「Amazonの個人情報や購買情報は流出している」はマジでした。
結果から先に書くと、即答に近い形で個人情報が漏れた。購買情報に関しては聞いてもないのに勝手に教えてくれた。
予想より反響が大きかったので文末にgmailを使った対策を追記した。
なお、米Amazonと同様、数日遅れて問い合わせ内容についてのメールが来たので追記しました。
Amazonのカスタマーサービス経由でアカウント情報が流出したことが判明 - GIGAZINE
http://gigazine.net/news/20160125-amazon-customer-service-backdoor/
こーんな記事があったものだから、嘘くせえと思って実際に(英語めんどくさいので日本の)カスタマーサービスにチャットで問い合わせてみた。いうまでもなく、ソーシャル・エンジニアリングはクラックの基本である。セキュリティにうるさいAmazon社がこんなにザルなわけがないと思ったからだ。
なお、ニセの住所は他人に迷惑がかからないよう、また違法とならないよう配慮した(Amazon側にも適法な行為である旨、確認した)。この方法では、以下のような被害が想定される。対策は文末に述べる。
想定される被害(コメントで頂いたものも含みます。ありがとうございます)
- 配送先か住所、メールアドレス、氏名の3情報を知っていれば、他人であっても荷物の配送先と購買内容が分かる
このことから以下のような被害が想定される。
- 住所を知っている知人などに購買情報を監視される
- 同窓会名簿などから入手した実家の住所を使って現住所を窃取される
- 配送先に勤め先を登録していて、同僚や勤め先を知っている人に住所や購買情報を窃取される
- ストーカーから逃れるため引っ越したが、引越前の住所を使って引越後の住所を窃取される(旧住所を配送先から除くことで対策可能)
- 滞在先のホテルや民宿を配送先にし、位置情報SNSなどから漏れたホテル名等から住所や購買情報を窃取される
Amazon(JP)のカスタマーサービス(チャット機能)を利用して個人情報が窃取できるか試してみる
さてまず、Amazonからログアウトし、
https://www.amazon.co.jp/gp/help/customer/contact-us/
ここから「アカウントを持っていない」と申告した上でチャットに接続した。用件は「配送について」。
さすがに問い合わせ内容からして途中からレスポンスががくんと遅くなったが、数分と待たなかった。既に同様の問い合わせがあったのかも知れないし、ある程度権限を持っているサポート係が途中から入れ替わったのかも知れない。また、人を試すような失礼な問い合わせに対し、真摯な態度で応対してくれたカスタマーサービスの方には感服したことは付け加えておく。
以下はチャットの問い合わせ内容のログである。ログを取った後に固有名詞を編集し、冗長な部分をカットしたが文意がどちらかに有利になったりしないように配慮して部分的な編集に留めるよう配慮した。
チャットログ
- 匿名:カスタマーサービスの人
- お客様:canadie
匿名:お問い合わせいただきありがとうございます。Amazonカスタマーサービスの匿名でございます。
お客様:最後に購入した荷物が配送済みになっているか教えてもらえませんか
匿名:かしこまりました。
それでは、お客様のアカウント情報を確認致しますので、3点程、ご協力をお願い致します。
(1)アカウントにご登録のお名前(2)Eメールアドレス(3)ご住所 を教えてください。
お客様:名前:本名晒夫、 Eメール:canadie@example.com、 住所:『登録済みの「他人の」住所』
匿名:情報をお知らせいただき、ありがとうございます。
恐れ入りますが、canadie様のアカウントでの最終注文は1月21日付のデジタル書籍『えっちな漫画のタイトル』のご注文となっているようです。
(……いや、タイトルまで教えなくてもいいよね、電子書籍ですよって言えば)
お客様:電子書籍ではなくて、物理的な荷物の方です
匿名:物理的なお荷物で採集は1月18日の『 個人的な商品 400g』、『 とても個人的な商品 3個入 』、『 わりと個人的な商品 ベージュ 』となり、
[運送会社名]にて1月22日に配達済みとなっております。
(……届いてるかどうかだけ聞いてるんですど。じゃ本題にいきますか)
お客様:おかしいですね
配送先はどこになってますか?-
匿名:お届け先は、〒xxx-xxxx ###canadieの本当の住所。アパート名と部屋番号付き###となっております。
(書いた! ウソの住所しか教えてないのに実の住所をあっさり書いた)
お客様:ここから先のチャットは記録して下さい。
すべて記録しているでしょうけれども。
匿名:はい、チャット記録は全て残っておりますので、ご安心ください。
