2010-11-25

Old New Thing: 自前のメール鯖なんて使うわけないだろ

But who's going to set up their own email server? - The Old New Thing - Site Home - MSDN Blogs

昔、まだマイクロソフトのメアドが!を含んでいた頃、マイクロソフト社員の給与明細や保険などの社員情報をオンラインで閲覧、更新するための内部ツールが開発された。ペーパーレス会社へようこそ!

僕の友人は、ツールの説明に、奇妙な一文があるのに気がついた。「プログラムを実行する前に、メールサーバーにログオンした状態にしてください」

「妙だな」と友人は思った。「メールサーバーに接続するのに、何の意味があるんだ。このツールはメールを使わないじゃないか」

友人はたまたま、マイクロソフトのメール製品のテスターであったため、ある実験を試みた。友人は自前のメールサーバーを立ち上げ、billgという名前のアカウントを作った。そして、そのメールサーバーに接続した状態で、ツールを走らせた。

ようこそ、ビルゲイツ様。あなたの社員情報の一覧です。

「おいおい」と友人。「こいつァ、ひでぇ、セキュリティホールだな」。ツールはどうやら、メールサーバーに、「ヘイ、お前は誰としてログインしているんだい?」と訪ねているようであった。その答えは、ツールを実行している者であるという前提である。サーバーは何でもいいのだ。

友人は人事部の部長にメールを送り、この問題を知らせた。「このツールをすぐに利用停止すべきだ。誰でも、他人の個人情報を閲覧できるセキュリティホールがある」と。

人事部の部長からの返事は、あっけからんとしていた。「こちらの開発者が言うには、ツールはセキュアである。どうぞお気軽に社員情報をオンラインで更新してください」

この返事にムカついたため、友人はメールサーバーに新たなアカウントを作成した。人事部の部長と同じ名前のアカウントである。そののち、友人は別のメールを送った。

「貴殿の先の決定を御一考下さるべく申し上げます。貴殿の基本給はXXXドルであり、細君の名前はYyyyであります。ところで、ご子息の十歳の誕生日まで、ちょうど、あと一週間と相成りました。まさに来月であります。」

即座に返信が来た。「この問題を調査中です」

その後すぐに、ツールは、「メンテナンス」という理由で取り下げられた。

No comments: