パスワードを忘れた? アカウント作成
1395 story

200KBのメールヘッダ 26

ストーリー by wakatono
DM名簿添付メール 部門より

gori 曰く,"読売オンラインによると、明治乳業が発行するメールマガジンに、登録者1万人分のアドレスをコピーしてはりつけ送信したようだ。
読売の記事は「コピーして張り付け」となっているので、メール本体にアドレスが載っているような印象を受けるが、明治乳業の謝罪文によると、「他の会員の方のメールアドレスを表示した形で送信」したことになっている。
この両社が正しいとすると、1万人のメールマガジンのアドレスを、コピーペーストして発行している?
いずれにせよ、1万人分のメールアドレスだと、アドレスが平均20byteとして、200Kbyteの巨大ヘッダのメールマガジンが届いたことになる。"

オレも仕事柄、いろんなところからのダイレクトE-mailを受け取る機会が多い。たまに To: や Cc: に、他の顧客アドレスが記されてることがある(当然送り手のミス)が、今回はまたすごい。つぅか、普通のMTAでこれ配送できるのか?とか、違う論点でも気になる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 違う論点 (スコア:4, 参考になる)

    by oku (4610) on 2001年10月28日 22時56分 (#33400) 日記
    つぅか、普通のMTAでこれ配送できるのか?とか、違う論点でも気になる。
    (設定次第で) 警告を発して配送しないのは構わないかも知れませんが crash するような MTA はステでしょう。
  • Re:200kb程度では (スコア:4, すばらしい洞察)

    by oku (4610) on 2001年10月29日 0時01分 (#33436) 日記
    C プログラマの問題と言うより まともに RFC-822/2822 を読んでいるかという 問題ではありませんか?

    確かに RFC-2822 上は、一行につき 1000 バイトの制限が 課されますけど、次の行頭を空白文字で始めれば 継続が効く訳ですから。

  • by seldon (5637) on 2001年10月29日 0時29分 (#33443)
    お詫びのページで
    今後は、二度とこのようなことがないように送信前のチェック体制を強化してまいります。具体的には送信前のチェックを複数にし内容のチェックを厳重にするとともに、会員の皆様にお送りする前に社内でテスト送信し、チェックを行うようにしてまいります。
    とか書いてあるけど、必要なのは厳重なチェックではなく、間違っても出て行かない仕組み作りじゃないかなぁ?
    仕組み作りって言っても、一からプログラム書いたりしなくても、単純にMailing List用のソフト使うとかすれば、こういうのは間違いなく防げるでしょうし...
  • by brake-handle (5065) on 2001年10月29日 10時24分 (#33539)

    To:やFrom:の内容は、必要ならばドメインパートを追加するためにMTAが必ず1つずつ見ます。ですから、大量にmailbox(とRFC2822では書いてあったような)を書いてあると、MTAにとっては仕事が重くなります。新手のDoSといわれても仕方ないでしょう。

    MUAで何とかしろといわれたら、group表記にしてしまうのも手ですけどね。

  • by seldon (5637) on 2001年10月29日 19時03分 (#33687)
    MLの仕組みを使うってのも大げさに感じられるし、
    そうかなぁ?
    ウチなんて、固定的に複数人に届けられるメールは全部fmlでデリバリしてるけど...
    ネットワーク管理関係のメールなんかで、4人しか受けないってのもある。
    まぁ、これなんかは担当者が変わっても、spool引っ張って見れば過去の履歴がわかるという面もあってやってる事だけど。
    bccにずらずら並べるってのがベターなのかな?
    これ最悪 :-)
    BCCと間違ってCCに入れちゃったら元伝のような事故に即直結じゃん。

    まぁ、自前のサーバアカウントが無いとかで、メーリングリストの仕組みを自分で作れないっていう場合もあるかもしれないけど、そういう場合はMLサービスとかを使うべきだと思う。
    タダでやってる所もいっぱいあるし。

  • by unagi (2663) on 2001年10月29日 4時02分 (#33497) 日記
    先ほどEVERYDAYPEOPLEさんとこのメールマガジンで知ったのですが。

    http://pc.2ch.net/test/read.cgi/isp/1003164344/313
    http://pc.2ch.net/test/read.cgi/isp/1003164344/301


