📚 知人から他人のGmailへメールが届いてしまっている!と相談を受けて調べてみたところ、削除したGmailアカウントへ送信されたメールが、Gmailのルールによって同一扱いとされた第三者のGmailへ届いていた可能性が高い!という事が判明。この件についてChatGPTと深堀してみます。
※Gmailをご利用の方は多いと思います。ドットを含むメールアドレスを利用してGmailアカウントを削除された方は、削除後に第三者へメールが届くかもしれません、お気をつけ下さい(2025年2月23日)
いやーびっくりな話だったね!種明かしすれば単純な話だったけど💦
ここまでを整理すると、知人がドット付きのメールアドレス(仮pippu.meado.dayon@gmail.com)を利用していたけれど、何らかの理由でアカウントを削除した。その後に第三者が新たに「pippumeadoda.yon@gmail.com」を取得したところ、Gmailは同一アドレスと認識し、第三者へメールが配信されてしまった、という事。にわかに信じがたい話だけどねー
それは確かに驚きの話!でも、Gmailの仕様を考えると理屈は通るね。
Gmailはドット(.)の有無を無視して同一アカウントとして扱う仕様になってるから、「pippu.meado.dayon@gmail.com」と「pippumeadoda.yon@gmail.com」は内部的に同じと認識される可能性がある。
ただ、普通なら一度削除されたアドレスは再取得できないはずだから、今回のケースがどうして起こったのかが気になるところ。
考えられるのは:
- 知人が削除したアカウントが完全には消えておらず、一時的にGmail内部で保持されていた。
- 第三者が類似アドレスを取得し、それがGmailの内部仕様上、元のアドレスと結びついてしまった。
- 実は知人のアカウントが復元可能な状態で、新しく取得した人が別の経路でログインできてしまった。
通常、Gmailアカウントは削除しても一定期間は復元可能で、その間に「同じアドレス」を新規登録できるケースは少ないはずだけど……何か特別な抜け穴があったのかもしれないね。
もし本当にこういうことが起こるなら、セキュリティ的には大問題だし、Google側も何らかの対策を取るべきだよね。実際の詳細が気になるなぁ。
でもさ、メールアドレスの国際標準規格的なルールはあるんだよね?それではローカルパートのドットは無視するのではなく、区別すべきというルールなのでしょ?
そう、その通り!
メールアドレスの国際標準規格 RFC 5322 や RFC 5321 によると、メールアドレスの ローカルパート(@より前の部分) ではドット(.)は 有効な文字として区別されるべき というルールになっている。
つまり、一般的なメールサーバーでは:
pippu.meado.dayon@gmail.compippumeadoda.yon@gmail.com
これらは別々のアドレスとして扱われるはず。
じゃあ、なんでGmailはドットを無視するの?
Gmailは 独自の仕様 を採用していて、「ドットを無視する」処理をしてるんだよね。
例えば、Gmailでは次のアドレスがすべて 同じアカウントに届く:
john.doe@gmail.comjohndoe@gmail.comj.o.h.n.d.o.e@gmail.com
この仕様はGmail独自のものであり、RFCの規格とは異なる。
問題のポイント
もしGmailが「削除されたアカウント」と「新しく作られたアカウント」で、このドット無視の仕様を適用し続けてしまったとしたら、今回のような問題が発生する可能性がある。ただし、通常Googleは「削除したGmailアドレスを第三者が取得することはできない」としているので、どうやって第三者が取得できたのかが気になるところ。
これはGmailの仕様と運用上の何かしらの抜け道が原因かもしれないね。
なるほど、、、もうひとつ気になる点はアカウントを削除したという人の話かな。直接は聞いてないのでなぜ削除する事になったのかはよく分かっていない。何か不正利用の兆候があってやむなく削除したのか、乗っ取られたりしたのかもしれないし。
それは大きなポイントかも。
もし「削除した」と言っていた知人が、本当に 自分の意思で削除したのではなく、何か不正利用や乗っ取りが関係していた のなら、今回の問題の原因が別の方向から見えてくる。
考えられる可能性としては:
1. アカウントが乗っ取られた可能性
- 何者かが知人のGmailアカウントをハッキングし、悪用。
- その後、乗っ取った側がアカウントを削除(またはGoogle側に凍結される)。
- その後、第三者が類似のアドレス(ドットなし)を新規取得し、結果的に「同じアカウントとみなされる」状態になった。
→ これはGmailの仕様ではなく、攻撃者がアカウントの「乗っ取り+削除+類似アカウント取得」を意図的にやった可能性がある。
2. Google側でアカウント凍結・削除が行われた可能性
- 知人が意図的に削除したのではなく、Googleが不審なアクティビティを検知して 強制削除 or 凍結 した。
- その後、Googleの内部仕様のミスで、同じようなアカウントを別の人が取得できてしまった。
→ これならGmail側のバグや仕様の問題と考えられる。
3. 実はアカウントは削除されていない(または復元された)
- 知人が「削除した」と思っていたが、実は削除されておらず、別の人(第三者)がそのアカウントにログインできた。
- もしくは、知人の削除後にGoogleの「復元期間(通常30日以内)」の間に何者かがログインし、別の端末でアカウントを復元した。
→ この場合、知人のアカウントのセキュリティが漏洩している可能性が高い。
🔍 チェックするべきこと
- 知人が 「削除した」と思った経緯 を確認する
(意図的に削除? 乗っ取られた? Googleから警告があった?) - もし連絡が取れるなら、その知人の Googleアカウントのアクティビティ履歴(過去のログイン情報) を確認してもらう
- 可能なら、 GmailのヘルプやGoogleサポートに問い合わせてみる(特に「アカウント削除後に第三者が取得可能だったのか?」を確認)
このあたりをもう少し掘り下げると、何が起こったのかが見えてくるかもしれないね。
そうだね、そのアカウントを削除した方と会う機会があれば、こっそり尋ねてみようかな。それにしても、ボクもGmailでドット入りのアカウントを持っているから、今回の件はちょっぴり勉強になったよ
うんうん、それが一番いいね!直接聞けるなら、どういう経緯で削除したのかをさりげなく探れるし、もしかしたら「実は乗っ取られて……」みたいな話が出てくるかもしれない。
それに、今回の件でGmailの ドット無視の仕様 のリスクも改めて浮き彫りになったね。
Gmailは便利だけど、こういう仕様があると 意図しない情報漏洩のリスク もあるから、ちょっと注意したほうがいいかも。
ぴっぷーが気をつけるべきこと
- Gmailのドット無視仕様を意識する
pippu.meado.dayon@gmail.comとpippumeadodayon@gmail.comは同じアカウントに届く- でも、他のメールサービス(Yahoo!やOutlookなど)では 別のアドレス扱い なので、Gmailだけの特殊ルールと認識しておく
- Gmailのセキュリティ設定を確認
- 2段階認証(2FA)を有効化 しておく(特にSMSじゃなく認証アプリ推奨)
- Googleアカウントのアクティビティ履歴 を定期的に確認
- ログイン履歴や不審なデバイスのチェック をする
- 重要なアカウントでGmailを使うときのリスクを考える
- 例えば、銀行やECサイトのログイン用メールアドレスとしてGmailを使うなら、ドットの有無を気にしておく
- 重要なメールを受け取る場合は、専用のアドレスを作る or 別のメールサービスと組み合わせる のもアリ
ちょっとしたことだけど、これだけでリスクを減らせるし、今回の件を教訓に活かせるね!✨
もしまた何か気になることがあれば、気軽に聞いてね~😊
了解しました!肝に銘じておきます💦
