「gmail」ドメインを「gmai」と誤記、2年半放置で800人分の情報漏えいか 鹿児島大が「ドッペルゲンガー・ドメイン」の毒牙に

[ITmedia]

　鹿児島大学は2月9日、メールアドレスの登録ミスによって、個人情報829人分が漏えいしていた可能性があると発表した。本来「@gmail.com」のドメインに送るはずだったメールを、2年半にわたって「@gmai.com」のアドレスに送信し続けていたという。

鹿児島大学（公式サイトから引用）

　2020年6月26日から22年11月24日にかけて、702件のメールを誤送信していた。一連のメールには、教職員の氏名、メールアドレスなど270人分、学生の氏名、学籍番号、メールアドレスなど382人分、学外関係者の氏名、メールアドレスなど177人分が含まれていたという。誤送信した情報の悪用は確認していない。

漏えいした可能性がある情報

　2つの研究室で使っていたメーリングリスト3件で登録ミスがあった。メーリングリストの用途は研究室の近況報告や、イベントの案内用など。2022年11月に他の大学が同様のミスを発表したことから、鹿児島大でも独自に調査したところ、誤登録が発覚したという。ミスは修正済み。

　@gmai.comなどタイプミス・誤認識しやすいドメイン名は「ドッペルゲンガー・ドメイン」とも呼ばれる。ユーザーが誤ってアクセスしたり、メールを誤送信したりするのを狙って取得されたものもある。

　通常、存在しないアドレス宛てのメールにはエラーメッセージが返送されるので、タイプミスなどがあった場合は誤送信に気付ける。一方、ドッペルゲンガー・ドメイン宛てのメールは全て受信されてしまい、エラーメールが返ってこず、ミスに気付きにくい。

　WHOISによれば、gmai.comのドメインはホンジュラスのドメイン名レジストラを名乗る「BoteroSolutions.com S.A.」が所有している（2月13日時点）。

　鹿児島大は今後、メールアドレス登録時のチェックや、ドッペルゲンガー・ドメインについての注意喚起を徹底することで再発防止を目指す。