お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

CNET Japan ブログ

まだあるかも「Amazonの個人情報ダダ漏れ」問題

2008/06/06 22:22
  • このエントリーをはてなブックマークに追加

プロフィール

寺本由美子

本名とタイトルのペンネームが異なっているのはご愛敬(話せば長~い物語あり)。IT系の話題からゲームのレビューまで、自由気ままに発信します。iPadやiPhoneなど、大好きな電脳小物についても熱く語りたいですね。Twitterにも出没中。ブログへのコメントも、@kirifue へどうぞ。
ブログ管理

最近のエントリー

「ほしい物リスト」による個人情報流出問題がいろいろ取り沙汰されたAmazonですが、いまだに問題点(ツッコミどころ)が残っているようです。

So-netの「セキュリティ通信」によると、3月13日の時点で以下のような脆弱性が存在していました。

「友達にほしい物リストについて知らせる」という機能を悪用したトラップ(罠)が作成され、掲示板などに仕掛けられているのだ。このトラップは、Amazonにサインイン(ログイン)している人が悪意のあるリンクをクリックすると、その人の名前とメールアドレスを含むメールが、悪意のある人が指定したアドレス宛てにAmazonから送信されてしまうというもの。「ほしい物リスト」を作っていなかったり、非公開にしている人でも、サインインしている状態なら、名前とアドレスが漏れてしまう。また、トラップはサイトに埋め込むことも可能で、サイトにアクセスするだけで名前とアドレスが漏れる、という事態もありうる。

これは「ぼくはまちちゃん!」が「本名吸い取り機」として公開し警告しているものと同じく、XSS(クロスサイトスクリプティング)のセキュリティホールを攻撃したトラップかもしれません。だとすれば、現在は無効になっているようです。ではこれで絶対安全なのかというと、そうとも言い切れないところが辛い。ネットサービスに脆弱性はつきものという前提に立って、ユーザーは自己防衛手段を講じるべきだと思います。

クッキーを悪用されないようログアウトするには

具体的には、買い物をする間だけAmazonにサインインしていればOKです。逆に言うなら、用が済んだらとっととログアウト(サインアウト)しろってこと。ところが[ログアウト]のボタンがどこにも見当たりません。これが第一の問題点です。以前からユーザーに指摘されながらも一向に改善されないのは何故なんでしょう(ていうか、これはもう「ポリシー」としか思えないです)。

「セキュリティ通信」にはログアウトの方法が載っていますが、確認してみないと気が済まないタチなので、まず[ヘルプ]から「ログアウト」の方法を探してみることにしました(サイトデザインが変わって変更になった箇所も多々ありましたから、この作業は無駄ではなかったです)。

[ヘルプ]の「キーワードサーチ」で「ログアウト」を入力して検索すると、「安全なオンライントランザクション」と「プロマーチャントについて」の2ページがヒットします。後者は関係ないので、前者の内容を確認してみましょう。
「安全とセキュリティのヒント」として「購入・出品者のご注意:パスワードの保護」の項目に、以下の一文を見つけました。

公共のPCや端末を利用する場合には、オンラインショッピング終了後は必ずログアウトしてください。

しかしながら、肝心の「ログアウト」の方法が載っていません。ちなみに、これはAmazonマーケットプレイス利用時における注意事項であり、Amazonでショッピングする場合を想定したものではありませんでした(セキュリティによほど自信があるのでしょうか)。

さらに探したところ、「ログアウト」ではなく「サインアウト」という言葉が使われている箇所を見つけました。
「サインアウト」のヘルプページへは、[ヘルプ]>[ アカウントサービス]>[サインアウト]でアクセスできます。

Amazon.co.jpからサインアウトするには、ヘルプページ右上に表示されている「現在サインインしているアカウント:XXXXXさん|サインアウト」の「サインアウト」のリンクをクリックしてください。サインアウトした後は、アカウントの名前はページ右上に表示されません。

ええっ? ヘルプページにそんな表示は無いのですけど…。
ああ、これは注文履歴を見たり登録内容の変更ができる、いわゆる「アカウントサービス」からの「サインアウト」のことなのかな? 試しにヘルプページから「アカウントサービス」にサインインしてみたところ[サインアウト]のリンクが表示されました。
(そういえば以前、念のため「ほしい物リスト」を非公開にしようとしたときにも[非公開]のリンクが見つからなかった覚えがあります。「ほしい物」を登録しないとリンクが表示されないシステムでした。つか、分かりにくすぎっ!)

ちょっとややこしくなったので、言葉を整理しておきましょうか。

 ログアウト :通常サービス(ショッピングやレコメンドサービス)からの脱出
 サインアウト:アカウントサービス(注文履歴や登録内容の管理サービス)からの脱出

…と語句が使い分けられているのかと深読みしたのですが、そういうわけでもないみたい(何度も混乱させてスミマセン)。しくみとしては「アカウントサービス」に入るときにEメールアドレスとパスワードで認証し、「アカウントサービス」を抜けた状態でもブラウザに保存されているクッキーによってアクセスした者を特定しています。仮に、この状態を「ログイン状態」とでも呼ぶことにしましょう。
にしても、ヘルプ内で語句が統一されてないって、どゆこと?

