オンラインストアのAmazon.co.jp(運営:アマゾンジャパン 東京都渋谷区。以下、Amazon)から、利用者の個人情報を引き出すことができた問題では、Amazonの説明不足と、「ほしい物リスト」がデフォルトで公開状態、検索可能だったことが大きな原因となっている。これに加え、もう1つ、注意しなければならない点がある。
「友達にほしい物リストについて知らせる」という機能を悪用したトラップ(罠)が作成され、掲示板などに仕掛けられているのだ。このトラップは、Amazonにサインイン(ログイン)している人が悪意のあるリンクをクリックすると、その人の名前とメールアドレスを含むメールが、悪意のある人が指定したアドレス宛てにAmazonから送信されてしまうというもの。「ほしい物リスト」を作っていなかったり、非公開にしている人でも、サインインしている状態なら、名前とアドレスが漏れてしまう。また、トラップはサイトに埋め込むことも可能で、サイトにアクセスするだけで名前とアドレスが漏れる、という事態もありうる。
Amazonでは、アカウントを作成すると、サインアウト(ログアウト)の操作をするかcookieを消さない限り、ずっとサインイン(ログイン)している状態が続いてしまう。サインアウトさえしておけばトラップの被害にあうことはないのだが、サインアウトの仕方はヘルプを見ないと分からず、また、どういう状態がサインインしている状態なのかを知らない人も多いだろう。
Amazonにアクセスしたときに、「こんにちは、XXXXXさん」と表示されていたら、サインインしている状態だ。XXXXXというのがあなたのアカウント名である。サインアウトするためには、「もしあなたがXXXXXさんでない場合、サインインしてください」という部分をクリックし、そのまま「ようこそ」タブをクリックしてホームに戻るという操作が必要。サインアウトが完了すると、XXXXXという名前は表示されなくなる。
今回、多数の人の情報が引き出される状態だったことから、「ほしい物リスト」に関する説明が不十分であったことは明らかだ。利用者の安全を十分に配慮せず、個人情報を含むリストがデフォルトで公開状態とされていたことは、システムの欠陥といってもいいだろう。また、サインアウトの仕方も、すぐ分かるところに表示されていない。それに加え、個人情報を含むメールが事前の確認なしに送られてしまう仕様や、POSTすべきことがGETで動作してしまうという点もお粗末だ。Amazonには、これらの点を早急に改善することが求められている。
(2008/03/13 ネットセキュリティニュース)
■ Amazon.co.jp
http://www.amazon.co.jp/