緊急!amazon.co.jpをご利用の皆様へ:個人情報漏洩回避
2008 年 3 月 12 日 11:39

以前から懸念されていたamazon.co.jpにおいて『ほしい物リスト(旧ウィッシュリスト)』を悪用した個人情報の漏洩が表沙汰になっております。表沙汰ってのは大袈裟ですが、一般に広く知られるようになりましたので、新たな被害が頻発する前に回避&対策法を記載。まず緊急に↓の文字列はトラップリンクなので絶対に踏まないようにして下さい。

http://www.amazon.co.jp/gp/registry/send-nudge.html?ie=UTF8&type=wishlist&__mk_ja_JP=&list-type=wishlist&recipients=【トラップリンクのメールアドレス】&submit=submit

★上記トラップリンクの説明
ウイルスではありませんが、amazon.co.jpにサインイン(ログイン)した状態でこのリンクを踏むと【トラップリンクのメールアドレス】宛てに『登録アカウント名』『登録メールアドレス』『ほしい物リスト(旧ウィッシュリスト)』が送信され、個人情報が漏洩します。
*試しに【トラップリンクのメールアドレス】の部分を自分のメールアドレスに変更後、使用中のブラウザのアドレス欄にコピペ→『Enter キー』→メールチェックしてみて下さい。自分のメールアドレス宛てに『●●さんからのお知らせ – Amazon.co.jpのほしい物リストについて』という件名(サブジェクト)のメールが届いているはずです。そのメールの中身には前記した3つの情報が記載されているはずです。リスト業者やスパムメール、ワンクリ詐欺、悪質セールス等の対象になりますので対策&回避して下さい。

☆回避方法
まずは、トラップリンクを踏まないことですが、それだけでは十分ではありません。簡単なHTMLの知識さえあれば、Webサイト内にトラップリンクのスクリプトを埋め込むことが可能ですので、そのような悪質なWebサイトのページを読み込んだだけで自動的に【トラップリンクのメールアドレス】宛てに個人情報が送信されます。また、ソースを読める人でも『URL短縮サービス + トラップリンクスクリプト』でやられた日にはかなり痛い・・そんな理由ですので、amazon.co.jpで買い物した後は必ずページ上部にある『サイイン』をクリック後、ログアウトすることを心掛けて下さい。そうすればこのトラップに引っ掛かっても大丈夫・・だと思います。どのようなWebサイトでもログイン→使用後→ログアウトは面倒でも鉄則です。その前後のブラウザのキャッシュや履歴消去も心掛けて下さい。尚、周囲が赤く縁取られている画像のみクリックで大きな画像が開きます(別Window)。

【アウトな例】サインイン(ログイン)した状態でトラップリンクを踏むと下記画像のようになり・・手遅れです。
08-03-amazon_02.gif

【セーフな例】サインアウト(ログアウト)した状態だと下記画像のようにサインイン(ログイン)を促す画面になるので、この状態でサインインしなければ回避出来ます。
08-03-amazon_03.gif
前記しましたが、amazon.co.jpで買い物をする前後は念のためブラウザのキャッシュや履歴を消去しておくのは基本です。他の漏洩されると困るWebサイトでも同様。

次に『ほしい物リスト(旧ウィッシュリスト)』自体を悪用した個人情報漏洩の問題。

★『ほしい物リスト』関連の説明
『amazon.co.jp内のこの検索ページ』等からメールアドレスや名前(アカウント名)を入力すると、対象者の『ほしい物リスト(旧ウィッシュリスト)』が閲覧出来ます。どこかのWebサイトでメールアドレスを公開している方々、mixi等SNSやその他Webサイトに本名で登録している方々、その他何かしら心当たりのある方々は要注意。
08-03-amazon_04.gif
例えば上記検索窓で名前欄『●』+『任意の県名』検索で任意の都道府県の『ほしい物リスト』公開者一覧、『任意の県名』を●●●(あまりに危険なので伏せ字)にすると詳細な住所(『ほしい物リスト』に住所を記載している人)一覧まで閲覧可能になります。その他、任意のメールアドレスをワイルドカードで検索する等も可能です。こちらもリスト業者やスパムメール、悪質セールス等の対象になりますので早急に対処しましょう。