〜〜〜 ここでcanadieの問い合わせに違法性がなかったか念のため確認 〜〜〜
匿名:はい。(注:違法性はないですとの回答)
お客様:さっきお教えした住所は、配送先に指定している住所です。つまり私の親戚、友人、ネットで知り合った赤の他人の住所かも知れません。
本名からメールアドレスはFacebookで公開しているので誰でも参照可能です。ここで私に落ち度がないか確認したいのですが。
匿名:はい、canadie様の仰るとおり、上記の情報は当カスタマーサービスでのアカウント確認の基準で言えば、いずれも満たしている状況でございます。
お客様:ということは、私の名前を知っていて配送先に指定されている赤の他人であれば、私の住所や購買情報などが筒抜けになってしまうということになりますが、間違いありませんか。
匿名:確かにカスタマーサービスへチャット、あるいはお電話にて連絡いただいた場合、本人確認として用いる情報を第三者が知り得ていれば、知れてしまう事となります。
お客様:ありがとうございます。電話の場合、記録は残りますか。
匿名:はい、電話の場合、通話記録を残しております。また、オペレーターがご案内した内容を事務連絡としてシステム上に記録として残しております。
お客様:ありがとうございます。
それでは以上の内容について、個人情報を取り扱う事業者として、どのようにお考えであるか、また、どのような対策を講じるか書面で頂きたいのですが、よろしいでしょうか。
宛先は先程の住所でよろしいです。
匿名:誠に申し訳ございません。当カスタマーサービスでは書面対応は承っておりませんので、ご登録のEメールアドレスへ回答を行わせていただく事となります。
お客様:それでは、Amazon社としての回答を頂けるのであれば電子情報でも構いません。
ただし、Amazon社の文章であることが確認できる電子署名等を添付してお送り頂ければです。
匿名:かしこまりました。
お客様:よろしくお願いします。
また、この会話記録を、匿名様のお名前を含む個人情報を削除し、タイプミスなどを修正し文意が変わらない形でネットに公開させて頂きますが構いませんでしょうか。
匿名:はい、その点は、お客様のご判断となりますため、当サイトにておとめする権限はございません。
お客様:ありがとうございます。以上となります。ご回答お待ちしておりますのでよろしくお願いいたします。
匿名:かしこまりました。
本日は、Amazon.co.jpにお問い合わせいただき、ありがとうございました。
それではこのままウィンドウ右上の「チャットを終了」から画面を閉じて、チャットを終了してください。
=== チャット終了 ====
追記
もう一度カスタマーサービスに今度はアカウントから接続し、配送先住所での本人確認はしないでほしい旨伝えたが、「調査中ですので回答をお待ち下さい」とのことだったのでAmazon用の登録メールアドレスを変更した(方法は後述)。
コメントで、アカウント名をニックネームにすると対策できる、と頂きました。この場合、ニックネームを秘匿すれば防げるということでしょうね。時間が取れるときに確認したいと思います。ありがとうございます。
Gmailの機能を使った対策方法
gmailであれば、例えば アカウント名@gmail.comの場合、アカウント名+password@gmail.com と「+」以降に任意の文字列を付随させても アカウント名@gmail.com の方に届くので、他人に推測されないメールアドレスが簡単に設定できる。
例:example@gmail.com -> example+pnyhmojh@gmail.com (どちらのアドレスもexample@gmail.comに届く。「pnyhmojh」はパスワード代わりの任意文字列)
Amazonよりメール
canadie様 (注:本当は本名)
Amazon.co.jpへチャットにてお問い合わせいただき、ありがとうございます。
このたびは、当サイトのご利用に際し、canadie様にご心配をおかけしております事をお詫び致します。
先日、お問い合わせいただきました件(アカウント所有者を騙り、お問い合わせいただいた場合の対応)につきましては、現在、関連部署と連携を図り、対策を講じている状況でございます。
お急ぎのところ、大変恐縮ではございますが、回答をさせていただくまでにお時間をいただく見込みでございますため、今しばらくお待ちいただきますようお願い申し上げます。
Amazon.co.jp カスタマーサービス 匿名(注:←問い合わせの時と同じ人名)
ご利用ありがとうございました。
Amazon.co.jp
Mac OSX10.9.3にお茶こぼしてCtrlが押しっぱなしになった時
ググると結構出てくるのだけど、わたくしも例に漏れずMBAにお茶をぶちまけてしまいました。
急いでひっくり返して水分を追い出したのですが……うまくいかず。あちこちのキーが死んでしまいました。
