大半のActivityPub実装にはコントロールパネルに自分(管理人)のメアドを入れる欄があります。
愚かな私はここに自分のドメインのメアドを入れていました。今回はこれが原因で警察沙汰になりかけているというお話です。
そもそもの話
ここで設定したアドレスは認証なしで見れるAPIで公開されるだけでなく、連合先にもばら撒かれます。
だいぶ前はTutanotaのアドレスを設定していたのですが、迷惑メールが来たことがほぼなかったためいつからか自分のドメインのアドレス(メイン受信箱へのエイリアス)を設定するようになりました。admin[at]example.comみたいなやつです。
何が起こったのか
2024/2の中旬~下旬ごろからMisskeyやMastodonサーバーを標的にしたスパム攻撃が続いています。
でその一環としてどこかのアホがbotで収集した(と思われる)管理人のメールアドレスを、全く関係のない会社の問い合わせフォームに送る爆破予告の名義として使うというなんとも馬鹿げた攻撃が行われるようになりました。
自分のドメインの自分のメアドが爆破予告の名義として使われている訳です。
何が困るのか
考えられるリスク一覧
- 馬鹿正直に名義を信じた警察から怒られる or 声がかかる
- メールサーバーを管理しているZohoに警察からお達しが行きZoho経由で怒られる
- 同じアカウントでメインアドレスをホストしているためアカウントに何かあるととても困る
- ドメインの所有者として怒られる or 声がかかる
- 別に自分専用のアドレスであって誰に使わせてるとか捨てアドレスサービスをやってるとかではないけど果たしてそこまで理解してくれるのか
対応
これは現在進行形の作業ですが、メインのアドレスを自分のドメインのアドレスではないどっか別のアドレスに変更しています。流石にここまで悪用されたアドレスをメインにするのは怖すぎます。
次に管理人アドレスとして設定するアドレスを非公開にしたり、どうしてもメールアドレスの公開が必要な場合はSimpleLoginやらFirefox Relayやらで生成したエイリアスにしたりしました。
そもそもこの時代になってメールでの問い合わせにこだわる必要性もなくDiscordの連絡先とか貼っておくのもありだと思う。問い合わせる側も多分そっちの方が楽だしね。
最後にここまで悪用されているのは流石に怖いので警察(#9110とか)に一報入れることにしました。電話かけたけど夜間混んでて繋がらなかったので最寄りの警察署に行くなり別の時間帯にかけるなりしないといけない。非常にめんどくさいですが仕方ありません…
言いたいこと
- 自分のドメインのアドレスを全世界に公開するのは相応の覚悟を持ってやるべき
- 別にメアドに限らず公開サーバーをやるときは警察とバトルする覚悟を持たないといけないのかもしれない
- 今からでも入れる汎用弁護士特約付きの保険を探しています
- (いうまでもないけど)悪用してる側は普通に犯罪行為なので今すぐやめろ