[2004/09/24追記]

公式発表がありました。大量のメールアドレスの詐取はもとより、通常使用の数も少なかったようで、安心しました。

改訂された「ないしょ話」ブロックでは、メッセージを送る際に、IDとパスワードの両方を入力しないと送れないようになっていました。これで「成りすまし」はできなくなりました。

ないしょ話ブロック不具合の経過報告[ユーザの皆様へ]

なにぶん、私ではメールアドレスを詐取できる可能性しかわからないので、ちょっと煽り気味の書き方だったかと、反省しております。



急告 : BLOCK BLOGユーザーの皆さんへ
ユーザーIDとハンドル名とを、同じ文字列に設定しているBLOCK BLOGユーザーは、念のため、登録メールアドレスを変更することをお勧めします。

以下、理由です。

22日より導入された「ないしょ話ブロック(既に運用停止)」を通じて受け取ったメールには、送信者がBLOCK BLOGに登録しているメールアドレスがそのまま記載されます。

従って、BLOCK BLOGのURLより類推できるIDに成りすまして、自分自身のBlogに設けた「ないしょ話ブロック」を使ってメールを送信することにより、他のBlogユーザーのメールアドレスを容易に取得できました。

「ないしょ話ブロック」の実質的な運用時間はよくわかりませんが、上記のようにユーザーIDからただちにメールアドレスが取得できるために、ご自身が知らないうちに詐取された可能性も零ではないからです。

尚、その問題が発覚する契機となったのは、「むだづかいにっき」のえっけんさんから、このエントリーに頂いた下記のようなコメントでした。

先日BlogPeopleに登録させていただい者でございます。

僕はgoo BLOG利用者なんですが、嫌がらせ防止のために、こういった機能はいいですね。

ただこれだとコメント欄には使えないので、例えばログインした状態でコメントを残せばIDが表示されるといった「成りすまし防止」機能ぐらいは欲しいと思いました。

私は、この「成りすまし防止」という言葉が気になって、他のBLOCK BLOGのURLから類推できるユーザーのIDを使って、自分自身にメッセージを送ったところ、そのユーザーのメールアドレスが"From"に記載されたメールが届きました。

BLOCK BLOGでは、本来、BLOGのURLに使用されるIDと、ユーザーのIDとは異なる文字列を設定できるのですが、多くのユーザーは両者を同じ文字列に設定することが多いため、このようなことができてしまいます。

急遽、BLOCK BLOG宛、「ないしょ話ブロック」の運用停止を要請するメールを送信し、現在に至っています。

goo Blogの強面(?)のえっけんさんより初めて頂いたコメントで、このような大事を気づかせていただいて、とても感謝してます。あるいは私の記事とBLOCK BLOG公式発表とを読んで薄々気づいておられたのかもしれません。

いずれ運用は停止されるにしても、早い時期に気づいてよかったです。

とはいえ、ほぼ1日の間、「ないしょ話ブロック」は運用されていたわけです。

よって、冒頭に記載したような対処を、自己の責任においてなされることをお勧めします。