ヘルプページから[サインアウト]をクリックすると「アカウントサービス」だけでなく、通常のショッピングページの「ログイン状態」からも抜けてしまいます。まさにこれこそが望んでいた機能なのですが、なんだか妙に紛らわしい。せっかくサイトデザインを新しくしたんだから、トップページからサインアウトなりログアウトなりを一発でできるようにすればいいのに…(「ポリシー」なんでしたっけ?!)。

揚げ足取りばかりしていてもしょうがないので「ヘルプページ」以外での「ログイン状態」からの脱出方法を書きます。

ページ上部に表示されている「本人でない場合はこちら」のリンクをクリックすると「サインイン」のページになるので、左上にある「Amazon.co.jp」のロゴからトップページへ移動。

あ、なんか、文章で読むと面倒そう。[ログアウト]のボタンが無いとやらんな、これは。やってみれば簡単なんですけどね。(追記:もちろんトップページに移動しなくてもログアウトしています)
それに「本人でない場合は」と言われてもー、間違いなく本人なんですもん。

Amazonのサービス自体は先進的で利便性もあるのに、イマイチかゆいところに手が届かずもったいないです。

アマゾンジャパンは顧客の安全を最優先すべき

私はAmazonに批判的な記事ばかり書いているように思われがちですが、決して嫌いなわけではありません。Amazonのすごいところは縁の下の力持ち的な物流に重きを置き、ロングテールを確立したことだと思います。その品揃えはどんなに大きな書店でも実現不可能なレベルで、これまで眠っていた需要を掘り起こしました。現在では、世界中の人々がこの恩恵に浴しています。まあ、それだけなら他のインターネット書店でも真似できる範囲かもしれませんが、独自のレコメンデーション機能やユーザー自身によるレビュー投稿を採用して、単なる書店に留まらない本のポータルサイトとして発展を遂げてきました。アフィリエイトサービスにも力を入れ、あまたのブロガーがこぞってAmazonへの商品リンクを自分のページに張るようになってからというもの、その影響力は増大する一方です。4月からは法人向け出店サービス「マーチャント@amazon.co.jp」の物流受託も開始しました(お金さえ払えば、ちゃんと「倉庫」にもなるんです)。Amazon EC2の仮想サーバサービスからも目が離せません。個人的に物欲をそそる「Kindle」の発売も、Amazonだからこそできること。

物流を土台にした、ネット上での新サービスや新ビジネスの発想力と行動力では右に出るものはいません。守るべきところはガッチリ守り、攻めるべきところはガンガン攻めに出るという戦略は、日本企業にも大いに参考になると思います(そのまま真似すればいいってもんではありませんが)。法人や個人ユーザーといった利用者の立場なら、積極的においしいところをツマミ食いするもよし、すべてをAmazonに委ねるのもよし。
理屈はともかく、私も娘も Amazon.co.jpのサイトをチェックするのが大好きです。
(その証拠に、ショッピングカートの「後でご注文いただけます[通称:物欲の沼]」には 136個もの商品が放り込まれてます)

ただ、気になるのは、リテラシーの高いユーザーはたくさんある便利なサービスを使いこなせるけれども、そうでもないフツーのお客さんにとってはまだまだ不親切だということ。と言っても、くどくどと説明をしたり、やみくもに機能を増やせばいいってもんじゃありません。むしろもっと簡潔な表現やインタフェースが効果的なのではないでしょうか。企業規模の拡大と発展を目指すより前に、一般のお客さんの立場に立った決め細やかなサービスを実現してほしいものです。
(例えば「後でご注文いただけます[通称:物欲の沼]」に沈んだきり浮かんでこない商品の「選択削除機能」とか…。あまりに多過ぎると何があるのか見渡せなくなり、せっかくの「後で注文」の機能が死んでしまいました xx)

脆弱性が存在するのはWebシステムの宿命みたいなもので仕方ないことですが、こっそりと機能を削ったり、気づかれないうちに修正してしまうのではなく、ユーザーが不利益を被るようなインシデントが明らかになった段階で情報を開示して注意を喚起するべきです。これが第二の問題点です。Amazon側でいくらすばやくセキュリティホールを潰したとしても、被害は発生している可能性があります。また、対処済なことすら我々ユーザーには分かりようがないのですから。

「何よりも顧客の安全を最優先する」

これはネットショップやオンラインバンクに限らず、すべての企業の義務であり責任であると言えるでしょう。Googleと並ぶWebサービスの二大巨頭であるAmazonだからこそ、この点を肝に銘じてほしいのです。

 

ITmedia News 2008/03/12
Amazonの「ほしい物リスト」で本名や趣味がばれる? ネットで騒動に

So-net セキュリティ通信 2008/03/13
Amazonの情報漏れ問題(2)必ずサインアウトを!その方法とは

ぼくはまちちゃん! 2006/05/18
本名吸い取り機 (AMAZON XSS)

ITpro 2008/04/14
アマゾンがECサイトの物流受託を開始、マーチャント@amazon.co.jp利用企業向け

※このエントリは CNET Japan ブロガーにより投稿されたものです。朝日インタラクティブ および CNET Japan 編集部の見解・意向を示すものではありません。
運営事務局に問題を報告

最新ブログエントリー