ウェブフォーム設置においては必ず送信テストを行い、送信と受信を正常に動作することを確認してから公開する。
これが当たり前だと思っていましたが、とんでも事例が発生したので注意喚起も兼ねて記事にします。
全く関係ないメールを受信(2025/03/04)
実在するNTTドコモ社員(以後、Aさん)から「〇〇イベントについて取材をしたい。」という内容のメールが突然、所有しているドメイン名に対し届きました。この某イベント、メールが届いて初めて存在を知ったイベントです。
ドコモだけにドコに送っているんだ!?というネタツイートには座布団1枚くらい期待していましたが、どうやら逆に座布団全部持ってかれそうな反応で寂しかったです・・・
さて余談はほどほどにして・・・
ドコモ社員にメール(2025/03/05)
届いたメールに記載されていたAさんの名前を念の為検索し、ドコモ公式サイトやLinkedInといった関連サイトを参考にメールアドレスがNTTドコモ社員が使用するものであり、いたずらではないメールであると確認。
その後Aさんに誤って届いている旨。そしてお問い合わせ時に利用したサイトURLの情報提供をお願いしました。
流石NTTドコだけあって、Aさんからすぐに疑いのURLについて情報提供を受けました。この反応速度はありがたい。
ここからがお楽しみ?のお時間。テストメールの送信です。
問題のフォームからテストメールを送信・・・まさかの!!
えーと・・届いちゃいました。
まさかね~と思いましたが、しっかり受信しちゃいました・・・
ウェブフォーム実装するのに、フォームの宛先が第三者なんてありえるの!?
こりゃイカンと思いサイト記載の運営会社に連絡を試みるも、公式サイト記載の電話番号が既に使われていませんでした。PR Timesのプレスリリースから電話番号を探りましたが、こんな時に限ってリリースに電話番号を載せていない!
一応同じロゴを使用する一般社団法人を見つけたので、そちらに個人情報漏洩という形で調査協力の依頼メールを送りましたがまだお返事はいただいていません。
解決まで何日かかるか分かりませんが、それまでは運営元に送ったつもりのメールが私に届き続けるでしょう・・・問い合わせの中身はじっくり拝見いたします。
なぜ情報漏洩が発生してしまったのか?
今回の問題は下記のヒューマンエラーによるものと判断しています。
- ウェブフォーム実装担当者が自社のメールアドレスを入力ミスした。
- ウェブフォームの送受信テストを実施しなかった。
どちらか一つを確認できていれば、こうはなりませんでした。
貴方が送信しようとしているそのフォーム、ちゃんと目的の窓口に届きますか?