canadieの日記

2016-01-25 「Amazonの個人情報や購買情報は流出している」はマジでした。

結果から先に書くと、即答に近い形で個人情報が漏れた。購買情報に関しては聞いてもないのに勝手に教えてくれた。

予想より反響が大きかったので文末にgmailを使った対策を追記した。

なお、米Amazonと同様、数日遅れて問い合わせ内容についてのメールが来たので追記しました。

Amazonカスタマーサービス経由でアカウント情報が流出したことが判明 - GIGAZINE

http://gigazine.net/news/20160125-amazon-customer-service-backdoor/

こーんな記事があったものだから、嘘くせえと思って実際に(英語めんどくさいので日本の)カスタマーサービスチャットで問い合わせてみた。いうまでもなく、ソーシャルエンジニアリングクラックの基本である。セキュリティにうるさいAmazon社がこんなにザルなわけがないと思ったからだ。

なお、ニセの住所は他人に迷惑がかからないよう、また違法とならないよう配慮した(Amazon側にも適法な行為である旨、確認した)。この方法では、以下のような被害が想定される。対策は文末に述べる。

想定される被害(コメントで頂いたものも含みます。ありがとうございます)

このことから以下のような被害が想定される。

  • 住所を知っている知人などに購買情報を監視される
  • 同窓会名簿などから入手した実家の住所を使って現住所を窃取される
  • 配送先に勤め先を登録していて、同僚や勤め先を知っている人に住所や購買情報を窃取される
  • ストーカーから逃れるため引っ越したが、引越前の住所を使って引越後の住所を窃取される(旧住所を配送先から除くことで対策可能)
  • 滞在先のホテルや民宿を配送先にし、位置情報SNSなどから漏れたホテル名等から住所や購買情報を窃取される

Amazon(JP)のカスタマーサービスチャット機能)を利用して個人情報が窃取できるか試してみる

さてまず、Amazonからログアウトし、

https://www.amazon.co.jp/gp/help/customer/contact-us/

ここから「アカウントを持っていない」と申告した上でチャットに接続した。用件は「配送について」。

さすがに問い合わせ内容からして途中からレスポンスががくんと遅くなったが、数分と待たなかった。既に同様の問い合わせがあったのかも知れないし、ある程度権限を持っているサポート係が途中から入れ替わったのかも知れない。また、人を試すような失礼な問い合わせに対し、真摯な態度で応対してくれたカスタマーサービスの方には感服したことは付け加えておく。

以下はチャットの問い合わせ内容のログである。ログを取った後に固有名詞を編集し、冗長な部分をカットしたが文意がどちらかに有利になったりしないように配慮して部分的な編集に留めるよう配慮した。

チャットログ

匿名:お問い合わせいただきありがとうございます。Amazonカスタマーサービス匿名でございます。

お客様:最後に購入した荷物配送済みになっているか教えてもらえませんか

匿名:かしこまりました。
それでは、お客様のアカウント情報を確認致しますので、3点程、ご協力をお願い致します。
(1)アカウントにご登録のお名前(2)Eメールアドレス(3)ご住所 を教えてください。

お客様:名前:本名晒夫、 Eメール:canadie@example.com、 住所:『登録済みの「他人の」住所』

匿名:情報をお知らせいただき、ありがとうございます。
恐れ入りますが、canadie様のアカウントでの最終注文は1月21日付のデジタル書籍『えっちな漫画のタイトル』のご注文となっているようです。

(……いや、タイトルまで教えなくてもいいよね、電子書籍ですよって言えば)

お客様:電子書籍ではなくて、物理的な荷物の方です

匿名:物理的なお荷物で採集は1月18日の『 個人的な商品 400g』、『 とても個人的な商品 3個入 』、『 わりと個人的な商品 ベージュ 』となり、
[運送会社名]にて1月22日に配達済み
となっております。

(……届いてるかどうかだけ聞いてるんですど。じゃ本題にいきますか)

お客様:おかしいですね
配送先はどこになってますか?-

匿名:お届け先は、〒xxx-xxxx ###canadieの本当の住所。アパート名と部屋番号付き###となっております。

(書いた! ウソの住所しか教えてないのに実の住所をあっさり書いた)

お客様:ここから先のチャットは記録して下さい。
すべて記録しているでしょうけれども。

匿名:はい、チャット記録は全て残っておりますので、ご安心ください。

〜〜〜 ここでcanadieの問い合わせに違法性がなかったか念のため確認 〜〜〜

匿名:はい。(注:違法性はないですとの回答)

お客様:さっきお教えした住所は、配送先に指定している住所です。つまり私の親戚、友人、ネットで知り合った赤の他人の住所かも知れません。
本名からメールアドレスFacebookで公開しているので誰でも参照可能です。ここで私に落ち度がないか確認したいのですが。

