ゲストアカウントのメンバーがモブログを利用できないか調べているうちに、モブログの設定によっては偽名投稿(SPAM投稿)される危険があることが判明しました。
偽名投稿をする人がココログのアカウントを持っている必要があるんですが、ココログプロ・複数ライター機能のゲストライターとして招待されたときに作られるゲストアカウントも含みます。(すでにゲストライターを解除されていても、アカウント自体は残ります)
また、もう一つの条件として、投稿先のココログで、[コントロールパネル]→[プロフィール]→[モバイル設定]→[3.あなたが投稿したメールであることを確認する方法を選択する]が、「確認メッセージを受信/送信する」(デフォルト)に設定されている場合です。
で、やり方ですが、
1)偽名投稿者が自分のプロフィールで設定しているメールアドレスから、モブログを送信する要領で[email protected]宛に投稿記事を送信する。
2)すると[email protected]から、
Subject(件名): Confirm: *****という確認メールが、投稿者メールアドレスに送られてくる。
本文: このメールをそのまま返信してください。うんぬんかんぬん…
3)投稿者が送信元アドレスを投稿先ココログで公開されているサイトオーナーメールアドレス(当然のことながら、プロフィールページはなくても、「メール送信」リンクからもわかる)に詐称(技術的には難しいことではない)して、Subject欄に先の「Confirm: *****」を記入して、再び[email protected]宛に送信する。
4)サイトオーナーメールアドレス宛に、
Subject: 投稿しました。ありがとうございます。が、送られて、偽名投稿完了。(データ上はサイトオーナーが投稿したことになっています)
これはきのうの出来事さんが検証されているように、モブログがモバイル設定したアドレスだけでなく、プロフィールで設定しているメールアドレスにも適用されることが一因としてあります。このこと自体は、便利なのですが。
また、うちのテストで判明したことで、モブログの認証方法が、
1)一度目の送信では、送信元アドレスがいずれかのココログアカウント上に存在するかどうかを確認して仮投稿を受け付ける。
2)二度目の送信で、確認メールの返信元アドレスを元に仮投稿された記事の投稿先、および投稿者名を決定する。この際、最初のメールとアドレスが同じである必要はない。
という仕組みになっているために、偽名投稿が可能になってしまうようです。
ある程度、条件が揃わなくてはいけないとはいえ、ココログのサイトオーナーは、モブログを使用する/しないにかかわらず、[3.あなたが投稿したメールであることを確認する方法を選択する]を、「秘密のメールアドレスを使用する」に変更しておいた方が無難だと思います。
コメント