ぱろっと・すたじお

技術メモなどをまったりと / my site : http://parrot-studio.com/

メールアドレスという「ID」

本来、このネタはROのBlogの冒頭で書くつもりだったのですが、
ちょっと重たいのでこっちに
ある意味「このBlog本来の記事」ですか


今日、ビックカメラで「不正アクセス」が確認され、
調査のためにサイトを閉じた、というニュースが出ました


ビックカメラ.comでID・パスワードの不正利用 サイト一時閉鎖 - ITmedia ニュース


不正アクセス」=「本来のIDの持ち主でないユーザのアクセス」であって、
必ずしも「個人情報の流出」を意味しませんが、
その可能性があるならと、いったんサイトを閉じたのは評価できます(`・ω・´) b
(とりあえずは調査結果の続報待ち)


一方で、こんなニュースも出ています


「777TOWN.net」から173万人分のID・パスワード・メールアドレス流出 - ITmedia ニュース


こちらは脆弱性に気づいていながら運営を続けていたということで、
相当「悪質」なケースですが、流出した情報として
「(サイトの)ID/PASS/メールアドレス」と個人情報の一部となっています


勘のいい方はお気づきと思いますが、
ビックカメラをはじめとして、Sofmap/Amazon/ヨドバシ等、
ほとんどのサイトがメールアドレスをIDに使っています


もし、PASSを使い回していて、今回流出したPASSを、
この手のショッピングサイトで使っていたら・・・(((((( ;゚Д゚)))))
(私も他人事ではないのですΣ(゚Д゚)ガーン)


実際、同じようなゲームサイトで不正アクセスが多発しているそうで、
今回のビックカメラの件は氷山の一角かもしれません
(あくまでビックカメラのサイトに脆弱性がないと仮定して、ですが)


かといって、サイトごとにメールアドレスを用意するわけにもいかないわけですが、
Gmailの場合、アドレスに仕掛けを入れることで、
一つのアドレスから好きなだけアドレスを作ることができるようになってます


ITmedia Biz.ID:使い捨てのメールアドレス・前編──Gmail、Yahoo


やり方は簡単で、元アドレスが「hogehoge@gmail.com」だとしたら、
「hogehoge+piyo@gmail.com」のように、IDの後ろに「+好きな文字列」をつけるだけです
「+」以降は無視され、同じメールBOXに届くわけです


各アドレスごとに別々なメールアドレスを使えば、
「ID」としては全部違うことになるので、
今回のような流出があったとしても、ある程度被害を防ぐことができます


一方で、サイトごとにどんな文字列をつけたかを覚えてないとダメなのですが、
ショッピングサイトのようなお金が絡むサイトでは、
念のためこの手法を使ってみることをお勧めします