WWW Watch

Gmail のエイリアスは個人情報漏洩対策にならないからやめとけっていう話

Gmail のエイリアス (Google Apps 除く) は本来のメールアドレスがバレバレなのでスパム対策や情報漏洩対策にはなりませんよというお話です。

Gmailまともな知識を持っている人にはそりゃそうだで終わる話ですが、いまさら Gmail のエイリアスを持ち出して、設定しておくと個人情報が漏れたときに流出元がわかるからやっておきましょうみたいな記事が話題になっているのが目に付いたので書いておきます。

これ、全くとは言わないまでもほぼ意味ないですし、本当にサービスによってアドレスを使い分けたい、漏れた時は確実にわかるようにしたいってことであれば Gmail 以外のメールサービスのエイリアスの方が優れていたり、他にも色々と方法がありますので、そこについて簡単に触れてみようと思います。

Gmail のエイリアスについておさらい

一言で 「Gmail のエイリアス」 と言っても、いくつかありますのでまずはそれの整理を。

Google Apps の場合

Google Apps (企業向けアカウント) でいうエイリアスは、「メール エイリアス」 と公式には書かれていますが、これは本来のエイリアスに基づく機能です。

例えば、foo@example.com というアドレスに対して、hee@example.com や haw@example.com のように別のアドレス (予備のアドレス) を紐付けることができます。ちなみに 1ユーザーにつき、30個までメールエイリアスは設定できます。詳しくは下記。

また、Google Apps にドメイン エイリアスを追加すれば、追加したドメイン名でのアドレスが全ユーザーに自動的に付与されますので、これを予備のアドレスとして運用することも可能です。

つまり example.com で運用している Google Apps に example.jp をドメインエイリアスとして登録すれば、foo@ というアカウントを持っているユーザーは、foo@example.com も foo@example.jp も使えることになります。こちらも詳しくは下記を。

なので、Google Apps におけるエイリアスを活用するのであれば、運用方法によっては迷惑メール対策や情報漏洩元の検証に利用することも可能です。

個人向けの Gmail の場合

今回話題にしている記事が触れているのはこちらの件ですね。個人向け Gmail (面倒なので以下、Gmail) のエイリアスは 「+」 を使うことで事実上、無制限に作成できます。

つまり、example@gmail.com を持っているユーザーに対しては example+foo@gmail.com などとしてもメールを送信できるわけです。

また、Gmail ではユーザー名内の 「.」(ピリオド) を文字として認識しないため、この機能を使ってエイリアスと同様の効果を狙うこともできます (こちらはエイリアスとは呼ばれていないです。なお、Google Apps ではピリオドは文字として認識され、別のユーザーになりますので注意)。

つまり、example@gmail.com も e.xample@gmail.com、exa.mple@gmail.com、e.xam.ple@gmail.com もすべて同じアドレスとして扱われるというわけですね。

確かにこれら機能を使うことで、あるサービスには example+foo@gmail.com を登録、あるサービスには e.xample@gmail.com を登録みたいにすれば、一見、漏洩対策になりそうです。

問題点 1 : Gmail のエイリアスは簡単に名寄せできる問題

これは後述しますけども、Gmail に限らず主要な Web メールサービスでエイリアスは使えるんですが、Gmail のような 「+[文字列]」 形式のように、特定の文字から後を無視する方法のエイリアス (便宜上、この記事内では 「簡易エイリアス」 と呼びます) は、そのルールさえわかっていればメインのアドレスが簡単にわかってしまうため、アドレスが流出した場合はメインのアドレスが漏れたのとほぼ同じ意味になります。

よって、メインのアドレスが簡単にわかってしまう 「簡易エイリアス」 は漏洩対策にはほぼ意味がありません。収集したアドレスから機械的にユーザー名の 「+」 から後ろ (または 「.」) を削除するくらい簡単にできます。

つまり、簡易エイリアスで防げるのは、収集したメールアドレスをバカ正直に無加工で使う間抜けなスパマーさんからのメールだけということになります。

問題点 2 : サービス側で登録できない問題

簡易エイリアスの場合、サービス側から言えば 1人のユーザーが簡単に事実上無限のメールアドレスを持てると言うことになりますので、それを利用して大量のアカウントを取得されたりする可能性もあり、排除したい対象です。

ですから、結構な数の大手サービスが Gmail の 「+」 を使用したエイリアスで登録しようとするとはねる(もしくは + 以降を自動で削除して、本来のメールアドレスで登録するように誘導される) ようになっています。

もちろん、中には単に RFC を読んでいない、無知から本来メールアドレスに使用できる記号などをはじいているサービスもあるかもしれませんが、まともなサービスで登録できない場合は故意にはじかれてますので文句言ってもたぶん直りません。

以上、2点のことからも、Gmail (Google Apps を除く) のエイリアスで情報漏洩対策というのは全くとは言わないまでも、ほとんど意味がないですし、使えないサービスが多くて活用の機会も限られるかと思います。

