「登録済みのメールアドレス」でメールが受信可能である事は「必ずしも登録者本人である事を保証するものではない」と考える理由について。

スポンサード リンク

先日、某運営に問い合わせた際に、あまり関係無い所でちょっと思う所があったので、その件について書いてみます。

「登録済みのメールアドレスでメールが受信出来る事」を本人確認とするサービスは結構ありますし、サービス側に思う所はあまり無いです。*1
ただ「登録済みのメールアドレスでメールが受信出来る事」は必ずしも登録者本人である事を保証するものでは無いよね〜…って感じの事を書いてみようと思います。

登録済みのメールアドレスでメールが受信可能である事が本人である事を必ずしも保証するものではないと考える理由

メールサービスによってはメールアドレスの廃止後の扱いが異なる

例えば、hoge@example.com というメールアドレスをサービスプロバイダから割り当てられていたとして、解約・廃止後のそのメールアドレスが再取得可能であるか否かはメールサービスプロバイダ次第です。


たとえば…。

  • 一度廃止されたメールアドレスは二度と再取得出来ない
  • 廃止後一定期間を経て同メールアドレスが再取得可能となる

とかはメールサービスプロバイダによりけりです。

また、レンタルサーバサービス等が提供するオリジナルサブドメイン型でのメールサービスの場合。
解約時、割り当てられたサブドメインが即時開放される」なんてサービスは多々あるので、開放されたオリジナルサブドメインを取得した第三者に悪意があれば簡単になりすませますね。(キャッチオールとかで。)
似たような話で、「独自ドメインでメールを利用している場合、ドメイン廃止後、一定期間を経て第三者が再取得可能となるので〜」とか。

勿論この辺りは、ユーザがメールアドレスの変更をちゃんと行えば良い話ではあるのですけど、重要度の低いサービスとかだと変更を忘れちゃう事ありそうですよね〜。


とりあえず、上記のような理由で「登録済みメールアドレスでメールが受信できる」という事は必ずしも登録者本人である事を保証するものでは無いと思いますし、そのメールアドレスを登録済みのサービス側の仕様によっては割と悲惨な状態を招きそうな気もします。

考えられる悲惨な状態

「パスワードを忘れた場合」の救済策として「パスワードの再設定」ではなく「パスワードの再送信」みたいなサービスは未だ存在する

「パスワードを忘れた場合」にメールアドレスを入力させて、「パスワードの再設定」などではなく、「登録済みパスワードの再送信」なんて事をしているサービスも未だに存在します。
それも、「ユーザが任意に設定したパスワードをそのまま再送信」してくるようなサービスとか。*2
オリジナルサブドメイン・独自ドメインメールの場合、FQDN宛のメールを全て受信すれば、利用していたサービスは容易に推測が可能ですし、同じパスワードを使いまわしているユーザは未だ多いと思うので、再取得した人間に悪意があればそこから紐づくサービス全て〜…とかあり得る気がします。

配信するメールに個人情報が含まれる場合

メールマガジンやお知らせ等「一定回数不着が続けば配信を停止する。」みたいなのが普通だとは思いますが、そもそもお知らせ等を発信せず、最初のメールアドレスの確認のみで、定期的にメールアドレスが有効である事の確認を行わないサービスの場合、「全くの別人に個人情報の含まれるメールを発信していた!」なんて事も起きそうです。

まぁ、登録ユーザの自己責任といってしまえばそれまでですが。

で、結局

何をいいたいのか自分でもよくわからなくなってきたのですが、登録メールアドレスでメール受信出来る事を本人確認とするのであれば、サービス側も定期的にメールアドレスの有効性とか確認した方が良いんじゃないかな〜とか思ったりしています。

*1:ウェブサービス等にソレ以上の認証を求めるのは運営的にもユーザ的にも「面倒」が増えそうですし。

*2:もう何年か前の話ですし、現在は改善されていますが、セキュリティ系の情報を提供する某サイトの会員IDのパスワードの再発行を行って、自身が任意で設定したパスワードがそのまま送信されてきた時にゾッとした覚えがあります。