また、Googleの検索窓に『site:http://www.amazon.co.jp/(危険なので後半の文字列は削除)』を入力すると同様に閲覧可能になります。また『site:http://www.amazon.co.jp/(危険なので後半の文字列は削除)●●●』(●●●は任意の商品や作品、アーチスト名)でググると、任意の商品を『ほしい物リスト』を公開しているユーザーの名前(アカウント名)一覧が表示されます。つまり、個人情報抜き放題。これは『ほしい物リスト』の基本仕様が公開可になっているからです。『ほしい物リスト』や本名を全世界に発信したくない方々は即時対処しましょう。

☆対処方法:『アカウント名』の変更。
まず最初に一番怖いのが自分の本名や住所が全世界に向けて発信されることですので、アカウント名の変更を行って下さい。(アカウント名を変更しても購入には差し支えありません)
手順として、ブラウザのキャッシュと履歴を消去→サインイン→『アカウントサービス』(ページ右上)→『アカウント設定』→『名前、Eメールアドレス、パスワードを変更する』→『新しい名前』で他人が分かり難い名前に変更する。(このページで名前の変更を行っても購入には影響ありません)
08-03-amazon_06.gif

変更後、ページ左上のタブから『ようこそ』のページに飛び確認。↓の赤丸部分(アカウント名)が変更されていたら成功です。
08-03-amazon_06_2.gif

☆対処方法:『ほしい物リスト』を非公開にする。
まず下記画像のように『非公開』と表示されていれば無問題ですが、一応確認しておきましょう。
08-03-amazon_07.gif

ブラウザのキャッシュや履歴と消去→サインイン→『ほしい物リスト』(ページ右上)→『リストを管理する』(ページ左中央辺り)→『設定内容を変更する』(リストを削除しても構わない人は『リストを削除』)→『ほしい物リスト』の設定を『非公開』、若しくは『特定の人に公開する』に変更→『ほしい物リストのプロフィール』にある『名前』の変更、他は空白。(このページのメール欄は未記入でも購入には差し支えありません)→『お届け先の設定』で『お届け先を指定しない』にチェック(このページの住所欄は指定しなくても購入には差し支えありません)→『設定を保存』→サインアウト→ブラウザのキャッシュや履歴と消去。

今件の『ほしい物リスト』自体には何ら悪意はなく、一種のコミュニケーションツールだった筈ですが、悪用方法が一般に広く認知された時点で危険度が非常に高いプログラムとなってしまっています。今件に関し、amazon.co.jpも既に察知していると思われますので、早急に対策が施されると考えますが、念のため今回の対処方法や各Webサイトを参考に各人で対処して下さい。また、今後はアカウント名を詐称し本人に成りすましての個人情報の漏洩や『大変恥ずかしいほしい物リスト(特に、本日以降リストアップされた怪しげな商品は悪戯の可能性が高いので疑ってかかったほうが良いかもです)』などを公開する等の悪質な悪戯が想定されますので、十分にご注意下さい・・更には同姓同名で恥ずかしい趣味の人の『ほしい物リスト』が大公開されている方々、お悔やみ申し上げます。この件を含め、amazon.co.jpには早急な対応を望みたいところです。

・・まずは『ほしい物リスト』への一時的なアクセス禁止とGoogleと連携し該当キーワードでの検索&結果表示を不可にするという2つが急務か・・・そんで、その後『ほしい物リスト』の非公開を標準とし、各セキュリティーホールを塞いだりアレやコレや仕様変更とかやればいいわけだし・・内部的な修整だけでも大変なことになりそう。(←仕様変更は大掛かりになるものと思われます・・既に関係SEやプログラマのデスマ始まってるかも)

尚、このエントリーは2008年3月12日11時現在の情報です。また今回のエントリーを参考にした各種対処法で起こった不具合やパスワード忘れ等は一切感知致しません。あくまで責任自己責任で行って下さい。悪しからず。&急ごしらえのエントリーなので画像、文体がいつもより荒いと思われますが、その点もご了承下さいませ。

  • http://record-radio.net/MT/archives/2008/03/amazoncojp.php

ホーム > ブログトップ > お知らせ > 緊急!amazon.co.jpをご利用の皆様へ:個人情報漏洩回避

SEARCH
フィード
    カレンダー
    « 2008 年 3月 »
    M T W T F S S
              1 2
    3 4 5 6 7 8 9
    10 11 12 13 14 15 16
    17 18 19 20 21 22 23
    24 25 26 27 28 29 30
    31