匿名:はい、canadie様の仰るとおり、上記の情報は当カスタマーサービスでのアカウント確認の基準で言えば、いずれも満たしている状況でございます。

お客様:ということは、私の名前を知っていて配送先に指定されている赤の他人であれば、私の住所や購買情報などが筒抜けになってしまうということになりますが、間違いありませんか。

匿名:確かにカスタマーサービスチャット、あるいはお電話にて連絡いただいた場合、本人確認として用いる情報を第三者が知り得ていれば、知れてしまう事となります。

お客様:ありがとうございます。電話の場合、記録は残りますか。

匿名:はい、電話の場合、通話記録を残しております。また、オペレーターがご案内した内容を事務連絡としてシステム上に記録として残しております。

お客様:ありがとうございます。
それでは以上の内容について、個人情報を取り扱う事業者として、どのようにお考えであるか、また、どのような対策を講じるか書面で頂きたいのですが、よろしいでしょうか。
宛先は先程の住所でよろしいです。

匿名:誠に申し訳ございません。当カスタマーサービスでは書面対応は承っておりませんので、ご登録のEメールアドレスへ回答を行わせていただく事となります。

お客様:それでは、Amazon社としての回答を頂けるのであれば電子情報でも構いません。
ただし、Amazon社の文章であることが確認できる電子署名等を添付してお送り頂ければです。

匿名:かしこまりました。

お客様:よろしくお願いします。
また、この会話記録を、匿名様のお名前を含む個人情報を削除し、タイプミスなどを修正し文意が変わらない形でネットに公開させて頂きますが構いませんでしょうか。

匿名:はい、その点は、お客様のご判断となりますため、当サイトにておとめする権限はございません。

お客様:ありがとうございます。以上となります。ご回答お待ちしておりますのでよろしくお願いいたします。

匿名:かしこまりました。
本日は、Amazon.co.jpにお問い合わせいただき、ありがとうございました。
それではこのままウィンドウ右上の「チャットを終了」から画面を閉じて、チャットを終了してください。

=== チャット終了 ====

追記

もう一度カスタマーサービスに今度はアカウントから接続し、配送先住所での本人確認はしないでほしい旨伝えたが、「調査中ですので回答をお待ち下さい」とのことだったのでAmazon用の登録メールアドレスを変更した(方法は後述)。

コメントで、アカウント名をニックネームにすると対策できる、と頂きました。この場合、ニックネームを秘匿すれば防げるということでしょうね。時間が取れるときに確認したいと思います。ありがとうございます。

Gmailの機能を使った対策方法

gmailであれば、例えば アカウント名@gmail.comの場合、アカウント名+password@gmail.com と「+」以降に任意の文字列を付随させても アカウント名@gmail.com の方に届くので、他人に推測されないメールアドレスが簡単に設定できる。

例:example@gmail.com -> example+pnyhmojh@gmail.com (どちらのアドレスもexample@gmail.comに届く。「pnyhmojh」はパスワード代わりの任意文字列)

Amazonよりメール

canadie様 (注:本当は本名)

Amazon.co.jpチャットにてお問い合わせいただき、ありがとうございます。

このたびは、当サイトのご利用に際し、canadie様にご心配をおかけしております事をお詫び致します。

先日、お問い合わせいただきました件(アカウント所有者を騙り、お問い合わせいただいた場合の対応)につきましては、現在、関連部署と連携を図り、対策を講じている状況でございます。

お急ぎのところ、大変恐縮ではございますが、回答をさせていただくまでにお時間をいただく見込みでございますため、今しばらくお待ちいただきますようお願い申し上げます。

Amazon.co.jp カスタマーサービス 匿名(注:←問い合わせの時と同じ人名)

ご利用ありがとうございました。

Amazon.co.jp



野獣先輩オンライン野獣先輩オンライン 2016/01/26 13:03 これ実は解決方法があるんですよ。アマゾンのアカウントに登録してる名前(アカウント名)をニックネームにするんです。

pinkpink 2016/01/27 18:47 初めまして。
気になったので質問させてください。
住所は自分がアカウントに登録している本当の住所か配送先にしている住所が第三者に知られていてそれを問い合わせのさいに使われた場合に本人確認が取れて盗み見されるんですよね?

最初に書かれていた同窓会名簿など知った実家の住所を使ってとはその実家の住所がアカウントに登録されている場合に本人確認が通るんですか?それとも登録されていないのに本人確認が通るんですか?

登録されていないのに本人確認が通るとは思えませんがちょっと分かりにくかったので質問させて頂きました。

canadiecanadie 2016/01/28 20:58 野獣先輩オンラインさん:
ありがとうございます。追記させていただきました。
pinkさん:
実家を配送先に登録していた場合に限ります。分かりにくくてすみません。時間のある時に編集させて頂きます。