これは小さな楽しいトリックだ。これが脆弱性かどうかははっきりしないが、私はGoogleはきっとこの機能を排除しようとするだろうと思う。SecuriTeamのブログは、これによってGMailアカウントに登録したユーザーの氏名をあらわにすることが可能だと報じている。これはもちろん、GMailアカウントに登録した人物が偽の氏名を使っていない場合だけだが、それでもこれは興味深いトリックだ。
この脆弱性が存在するのは、GMailとGoogleカレンダー、Blogger、Google Codeなどのサービスが強く結びついているためであり、Google Appsが人々とデータを共有できるようにしようという強い志向を持っているためだ。この強い結びつきが興味深い結果を生んだのはこれが初めてでも、二度目でもなく、おそらく最後でもないだろう。私が書いた、Billy RiosによるGoogle Codeの悪用、BillyによるGoogle Spreadsheetに対するコンテンツの所有権の獲得、Billyと私のGoogle Docsの文書の盗みなどに関する記事、私のBlack Hatでの講演などを参照してほしい。
これを行う手順は次の通りだ。
- Googleカレンダーに登録する。
- 「このカレンダーを共有」を行う
- 「ユーザー」の入力ボックスに電子メールアドレスを入力する。
- 「ユーザーを追加」をクリックし「保存」。
- この画面に戻ってくると、入力したGMailアドレスと一緒に氏名が表示される。
SecuriTeamのブログ記事で、この手順を説明している。
スクリーンショット:
私はいつも、admin@gmail.comの裏にいるのは誰だろうと思っていた。
彼らも、私のように興味を持つ人がいるだろうと思っているらしい・・・。
もしスパム業者が読者のgmailアカウントに、個人に合わせたメールを送ってきていたとすれば、彼らはこの方法で読者の名前を知ったのかもしれない。
どうだろうか。確かに、これはこの世の終わりというようなものではないが、非常に興味深いことは確かだ。私はこれを見てすぐに、Nitesh DhanjaniとBilly Riosのフィッシングについての講演を思い出した。これもBlack Hat Vegasで聞くことができるので、ぜひ聞くべきだ。この講演は個人情報の盗難とフィッシングの世界についてのものだ。この問題は、そのようなフィッシング業者の一部に名前を漏らしてしまう可能性がある。BillyとNiteshの話を聞いて、もし彼らがこれを悪用していなければ私は驚くだろう。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
