親愛なる読者の皆さまへ。ご存じの通り価格高騰などの悪影響でサーバー運営がとても苦しい状態です。回線や台数を整理し見直せる部分は全て見直しましたが、やはりまだ危険水域です。このままだと1ページを10分割ぐらいして無理矢理PVを増やさざるを得なくなってしまいます。そこで、GIGAZINEの物理的なサーバーたちを、たった1円でも良いので親愛なる読者の皆さまに支援してもらえればとっても助かります!今すぐ寄付は上のボタンから!
・これまでGIGAZINEを支援してくれたメンバーのリスト
テストや説明のために使われるドメイン「example.com」がMicrosoft Outlookの自動設定機能において実在のメールサーバーとして扱われ、利用者が入力した認証情報が意図しない相手に送られ得る状態になっていたことが判明しました。外部のDNS設定に誘導要因が見当たらない一方で、Microsoft側の自動検出サービスが日本の住友電気工業のドメインsei.co.jp配下とみられるIMAPとSMTPのホスト名を候補として返していたとされています。
Microsoft mishandling example.com
https://tinyapps.org/blog/microsoft-mishandling-example-com.html
Why has Microsoft been routing example.com traffic to a company in Japan? - Ars Technica
https://arstechnica.com/information-technology/2026/01/odd-anomaly-caused-microsofts-network-to-mishandle-example-com-traffic/
発端は、Outlookにおけるアカウント追加時の自動設定です。テクノロジー系ブログのtinyapps.orgが確認したところ、「[email protected]」のようにexample.comを使ったダミーのメールアドレスを入力すると、通常であれば自動設定が成立しないはずの環境にもかかわらず、受信サーバーとしてsei.co.jp配下のIMAPホスト名、送信サーバーとして同じくsei.co.jp配下のSMTPホスト名が候補として提示される挙動が見られました。提示されたホスト名は、住友電気工業側に属するサブドメインとされます。結果として、利用者がそのまま設定を進めると、入力したユーザー名やパスワードがそのホストに対して送信される可能性があります。
Internet Engineering Task Force(IETF)のRFC2606では、example.comは例示や試験用途の予約ドメインとして定義されていて、一般の第三者が取得したり運用したりすることを想定していません。
しかし、tinyapps.orgの検証では、example.comはメールを受け取らないことを示す設定になっており、自動設定に使われる典型的なDNSレコードも見当たらないとされています。さらに、メール配信先を示すMXレコードでメールを受け取らないことを示すnull MXが設定されていたほか、autodiscover.example.comのCNAMEや、自動設定用のサービス位置を示す_autodiscover._tcpのSRVなど、正規の手がかりとなるレコードが存在しないと報告されています。
つまり、インターネット上の公開設定が住友電気工業側のホスト名に利用者を誘導しているのではなく、Microsoftの自動検出サービスそのものが当該情報を返している疑いが強いということがわかりました。テクノロジー系メディアのArs Technicaは、Outlookの挙動やコマンドラインからの確認を根拠に、Microsoftの自動検出APIが返す自動設定情報が、住友電気工業側のドメイン配下のサブドメインを指していたと指摘。「example.comを使ったOutlook設定を試す人は一定数いるため、テストのつもりで入力した認証情報がsei.co.jp配下の提示先サーバーに誤って送られてしまう可能性がある」という見解を示しました。
tinyapps.orgはMicrosoftの自動検出APIが返すJSONを示し、自動検出の応答が指していたサーバー情報が明示的に含まれていたと説明しています。さらにデバッグ情報の解読結果として、この設定が2020年2月3日に作成され同日に更新されており、しかも手動で登録された可能性が示唆されています。
住友電気工業のドメインがなぜこのような状況に巻き込まれたのかは、記事作成時点では不明。Ars TechnicaがMicrosoftに取材を行なったところ、Microsoftは「example.comに対して推奨サーバー情報を提示しないようサービスを更新したことを確認しました」とコメントし、記事作成時点で調査を進めていることを明らかにしました。一方で、単に、自動検出の問い合わせ先が応答しない状態になったように見えるという指摘も紹介されており、根本原因の説明はなお不明だとArs Technicaは述べました。
・関連記事
ペンシルベニア大学がハッキングされハッカーが大学メールから学生や卒業生に詐欺的メールを大量送信 - GIGAZINE
公開されたエプスタイン・ファイルのメールをGmailっぽいUIで閲覧できる「Jmail」 - GIGAZINE
AIエージェントでメールを分析することで全てのメールが外部に流出するリスクあり、AIにアクセス権が与えられたGoogleフォームを利用した攻撃 - GIGAZINE
Gmailで「Geminiがメールを集約して回答してくれる機能」や「Geminiがメール文面を高度に添削する機能」をGoogleが発表、まずは有料ユーザーから - GIGAZINE
・関連コンテンツ
inソフトウェア, セキュリティ, Posted by log1i_yk
You can read the machine translated English articleIt turns out that 'example.com' was auto….
直近24時間(1時間ごとに更新。5分ごとはこちら)
