筆者が確認したスパムメールは「ビットコインに投資することで、10ドルが10万ドルになる方法を教える」という典型的な詐欺のメールだった。しかし、それにしても異様なのは、差出人が筆者自身になっていたことだ。自分にこのようなメールを送った覚えはないのに、なぜGmailは騙されたのだろうか。
今回の迷惑メールを送った業者が利用したのが、「バウンスメール」の機能だ。何らかの理由で宛先にメッセージが届けられない場合、ほとんどのメールサーバーはメールをリジェクトするが、一部のサーバーは差出人にメッセージの本文を送り返している。
犯人は使われていないメールアドレスにスパムメールを送信して、故意に差出人に“バウンス”させているのだ。差出人のアドレスはヘッダーをいじることで簡単に変更できる。こうすることでGmailのパスワードを盗む必要も、アカウントに不正アクセスする必要もなく、迷惑メールを受信ボックスに届けることができるのだ。
今回のようななりすましを防止するために、DMARC(ディーマーク)という機能が2012年に作られた。簡単に導入できるが、発表されてから6年が経った今でも導入されていないメールサーバーがたくさんあるということだろう。
グーグルは「一部のユーザーに影響が出ているスパムメールについて把握しており、対策を講じた」としている。確かに筆者のメールボックスにも、これまで2日で4通来ていた迷惑メールが、この24時間は来なくなっている。
ニュースメディア「Mashable」はこの件に関して、グーグルの広報担当者からのコメントを掲載した。それによると、グーグルは今回の問題を認識しており、迷惑メールが送信されていても、アカウントがハックされたとは考えられないという。