Scribble at 2025-06-10 11:28:02 Last modified: 2025-06-10 12:41:56

さきほど、業務で利用しているムームードメインから、アカウントのパスワード再設定の申請があったという通知が来ていた。ムームードメインの場合、パスワードの再設定は次のような手順になっている。

(1) ムームードメインのログイン・ページを表示する。

(2) 「ムームーID・パスワードを忘れた方はこちら」のリンクをたどる。

(3) 再設定の申請フォームに必要事項を入力する。

(4) パスワード再設定用の URL がメールで通知される。

(3) で、パスワードを忘れたときは「ムームーID」を入力し、ムームーIDもパスワードも忘れたときは、ドメインと登録メール・アドレスを入力する。つまり、第三者がアカウントを乗っ取ろうとした場合に、何らかの正しい情報を追加で知っている必要があるわけだ。

まず「ムームーID」については、恐らく社内で僕の他に知っている人はいない。なぜなら、このムームーIDは僕がムームードメインを利用し始めた20年近く前に、僕が単独で作成したアカウントだからだ。そして、僕の他にアカウントの情報を教えた人間は一人もいない。また、会社に関わるどんなファイルやサービスにも、このムームーIDを記載したことはないし、ファイルとして保存してもいない。僕の自宅で運用している KeePass と、メール・クライアントのデータの中にしか情報はない。

運用しているドメインと登録しているメール・アドレスを他人が推測できるかというと、こちらはできる。たとえば弊社の企業ドメイン（.co.jp）は、僕が技術担当者として登録しており、そして情報を公開しているからだ。こんなのは WHOIS を使うという情報を知っていれば、小学生でも分かることである。なので、ドメインと登録メール・アドレスをムームードメインのパスワード再設定フォームに入力したのだろう。

でも、あたりまえだがパスワードの再設定用に URL を記載している通知は僕のメール・アカウントへ届くのだから、たとえば同時にパスワード再設定用の偽の URL を記載している、ムームードメインから送られたように見せかけた偽のメールでも送信しない限り、フィッシングにはならない。それに、正当な再設定用のメールも届くのだから、同じ主旨のメールが重複して届くことになり、これはフィッシングとしては失敗する可能性が高くなるわけである。

しかも、だまくらかそうとしている相手が俺なのだから、こんなことで弊社のムームードメインのアカウントを乗っ取ろうなんて100万年ほど早いというわけである。俺みたいなレベルの情報セキュリティ・マネージャを騙すなら、それこそ官製天才や自衛隊出身のプログラマでも雇うんだな。

[追記] 別件で社員からチャットで通知が来ていたのだが、なんでも外部委託先のエンジニアから弊社で運用しているドメインの登録情報を変更したいので ID とパスワードを知りたいという。そういう理由で、ムームードメインに再設定の申請を出したというんだけど・・・ええっ。どういう運用してるかも確認しないで、いきなり外注に会社のアカウントを渡すって・・・元大企業の SE らしいけど、まだ情報セキュリティについては勉強が必要だねぇ。うちは広告代理店の仕事もしてるネット・ベンチャーなので、受託案件とかでもドメインの管理に使ってる可能性があるとは想像しないのかな。