    1MB近いものが来たそうです。
    流行ってるんでしょうか。
  • 氷山の一角… (スコア:2, 参考になる)

    by Anonymous Coward on 2001年10月29日 5時25分 (#33504)
    こんなのは氷山の一角にすぎないでしょうね。大企業だからマスコミ沙汰になるだけで。
    同じようなことをやらかした中小企業をいくつか知ってます。
    そもそも個人情報の扱いそのものがズサンとしか思えないところが多いようです。

    検索エンジンで特定の文字列で検索かける(/.に来るような方々ならご存知でしょう…)と、
    注文データやら、アンケートやら、懸賞やらのデータが見つかった時期がありました。
    それにはメールアドレスのみならず、氏名、住所、電話番号が…
    こういうのを見つけて名簿屋なんかに売った人も居るんだろうなあと思います。
  • by Anonymous Coward on 2001年10月29日 6時21分 (#33507)

    たとえ事故であったにせよ、メールアドレスという個人情報が、具体的なかたちで流出した、ということがとても大きな問題です。

    場合によっては「プライバシー侵害」「定款違反」という法律的な問題になりかねないから、いつ訴訟になってもおかしくない。

    技術といっても、送信先アドレスを隠蔽するのはたいした技術じゃない。

    あまりにも、仕事に対する、あたりまえなレベルでの緊張感がなさすぎ。

  • この手のお詫び文には必ず「手違いにより」とか書いてありますが、
    実は単にToやCcに入れるとそうなることを「知らなかった」という、もっとレベルの低い問題のような気がするのです。

    緊張感をもってしても「手違い」じゃないんだから防ぎようがなかったりして。
    個人レベルの緊張感だけでなく、企業レベルでの緊張感が必要とされるところなんでしょうかね。
  • by COCKY (5646) on 2001年10月29日 9時17分 (#33517)
    某PC系出版社で仕事してた時の話ですが、社内にきちんとMailPublisherのシステムが完備しているにも関わらず、数千通程度のメール配信の場合は

     「システムを使うのがもったいない」

    という編集長判断で(笑)、普通のMUAから手動でメール配信させられてました。
    せっかく用意されているものを使わない方がもったいないと思うんですがねぇ。

    まあ、「Mailing List用のソフトを使う」ということ一つ取っても実際の現場では一筋縄ではいかない、ってことです。

  • 緊張感といっても、作業者当人だけではなく、「だれにやらせるか」という人選をした人も含めた問題でしょう。それもできないのであれば、管理職としての能力がない、ということになります。

    また、横で見ていた人がもしいれば、そういう人が注意すべきだったしね。

    前にも花王で、ML使ってメールの大量配信したところ、そのアドレスに外からウィルス入れられちゃった、という事故もありました。これは花王自身ではなく、ここの広告代理店やっていた某大企業が、さらにその下請けに仕事を出し、そこでバカをやった、ということでした。

    仕事を任せるほうも、相手が大丈夫かどうか調べておかないとダメですね。

  • Re:MSにも前科アリ。 (スコア:2, すばらしい洞察)

    by Fuyuki (221) on 2001年10月29日 11時04分 (#33548)
    MSの場合は、それをあえて確信犯的に行っている可能性があるから恐いと思います。
    --
    # 数学は科学の女王にして奴隷
  • by take0m (4948) on 2001年10月29日 12時59分 (#33571) 日記
    あれ?MailPublisherっていうとー、ここ会社名変わったのかな?

    たしか、Perlのプログラムを1000万円くらいで売っていた気がしたのだがぁ・・・

  • by Anonymous Coward on 2001年10月29日 14時48分 (#33608)
    > MLの仕組みを使うってのも大げさに感じられるし、
    > bccにずらずら並べるってのがベターなのかな?