もちろん、フィルタ機能などと組み合わせてメールの管理を行うには便利な機能ですので、活用したらいいとは思いますが、この機能を情報漏洩対策として紹介するのは筋が悪いです。

エイリアスが使用できる Web メールサービス

元々、メールサーバの機能としては古くから存在するため、エイリアスは別に珍しい機能ではありませんし、主要な Web メールサービスで利用できます。

Gmail のように特定の記号から後ろは無視する方式の 「簡易な」 エイリアスは前述したとおり、情報漏洩やスパム対策にはほとんど意味がありませんが、下記で紹介する各サービスのエイリアスは本来のメールアドレスがばれないのでこちらを使った方がよいと思います。

Yahoo! メール

Yahoo! メールの場合は、エイリアスとは呼んでおらず、「セーフティーアドレス」 と公式には案内されていますが、機能的にはエイリアスです。

任意のアドレスをエイリアスとして登録することができます。エイリアスは 「-」(ハイフン) を含むのが特徴 (ちなみに、Yahoo! ID には記号は 「_」 しか使えません) です。

つまり、「-」 を含めばそれはエイリアス扱いのアドレスとなり、ユーザーは本来のアドレスに 「-」 を含む任意のエイリアスを追加することができるということになります。もちろん、他の人がすでに使っているものと重複する場合は使えませんが。

ちなみに、実際に設定画面を見てみたところ、「ベースネーム」 というのを先に決めておいてから、「-」 から後ろを任意の文字列で設定するみたい。ベースネームの設定変更は 2回までということなので、ある程度はアドレスが固定されるんですね。

Yahoo! メール : セーフティーアドレスの設定画面

ベースネームに本当のアカウント名を入れると怒られますので、その辺はちゃんと対策とってくれてるみたいです。

なお、設定できるセイフティアドレスは基本 10個までですが、Yahoo! BB、もしくはセキュリティーパックを使用していると 30個まで設定できるそうです。セイフティアドレスからの送信も可能。

ところで、メールアドレスが yahoo.co.jp ドメインで、アカウント名に 「-」 が含まれていればエイリアスですから、Gmail のところで書いた、サービス側での拒否は簡単そうですが、実際にそうなっているサービスがあるかどうかは調べてないのでわかりません。

iCloud メール

メールエイリアスは 1ユーザーにつき 3つまでの使用に限られますが、エイリアスからのメール送信も簡単な設定でできますし、簡単にエイリアスを ON / OFF (一時的に無効にしたり、再開したり) することも可能です。

余談ですが、iCloud メールでアカウントを作ると、example@icloud.com というアドレスになるわけですけども、過去何度かサービスのドメインが変更されている関係上、@me.com、および @mac.com でも同じアカウント名でメールが使えるようになっています。これは Google Apps のドメインエイリアスと同じですね。

逆に言えば、@me.com や @mac.com 時代から使っている人は、@icloud.com のアドレスも自分のアドレスとして使えますということです。もちろん、ドメインが違うだけですので、スパム対策を狙ってメインアドレスの別ドメイン版を使用するのは意味がありませんが、覚えておくといいかも。

なお、こちらも当然ですが、エイリアスとして設定しようとしたアドレスが、すでに他のユーザーが使用中のアドレスとかぶる場合は設定できません。

Outlook.com

Microsoft が提供する Outlook.com も iCloud メールなどと同様の機能を持っています。

Microsoft が提供する Web メールサービスも、過去、@hotmail.com、@live.com、@MSN.com と色々ドメインが変わっていますので、iCloud メール同様、自分が持っているアカウント名は他のドメインでも予約済みになっています。

ですので、例えば example@hotmail.com をメインとして使っている人は、example@outlook.com をエイリアスとして登録し、さらにプライマリアカウントを切り替えることで、@outlook.com の方のアドレスを Microsoft 関連サービスへのログインに使用するようにもできます。

エイリアスは最大で 10個まで登録可能ですが、上のヘルプでも書かれているとおり、

作成できる新しいエイリアスは、1 年間に 10 個まで、全体で最大 10 個です。1 つのエイリアスを削除すると、全体数からは差し引かれますが、年間の制限数からは差し引かれません。

ですので、10個作ってしまうと、その 1年間は、使わないエイリアスを削除したとしても、新たに登録はできなくなります。

まとめ

ということでまとめます。

  • Gmail のエイリアスは本来のメールアドレスがバレバレなのでスパム対策や情報漏洩対策には使えない
  • 同じことをしたければ他のサービスを使うなどしましょう
  • 余談ですが、エイリアス使うのはいいですけど、複数サービスでメールアドレスだけ変えてパスワードを使い回すみたいな本末転倒なことはしないように

関連エントリー

Recent Entry

全ての記事一覧を見る

Hot Entry

逆引きおすすめエントリー