たまたまリモコンのBlueToothキーボードを持っていたのでなんとかなると思ってたのだけど、困ったのが、本体側のCtrlキーが時々押しっぱなしになってしまうこと。たまにキーアップ+キーダウンのイベントが発生するのでその度にコントロール押しっぱなしの状態になってBlueToothのCtrlキーの方を連打してもキャンセルできないというかなり嫌な事態に。
ググると、
sudo kextunload /System/Library/Extensions/AppleUSBTopCase.kext/Contents/PlugIns/AppleUSBTCKeyboard.kext
ってやれば治るよ!ってのが出てくるけど10.9.3では何度やってもエラーがかえってくるだけで効果がない。
そこで私が取った対処法。まずMac用キーリマップソフトのKarabiner(昔keyremap4macbookと呼ばれてたやつ)を入れます。んでDisable Control_Lを選択。これで左コントロールが使えなくなります。
次にアクセシビリティのキーボードから修飾キーを選び、CAPSLOCKを「何もしない」に設定。CAPSを殺します。CAPSLOCKが使えなくなるけど、いらないでしょ、こんなキー。ちなみにこれはCAPSLOCKをCtrlに割り当てるための準備となります。
あとはseilというKarabinerのオマケソフトを起動して、CAPSLOCKを「右」Ctrlに割り振る。左コントロールに割り振ってもうまくいきそうな気がするけど、前述のDisable Control_Lの方が勝ってしまって動作しません。SeilでCapsLock->62(右Ctrl)と指定します。
MBAにはそもそも右Ctrlがないのでこれで心配ない……はず。
少なくとも文章がほとんど打てなくなってたけど、このエントリを書く間一度もCtrlロックが起こらなかった+CAPS->Ctrlは効いているのでしばらくなんとかなりそう。
ちなみにprivate.xmlでMBA本体側のキーだけVK_NONEにアサインしていく方法もやってみたんだけど、なぜかうまく行きませんでした。
BlueTooth側の左コントロールが使いたいって人は……どうにかしてPC側のCtrlだけ殺す以外に方法はない気がします。
ちなみにDisable Control_Lが効いて
__KeyToKey__ KeyCode::CONTROL_L, KeyCode::VK_NONE
が効かない辺りとか、どうなってるのか中をいじりたいのだけどせっかくの日曜なので今日はここまでにしときます。
デマについて知ってほしいこと
ネットでデマを拡散しないための心得を書いていきます。思いついたら増やす方式なので生暖かく見守って下さい。
- 確認する
当たり前のことですが、内容だけ読んでそのままシェアするのは止めましょう。情報源と言われるところに同じ情報があるか等チェックは忘れずに。
- 確認できない情報、悪魔の証明に陥る情報は拡散しない
「名前は出せないけど原発で働いている人が本音を話してくれました」系。東電に確認したってねえ、「そんなことないですけど」で終わると思うし、拡散した人から見りゃそれこそ「東電の言うことが信用できるとでも?」と来るわけです。どんなにスッパ抜き的な情報であっても拡散すべきではありません。
- 【拡散希望】は慎重に処するべき
こうかいてある記事は、実は嘘なのに皆が律儀に拡散しちゃったために無駄に広がってあなたの目に触れた可能性が高いです。そして大抵は拡散する価値のない情報です。
基本です。公式RTやシェアであれば、元情報がデマで本人が取り下げた場合、それ以上の延焼を防げます。非公式RTやコピペは元記事が取り消された後もSNS上をさまよい続けます。
- 知らない人の伝聞情報を拡散しない
基本です。日常生活でも「友達の知り合いの話」ってのはほとんどアテにならないのは、社会的生活を送ってきた人にはとっく経験済みだと思いますが、なぜかネットではやってしまうようです。
知人が知らない人の伝聞文章をシェアやRTしていた場合「友達の知り合いの知り合い」の話ということです。僕の友達の友達には宇宙人と友だちの人がいたり空中に浮くことができたりすごいです。
- 感情的にならない
大抵のデマは「許せない」「あってはならない」「すぐ知らせなくては」というものが多いです。そして興奮状態で投稿している人が多いように感じます。興奮状態では冷静な判断ができませんので、「許せん!ムカー!」となってる時は怒りが収まるまで投稿をしないようにしましょう。
- 有名ドコロを抑えておく
朝日新聞の政治批判、日経新聞のiPhone話、虚構新聞あたりは押さえておくべきでしょう。
- 信じこまない
「情報を確認中」「果たして本当なのか」などと懐疑的な文章を付けておくとよいかも
おさかなラボ
本Blogはこっちにあります