2014年12月4日17時30分頃、お名前.comから届いた広告メールに記載されている情報が他人のものであるとの報告が相次ぎ、19時半頃にGMOインターネットが誤送信が発生したことを発表しました。ここでは関連情報をまとめます。
公式情報
- 12/4 お名前.comメールマガジン誤配信に関するお詫び (魚拓)
- 12/5 メールマガジン誤配信についてのご報告とお詫び (魚拓)
お名前.comメールマガジン誤配信に関するお詫び
12/4 17:30頃に配信しましたメールマガジンにおいて当社の作業上のミスにより、他のお客様の情報が配信されていることが発覚しました。
詳細状況は以下ページにてご報告いたします。
http://t.co/AlipI3SBC9
— お名前.com(公式アカウント) (@onamaecom) 2014, 12月 4メールマガジン誤配信に関するお詫び(更新21:20)
12/4 17:30頃配信のメールマガジンにおいて当社の作業上のミスにより、他のお客様の情報が配信されていることが発覚しました。
詳細状況を以下のとおりご報告させていただきます。
http://t.co/AlipI3SBC9
— お名前.com(公式アカウント) (@onamaecom) 2014, 12月 4お客様にはご迷惑をお掛けしましたことを謹んでお詫び申し上げます。
— お名前.com(公式アカウント) (@onamaecom) 2014, 12月 4誤送信の詳細
- 発生時刻:2014年12月4日 17時30分頃
- 誤送信の件数:16万4,650件 (誤送信により漏れた対象IDと同数)
- 受信した広告メールに他人の情報が記載されていたという内容であるため、誤送信メール1通につき漏れた情報は1件となる。アカウントリスト等まとまった情報が漏れたわけではない。
- 以下の状況はまだ明らかとされていない
- 誤送信メールを受信した人は自分自身の情報も漏れたのか
- お詫びメールだけを受信した人は自分の情報が漏れたのか
- いずれのメールも受信していない人は漏れていないのか
- Whois情報公開代行の利用者の情報は漏れたのか
誤送信を起因とする不正ログインは確認されていない
- GMOは今回の誤送信を起因とする不正ログイン、パスワード等の流出の事実は確認をしていないと発表。
誤送信メール
- 件名
(法人名または名字(姓))様 メールアドレスとしての利用やメール関連サービスに最適[(取得済みドメイン名).email]のご登録はすでにお済みですか?[お名前.com]
- 本文(一部)
HTML文面
━ お名前.com by GMO ━━━━━━━━━━━━━━━━━━━━━━━━
━━━━━━━━━━ ドメイン公式登録サービス ━━━━━━━━━━━━
━━━━━━━━━━━━━━━━━━━━━━ http://www.onamae.com/ ━
(法人名または名字(姓)) 様
お名前.comをご利用いただき、まことにありがとうございます。
‥…━━━★゜+.*・‥…━━━★゜+.*・‥…━━━★゜+.*・
【(取得済みドメイン名).email】
すでにご登録はお済みですか?
メールアドレスにするにはもってこいの新ドメイン!
‥…━━━★゜+.*・‥…━━━★゜+.*・‥…━━━★゜+.*・
メールアドレスに最適!用途にあわせたドメイン名で【.email】を
ご活用されてみてはいかがでしょうか?
「.com」や「.jp」ではすでに登録できない、
単語などの短い文字列でも
新ドメインならご登録いただける可能性大です!
まずはドメインからアピールしてみるのはいかがでしょうか?
現在お持ちのドメインに加えて、お早めにご検討ください♪
※行き違いにより取得済みドメインが表示されることが
ございますのでご了承ください。
▼【(取得済みドメイン名).email】のご登録はこちらから▼
(省略)
※お申込み時に必要な
お客様のお名前ID(会員ID)は【 (会員ID) 】です。
┏★ [.email] ドメイン登録概要
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◇対象のお客様…どなた様でもお申込みいただけます
◇登録料金…2,980円/年
▼話題の新ドメイン【.email】のお申込みはこちらから▼
(省略)
※お申込み時に必要な
お客様のお名前ID(会員ID)は【 (会員ID) 】です。
┏★ (法人名または名字(姓))様がお持ちの文字列での申請はお済みですか?
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
お持ちの文字列をご参考に、申請忘れなどがないようご注意ください。
(30件以上お持ちのお客様は一部のみの掲載とさせていただいております)
(取得済みドメインの一覧)
▼【新ドメイン】ご登録はこちらから▼
(省略)
※お申込み時に必要な
お客様のお名前ID(会員ID)は【 (会員ID) 】です。
※新ドメインは登録後、Whois情報の登録者メールアドレス宛に登録情報の
有効性を確認するためメールが配信される場合があります。登録情報の有効性が
確認できない場合、ご利用を制限される可能性がありますので、登録完了後
にお送りするメールの内容を必ずご確認ください。
※ドメイン登録完了後、文字列によってはICANNの方針により、
ご利用を制限される場合があります。
今後ともお名前.comをよろしくお願いいたします。
発端
- 受信したお名前.comの広告メールに他人の情報が記載されていたことによる。
原因
- 人的ミス
- メール配信対象リストの作成時、送信先メールアドレスと掲載情報の組み合わせを誤ったこと。
- またチェック時に発見できなかったことによる。
メール配送にはDurianが使われていた可能性
- 送信されたメールヘッダには次の様な文字列が存在し、「Durian」というメール配送システムが利用されていた可能性がある。
X-Durian-MailFrom
X-Durian-RcptTo
X-Durian-Id
- メール配送関連の機能が多数あり、お名前.comのメール配送ではこの製品が利用されていた可能性がある。
- メール配信 | Durianマニュアル
- 変数を設定し、アドレス別に文章や単語を変更することも可能。
対応
- お詫びの掲載
- 再発防止策の対応
- メールにてお詫びと誤送信メールの廃棄を依頼
- 会員IDの変更方法の案内
- パスワード再送画面の仕様変更?
再発防止策
- 配信対象リスト生成手順の見直し
- メール配信システム運用の見直し
- 配信対象リスト、送信内容におけるチェック体制の強化
お詫びメール
日頃よりお名前.comをご愛顧賜り、誠にありがとうございます。
12月4日 17時30分頃に配信いたしましたメールマガジンにおいて当社の作業上のミスにより、
本文内に他のお客様の「法人名または名字(姓)」「ドメイン名」「会員ID」が記載されていることが発覚しました。
お手数お掛けいたしますが、受信したメールの破棄・削除をお願いいたします。
なお、本メールにつきましては、誤配信の対象のお客様に配信をしております。
詳細状況につきましては、以下のサイトにてご報告をさせて頂きます。
http://www.onamae.com/news/domain/141204_1.html
お客様にはご迷惑をお掛けしましたことを謹んでお詫び申し上げます。
パスワード再送画面の仕様が変わった?
- パスワード再送画面の仕様が変更された可能性。再送確認の画面にメールアドレスの@より手前の部分が表示されていたが、誤送信を受けて表示されなくなった模様。
- パスワードリセットではなく、パスワードの再送のため、登録したパスワードが平文で送られてくる。
- パスワード再送画面で存在する会員IDかは確認することができる。
- 下は現在のパスワード再送画面
関連リンク
謝辞
このまとめは次の方から頂いた情報を元に編集、追記等を行っています。ありがとうございます!
- なおいさん
更新履歴
- 2014/12/04 PM 新規作成
- 2014/12/05 AM 謝辞追記、メールヘッダの情報を追加
- 2014/12/05 PM 公式発表更新に伴い原因の追加
