもしれません。ちなみにわたしはニックネームを本名に
    近づける変更はしたことがありますが、それ以外では変更したことは無いです。
    --
    _/-/ Zantei _/-/
  • 差出人に自分の住所氏名を使うか、事務局を使うかはユーザが選択できます。

  • Re:システムの脆弱性 (スコア:2, すばらしい洞察)

    Anonymous Coward : 2008年12月29日 14時02分 (#1482696)
    >Q.はがきが不達となった場合は戻ってきますか?

    FAQに↑という項目があるんだから、知っていたがそれが問題とは思わなかった、ということ。
    実際、問題になるケースがどの程度あるんだろうね?
    レートとしては少ないのは間違いないが。

    #有料サービスだし、ある程度のハードルは有る。

  • Re:釣り記事じゃん (スコア:2, 参考になる)

    Anonymous Coward : 2008年12月29日 14時09分 (#1482701)
    正月ボケにはまだ早いぞ。
    [mixi] ミクシィ年賀状: よくある質問 [mixi-nenga.jp]:

    Q.はがきが不達となった場合は戻ってきますか?
    ・差出人住所を「自分の住所を差出人にする」を選択し直接入力した場合
    入力した差出人住所宛に不達はがきは返還されます。
    ・差出人住所を「ミクシィ年賀状事務局」とした場合
    受取人の住所入力の不備などの理由により不達となったはがきは、「ミクシィ年賀状事務局」の私書箱宛に返還され、差出人のお手元には返還されません

  • Re:秘密の住所や本名って何? (スコア:4, おもしろおかしい)

    yukichi (12361) : 2008年12月29日 14時24分 (#1482710)
    Facebookなんか、電話番号とか、交際相手とかも設定できますね。時々「交際中」から「独身」になる人がいて、残念に思うときがあります。

  • Re:秘密の住所や本名って何? (スコア:1, すばらしい洞察)

    Anonymous Coward : 2008年12月29日 14時59分 (#1482726)
    mixi使ったことのない部外者なんで何か外してるかもしれませんが、住所を知られても困らないなら、普通に住所をやりとりして年賀状を出せばいいのでは。

    逆に言うと、mixiを通して年賀状を送ることに、住所を秘匿できる以外の利点が何かあるんでしょうか?

  • Re:システムの脆弱性 (スコア:2, おもしろおかしい)

    sayuporn (33927) : 2008年12月29日 15時05分 (#1482728) 日記
    修正パッチはいつ出るんでしょうかw

  • Re:秘密の住所や本名って何? (スコア:1, 参考になる)

    Anonymous Coward : 2008年12月29日 15時23分 (#1482735)
    >マイミクに入ってるアカウントは親しい人間と決まってる

    決まってません
    知らないなら黙ってればいいのに

  • Re:拒否された (スコア:3, すばらしい洞察)

    Anonymous Coward : 2008年12月29日 16時14分 (#1482774)
    実は、嫌われてて、「mixiに住所を知られるのが嫌だ」ってのは断る口実。
  • 9個のコメント が現在のしきい値以下です。

このページのすべての商標と著作権はそれぞれの所有者が有します。 コメントやユーザ日記に関しては投稿者が有します。
のこりのものは、© 2001-2010 OSDN です。