    RFC2822 の「3.4. Address Specification」で、「group」として定義されてる書き方を使いましょう。

    たとえば、

    To: funyu: kotori, oniichan;

    と書くと、MUA はこのリストから recipient to のリストを作るものの、実際に相手に送られるメールのヘッダでは MUA が

    To: funyu:;

    という風に隠してから送ります。
  • #おめでとう♪>俺 タレコんどけばよかったかな・・w。
    26日に受け取りましたが、開こうとするとやたら重い。 見事にメール本文にアドレスがならぶ。
    結局本文はメールアドレスのみここまで来ると笑いますね。
    メールサイズは約244KB、お詫びメールが約2KB 120倍♪ 被害は何倍になるんでしょうか・・・。
    確かにTOやCCは今まであったがここまでのはなかなか・・・
    いったいどうやったらこんなミスをするのか教えて欲しいものだ。
    その手の業界にいてもMLに個人メールを送る奴もいるからしかたないか・・・しかたないか?
  • by Anonymous Coward on 2001年10月29日 1時16分 (#33460)
    いぜん、X-BOXの開発者MLに登録したら全参加者のメールアドレス付で第一報が来たことがあったなあ。

    X-Box参入を公式にアナウンスしていなかった某社や
    他ハードメーカーの関連会社だったはずの某社など、
    どんなところが開発してるのかが良くわかってよかったです。
  • by Anonymous Coward on 2001年10月29日 8時38分 (#33514)
    ちなみに、どんな MUA を使っていたのでしょうか?>先方
  • 山ほどあります (スコア:1, 参考になる)

    by Anonymous Coward on 2001年10月29日 15時42分 (#33615)
    procmailとかのツールを使うまでもなく、sendmailの.forwardを使う
    だけでもポカミスは減るでしょう。

    今ならqmailのfastforwardがシンプルかつ高速で良いかもね。個々の
    ドメインあたりのユーザーが多いなら一緒に送るpostfixが効率的かな。
    MUAで対処するのもありかもね。

    ・・・まぁ、とにかく手作業はやめろって(笑)。
  • by Anonymous Coward on 2001年10月28日 23時29分 (#33414)
    ハード的な限界には程遠いし、プログラム側でわざと制限していなければ普通に動くんじゃないの。まさか長さ1000バイトの固定アレイとか使ってないでしょ。それともCプログラマならありうるか?
  • by Anonymous Coward on 2001年10月29日 10時16分 (#33536)
    私のところにも来ました。
    あ~あ すごいことするなぁ・・・ このアドレス売れないかしらなんて、他人事ながら興味心身、謝罪メールのレスポンス待っていました。

    VAAM&コルディア通信 01/10/26 14:27:35(メール本体)
    VAAM&コルディア通信(お詫びとお願い) 01/10/26 19:09:11
    VAAM&コルディア通信(事務局からのお詫び) 01/10/26 21:28:56(公式謝罪文?)
    対応まで5時間、最初のお願いメールぐらいさっさと出せばいいのに・・・ ひょっとして自分のメルマガ受け取っていないとか?
  • by Anonymous Coward on 2001年10月29日 10時23分 (#33538)
    まったくですね。

    以前あったのですが、日経のナントカって雑誌のセキュリティのアンケートメールでやってました。

    アンケートする前に自分のセキュリティをなんとかして欲しかったですね。
  • by Anonymous Coward on 2001年10月29日 13時56分 (#33587)
    こういう事故ってたびたびおきますけど、
    特定多数にメールを配信する方法って確立してないんですかね?

    MLの仕組みを使うってのも大げさに感じられるし、
    bccにずらずら並べるってのがベターなのかな?
  • by Anonymous Coward on 2001年10月29日 16時13分 (#33634)
    笑ってしまった。
  • by Anonymous Coward on 2001年10月29日 17時47分 (#33667)
    一応、どうやって自分のアドレスが知られたかはわかる。俺とお前は穴兄弟~、ってか。
  • by Anonymous Coward on 2001年10月29日 19時44分 (#33699)

    一度見てみたいですね。
    こちらには来ませんでしたから。

    配信受け持つ会社が牛乳で狂牛病になって、アタマがおかしくなったのかな?あ、飲んでなくてもいっしょだって?失礼いたしました。

  • by Anonymous Coward on 2001年10月29日 19時46分 (#33700)

    うちは、配信専門のSMTPサーバをスクラッチでCで作っちゃいましたが。1週間もあればデバッグまでできるよ。普通。

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...