ECカレントで注文したことを公言すると、電話番号から住所氏名がバレる可能性
株式会社ストリームの運営する老舗のECサイト「ECカレント」で商品を注文したことを公言してはいけない。なぜなら、あなたの電話番号を知っている人に住所と氏名がバレてしまうおそれがあるからだ。
購入情報を確認する
ECカレントは会員登録を行わなくても購入ができるという今時珍しいタイプのECサイトだが、それが為に会員/非会員を問わず注文状況を確認したり領収書を印刷したりできるよう「購入情報を確認する」サービスが提供されている。そのキーとなっているのが「ご注文番号」と「注文時電話番号」である。
注文番号は8〜10桁の数字(2007年頃は8桁であったが、現在の例示は10桁)で、公知の情報とは言えないまでも、秘密保持が求められている訳ではない。プライバシーを気にする人間であれば念の為の自衛策として注文番号を隠すだろうが、連続性の強い番号であれば、自分の番号から他人の番号に当たりを付けることができる。
例えば電話番号だけの知り合いがECカレントでIYHしたことを0時0分にSNSに投稿したとしよう。それを見て0時5分に注文を投げて得られた注文番号が1000000060、すぐにキャンセルして0時10分に別の注文を投げて得られた注文番号が1000000090だとすると、知り合いの注文番号は1000000030付近だと推定できる。
逆に注文番号を固定し、電話番号を変えながら総当たりすることで、電話番号と住所と氏名を一度に入手することも出来そうだ。普通のID/PWログインページなら試行回数ロックやWAFによる緩和策が導入されていそうなものだが、本ページにも導入済みだろうか。利用者からは確認のしようがない。
注文番号と電話番号はいずれも不正アクセス禁止法における「識別符号」の定義に当て嵌まらない為、刑法による抑止力が期待できない。
根本的な対策はない?
根本的な対策にはどうすればいいだろうか。「氏名」は電話番号とセットで知られている可能性も高く、追加の認証情報としては不十分だ。「住所」の一致を確認すれば完璧だが、表記揺れが大きく現実的ではない。「メール」でワンタイムパスワードを送るのが良さそうだが、アドレス変更への対応がネックとなる。
何でもかんでも会員登録を求める風潮にはうんざりだが、こうした非会員への対応の難しさも拍車を掛けているのだろう。ネットユーザーがID/PW地獄から解放される日は遠い。
前例
本件は2012年頃に問題視された所謂「ひろみちゅ案件」と同種の問題である。
ECカレントに同様の問題が潜んでいることには結構前に気付いていたのだが、まとめる機会を逸してそのままになっていた。このタイミングで公開したことに特に意味はない。ストリームには個人情報保護法における安全管理措置(第20条)の履行を期待したい。