オンラインストアのAmazon.co.jp(運営:アマゾンジャパン 東京都渋谷区。以下、Amazon)から、利用者の個人情報を引き出すことができるとして、ネット上で大きな騒ぎとなっている。
Amazonでは、「プレゼントしてほしい物」を周囲の人に知らせる「ほしい物リスト」(旧称ウィッシュリスト。8日に改称)というサービスが用意されている。リストはデフォルトで誰でも見られる「公開」状態で、「ほしい物リストサーチ」に名前やメールアドレスを入れて検索することも可能だ。(現在、検索機能は利用できない状態となっている)
リストが検索可能だということは、以前から知る人ぞ知るという状態だった。ところが、8日の改称によってこの機能に関心が集まり、自分や知人、有名人の名前やメールアドレスを入れてみる人が続出。結果、このリストを公開状態にしたまま「いつか買いたい物」「興味がある物」のメモ代わりに使っていた人について、名前、メールアドレス、リストの内容が引き出される事態となってしまった。
Amazonでは、医薬品、衣類、アダルトグッズまでも扱っている。検索機能は12日夜から停止しているが、それまでの間に、他人に知られたくない自分の体調、下着のサイズ、趣味や嗜好まで衆目にさらされてしまった人もいるだろう。それらのデータがGoogleのキャッシュに残っている可能性もある。
また、ブログなどで公開されていたアドレスを検索し、表示された本名らしき名前を掲示板に書き込む、という行為もみられた。さらに、検索で「*」も使えたため、「*ドメイン名*」などと検索して個人情報を大量に集めた業者もいたかもしれない。
Amazonでレビューを公開しており、[ほしい物リスト」が公開状態になっている人は、検索機能が停止している状態でも注意が必要だ。ニックネームでレビューを書いている人でも、名前の部分をクリックして「プロフィール」ページを開き、「ほしい物リスト」へのリンクをクリックすると、本名と思われる名前(場合によっては住所も)が表示されているケースが多々ある。もちろんリストの中身も丸見えだ。
今回、情報漏れの「被害者」が出てしまったのは、リストの機能に関する説明が不十分なところに、リストが「デフォルトで公開、検索可能」だという仕様と、リストに表示される名前がデフォルトでAmazonのアカウント名(登録名)だったことが重なったためと言えるだろう。Amazonでアカウントを作成するときには「氏名」の入力を要求されるため、素直に本名を入力して、アカウント名として登録してしまった人が多いと思われるからだ。(実際は、ニックネームで登録することも可能)
「ほしい物リスト」は、「公開」「特定の人に公開」「非公開」を選択できる。非公開にしたい時は、「ほしい物リスト」ページの「設定内容を変更する」をクリックし、設定変更ページから変更が可能だ。リストに表示される名前をニックネームなどに変更することもできる。「ほしい物リスト」を作成している人は、設定を早急に確認するようおすすめする。また、アカウント名を変更したい時は、ページ上部の「アカウントサービス」ボタンから、登録内容を確認、変更できるページへ行ける。
(2008/03/13 ネットセキュリティニュース)
■ Amazon.co.jp
http://www.amazon.co.jp/