勝手に使われたメアドを取り返そうとして“犯罪者になりかけた”件：半径300メートルのIT（2/3 ページ）

[宮田健，ITmedia]

　現状としては、各種サービスの登録時に「私のメールアドレス」が使われており、連絡は全て「私のメールアドレス」に来るようになっています。サービス登録時の完了メールだけでなく、恐らくこれから来るであろうメールマガジンも、全て私のメールアドレスに届きます。

　もしマリオ氏が再度ログインしようとしたときも、マリオ氏が私のメールアドレスを入力し、パスワードを正しく入力できれば、全て問題なくサービスを受けられるはずです。アラートメールなどの機能をのぞけば。

　ただし、マリオ氏がもし「パスワードを忘れたら」大変なことになります。マリオ氏がパスワードを忘れ、「パスワードを忘れた方はこちら」とクリックし、自分しか知らないであろう情報を入力してパスワード初期化を依頼しても、その結果は「私のメールアドレス」に届くだけで、マリオ氏には届きません。

　この時点で、マリオ氏がアカウントを復活させることはかなり難しくなるでしょう。ほとんどのサービスはパスワードのリマインダーにメールを使うので、メールアドレスを変更しようにも元のメールアドレス（つまり私のメールアドレス）に確認が届くので、恐らくメールアドレスの変更すらできないはずです。

　それはつまり、マリオ氏のアカウントに対して私がパスワードの初期化を依頼した場合、私はそのサービスのアカウントにログインが可能になるということです。

　登録サービスにパスワードの初期化を依頼すると、私のメールアドレスに初期化のメールが届き、クリックして新しいパスワードを入力することで、リセットが完了します。

　当初は私も「この方法で済むかもしれない」と思ったのですが、実はこれには大きな問題があったのです。