Googleから不審なメールが届く
今月になってからGoogleから不審なメールが何通も届きます。題名は、
Google のプライバシー ポリシーとプライバシー設定の改善について
とか
Improvements to our Privacy Policy and Privacy Controls
とか、要は日本語英語両方で届いています。
で、これらのメールは一つのメールアドレス宛に届いたのではなく、普段は使っていない幾つかのメールアドレスにそれぞれ届いたのです。それもgmail.comドメインのではない独自ドメイン名のメールアドレスに。
これらのメールはGoogleアカウントを持っている人に届いて当然なものなのですが、私はGoogleアカウントをこれらのメールアドレスで作成した覚えはないのでこれは一体どういうことかと調べてみると、いくつかのメールアドレスで過去に誰かがアカウントを作成しようとした形跡が残っていました。それは、
Google によるメール アドレスの確認
という題名のメールで
お客様
Google をご利用いただきありがとうございます。
次のリンクをクリックすると、メールアドレスの確認が行われ、登録が完了します。
https://accounts.google.com/VEH?c=Cxxxxxxxxxxxxxxxxこのリンクをクリックしても機能しない場合は、URL をコピーして新しいブラウザ ウィンドウに貼り付けてください。
アカウントについてご不明な点がございましたら、Google アカウント ヘルプセンターをご覧ください(https://support.google.com/accounts/)。
今後とも Google アカウントをよろしくお願いいたします。
このメールは送信専用アドレスから送信しています。ご返信いただいてもお答えできませんので
ご了承ください。
という内容のメールです。要は何者かが適当に他人のメールアドレスを入力してGoogleアカウントを作成しようと試みたようですね。確かに昔から時々こういうメールが届きますが、届くと削除しちゃったり残しておいたり、とりあえずメールに対して何もしないで放置してました。だって、
次のリンクをクリックすると、メールアドレスの確認が行われ、登録が完了します。
と書いてあるので「何もしなければ登録は完了せずに消えるだろう」と思いましたからね。
Googleはメールアドレスの確認が完了しなくてもアカウントを作成し保持する
今回の不審なメールは何者かが勝手に私のメールアドレスでアカウントの作成を試みた時のメールアドレス宛にGoogleが送ってきたようです。そもそも、何者かが最初にアカウントの作成を試みたとしても、メールアドレスの確認のためのリンクをクリックする必要があり、そのリンクを書いたメールが当然私のところに届き、私は何もしないので当然登録が完了しないはずなのです。それでその何者かが何回もWeb上の「メールアドレスの確認メール再送ボタン」を押したのでしょうね、「メールアドレスの確認」という件名のメールが「Google 確認コードは xxxxx です」という内容で多い場合は10通以上Googleから届いたりもしていました。
当然これでメールアドレスの確認が完了しなければアカウントは作成完了しないはずだし、一定時間何も反応が無ければアカウント自体は作成されることなく情報は消滅するものだと思いますよね。でも、Googleはメールアドレスの確認ができなくてもアカウントを作成したままずっとその情報を保持していたのですよ。
今回届いたメールの最後にこう書かれていました。
このメールは、お客様の Google アカウントの更新についてお知らせするもので、example@example.com 様にお送りしております。
Googleアカウント(Gmailアドレス)を持っている人ならこれと同じものが届いていると思います。
これの意味するところは、Googleはメールアドレスの確認が完了していないにも関わらずそのメールアドレスでGoogleアカウントを作成し、そのまま保持し、それを後日利用した訳です。ちなみに私の手元で確認できた一番古いものは2016年のものでした。それが今だにGoogleアカウントとして残っていて今回の不審なメールの送信に使われたという訳です。
私が取った対応
大元のメールには「Google アカウント ヘルプセンターをご覧ください」とか書いてありますが、そこには「誰かがパスワードを変えた」とかいうような情報はありますが、はっきり言って「登録した覚えのない人」にとって役に立つ情報は載っていません。ひょっとしたら、あるかもしれませんがきっと見つけにくいところにあるのでしょう。そもそも元の「Google によるメール アドレスの確認」というメールの中に「覚えの無い人」に対する案内が全く無いというのはフェアじゃないですよね。メールアドレスの確認をする以上は一定時間内に「確認した」というリンクが踏まれなかったら「間違い」「事故」あるいは「いたずら」と認識してアカウントは作成すべきでは無いでしょう。あるいは「覚えが無い」というリンクも同時に提示して積極的に第三者によるアカウントの作成をさせないようできる仕組みを提供すべきです。
で、結局私はGoogleが提供したパスワード不明の場合のパスワードの再設定方法を用いてパスワードの変更を行い、Googleアカウントにログインし、その上でGoogleアカウントの完全削除を行いました。私のメールアドレスで作成されたアカウントですから私にしかアクセスできませんし、いつまでたってもGoogleは私に不審なメールを送ってくるのですから仕方ありませんよね。ちなみに、ログインした時に目の端に見知らぬ登録者名とか生年月日とか電話番号とか見えましたが、これはGoogleがアカウントに使うメールアドレスの本人確認ができる前にユーザーから個人情報を取得してそれをGoogleが保持し第三者に提供できる状態にしていたということになると思うのですが、これでいいのですかね?Googleはログインの二重認証とかやる前にすべきことがもっとあるんじゃないでしょうか?
実はGoogleだけじゃない
今回たまたまGoogleからこのようなメールが届いたのでこのエントリーを書いたのですが、実はこのようなメールアドレスをユーザー名として使うサービスで同じような事が起こっていて、数年前から色々な事例を集めつつ温めておいたネタの一部なのです。ですので、順次シリーズでこのトピックを追加していこうと思っています。