アマゾンでも”やらかす”時代

私の購買履歴もどなたかに開示されていたのでしょうか・・・今や巨大インフラと化しているアマゾンの誤表示問題ですが、11万件に影響を与え、個人情報保護委員会から行政指導を受けていました。

japan.cnet.com

通販サイトの「Amazon.co.jp」で、他人の注文履歴が誤表示されてしまう事象が、9月26日に発生した。Amazon.co.jpで注文履歴を選ぶと、そこに身に覚えのない注文履歴が並んでいるというものだ。同社によれば、システム変更時の設定の不具合によるものだという。

これを受け、個人情報保護委員会は10月11日、アマゾンジャパンに行政指導したことを発表した。同委員会が明らかにした情報によれば、この事象は9月26日中に解消されたそうだが、これにより、約11万アカウントの利⽤者の個⼈情報（利⽤者により異なるものの、⽒名、配送先住所、注⽂履歴、閲覧履歴などを含む）が、他の利⽤者に表⽰された可能性があるという。

（中略）

　なお、今回の事象が、システム変更時に発⽣したことを踏まえ、ウェブサイトのプログラム修正、バージョンアップなどの変更・修正を⾏った場合は、⼗分な動作試験を⾏うとともに、脆弱性の有無についても確認することが重要であることについて、再度注意喚起するとしている。

(CNET Japan記事より引用）

◆キタきつねの所感

Amazonでこれだけ大きなトラブルが出たのは久々な気がします。最初は「ごく一部」と言っていたのですが、最終的には11万件に影響した可能性があると報じられています。

被害件数については「Amazon.co.jpアカウントのごく一部」との回答にとどめていた。

（InternetWatch記事より引用）

まぁAmazonにとっては、11万件が「ごく一部」なのは合っている気はしますが、社会基盤化しているといっても過言ではないAmazonの場合、1日で不具合が改善されたにも関わらず、多くのユーザに影響が出てしまう事を考えると、PGの修正管理（リリース管理）はもう少しチェックプロセスを入れるべきだったのだと思います。

因みに、Amazonは一度ログインが成功すると、多くの情報にアクセス可能ですので・・・難しいのかと思いますが、注文履歴やその他の個人情報閲覧には、オプションでも良いのでログインで使う2段階認証が使える様になって欲しいと、1ユーザとして思います。

Amazon.co.jp ヘルプ: 2段階認証について

f:id:foxcafelate:20191019104821p:plain

ログイン画面以外で、追加認証を求められるのは、「ログインとセキュリティ」（アカウント情報の変更が可能）の所くらいでしょうか。不正閲覧の可能性がある情報を隠すには、追加認証（オプション）くらいしか思いつきません。

別な記事を見ますと、アマゾンは再発防止策のとりまとめを命じられた様ですが、

表示ミスを検証せずに本番リリースしてしまった事が一番大きな原因なので、ユーザビリティが落ちるこうした機能への保護機能追加は・・・あまりAmazonも考えない気もします。

そして個人情報の取り扱いに問題があったとして、11日付けでアマゾンに対し、再発防止策の取りまとめと利用者からの問い合わせへの対応を確実に行うよう行政指導しました。

（NHKニュース記事より引用）

個人情報保護委員会の追記コメント内容が出ていて、

また個人情報保護委員会は今回の問題を受けて、ほかのサイトの運営事業者に対してもプログラムの修正やバージョンアップなどをした場合は動作試験を十分行うとともに、システムにぜい弱性がないか確認するよう注意喚起を行いました。

（NHKニュース記事より引用）

王道的なセキュリティ対策を出しています。

動作確認（今回の様な誤表示を検証してから本番リリースする）は当然その通りです。おそらくアマゾンもここは再発防止策として出してくると思います。

しかし、脆弱性診断してからの本番リリースをする（と読み取れる）内容は、ちょっとアマゾンに厳しい内容が含まれている気がします。

魚拓サイトでアマゾントップページの更新変遷を見ていると・・・当該の26日だけでも23ショット取られている事でも伺えますが（※プログラム対応も含むとは思いますが）、サイト変更は頻繁ですので、機能修正もそこそこ頻繁に行っていると思います。だとすれば、数多くの部分修正まで脆弱性テストをすると効率が極端に落ちそうですので、、、私見ですが、アマゾンの追加対応策にはあまり書かれない気がします。

f:id:foxcafelate:20191019104949p:plain