大手ハイテク企業はユーザーのさまざまな個人情報を入手しており、それらの情報が犯罪者の手に渡れば非常に危険であることは簡単に想像できます。ところが、「Amazonのサービスに登録された氏名・生年月日・親の旧姓などの個人情報が一般公開されており、犯罪者が簡単にこれらの情報を入手できる状態になっている」と、ニュースサイトのThe Interceptが報じています。

Amazon’s One-Stop Shop for Identity Thieves

https://theintercept.com/2022/08/07/amazon-registry-identity-theft/

The Interceptが問題視しているのは、あらかじめさまざまな「お祝いの品」をリストに登録しておき、結婚・出産・誕生日などの節目に合わせて人々と共有できる「Amazonレジストリ」というサービスです。アメリカなどの国々では結婚や出産といったお祝い事において、「当事者がリストに登録しておいたギフトを購入して送る」という慣習があり、Amazonレジストリはこうした際に便利なサービスとなっています。

日本のAmazon.co.jpでも「ベビーレジストリ(らくらくベビー)」という形で導入されており、欲しいものリストを家族や友人と共有することで、相手の予算内に合わせた贈り物を受け取ることが可能です。



Amazonレジストリは友人や家族とシェアできるだけでなく、デフォルトでAmazonのウェブサイト上で検索できる設定になっています。また、結婚式計画ウェブサイトのThe Knotや子育てウェブサイトのThe Bumpなど、さまざまなサードパーティーのウェブサイトからも検索可能とのこと。

たとえば、氏名の一部を入力し、レジストリの種類を選択して「Search(検索)」をクリックすると……



登録されたレジストリが新しい順で一覧表示されました。通常では結婚式や出産日などの予定期日が2020年以降のレジストリのみがヒットしますが、日付制限をバイパスして、もっと古い期日のレジストリを探し出すこともできるとのこと。



The Interceptはブラウザの開発者ツールを利用することで、結婚式のレジストリは2004年、出産のレジストリは2006年までさかのぼることができたと報告しています。つまり、2006年の出産レジストリからは記事作成時点で16歳の子どもの氏名や生年月日を知ることが可能であり、さらにその親の結婚式のレジストリを探り当てることができれば、親の旧姓なども知ることができるというわけです。出産レジストリに登録されていた子どもたちが成人した場合、さらに深刻な影響が出ることも懸念されています。



生年月日や親の旧姓といった情報は、オンラインバンクの口座や電子メールプロバイダー、その他ウェブサービスなどでパスワードを回復する際の「秘密の情報」によく使われます。しかし、これらの情報は秘密でもなんでもなく、場合によってはAmazonで検索すれば容易に入手できるとのこと。実際、これらの認証に使用される情報が犯罪者の手に渡り、悪用される事例も報告されています。

さらにThe Interceptは、Amazonレジストリでは「まだ生まれていない赤ちゃん」の個人情報を入手可能であり、犯罪者の身分詐称に使われる可能性もあると指摘しました。

Amazonレジストリの悪用を防ぐため、The Interceptはデフォルトで「公開」になっているプライバシー設定を「共有のみ」または「プライベート」に切り替えることを推奨。また、イベントが終わったらレジストリそのものを削除した方がいいとしていますが、出産レジストリを削除する方法を解説したページには不備があり、どうすればいいのかわからない部分があるとのこと。「おそらく最善の解決策は、欠陥がありプライバシーを侵食するようなサービスを利用しないことです」と述べています。