結果から先に書くと、即答に近い形で個人情報が漏れた。購買情報に関しては聞いてもないのに勝手に教えてくれた。

予想より反響が大きかったので文末にgmailを使った対策を追記した。

なお、米Amazonと同様、数日遅れて問い合わせ内容についてのメールが来たので追記しました。

Amazon の カスタマーサービス 経由でアカウント情報が流出したことが判明 - GIGAZINE http://gigazine.net/news/20160125-amazon-customer-service-backdoor/

こーんな記事があったものだから、嘘くせえと思って実際に（英語めんどくさいので日本の）カスタマーサービスにチャットで問い合わせてみた。いうまでもなく、ソーシャル・エンジニアリングはクラックの基本である。セキュリティにうるさいAmazon社がこんなにザルなわけがないと思ったからだ。

なお、ニセの住所は他人に迷惑がかからないよう、また違法とならないよう配慮した（Amazon側にも適法な行為である旨、確認した）。この方法では、以下のような被害が想定される。対策は文末に述べる。

このことから以下のような被害が想定される。

以下はチャットの問い合わせ内容のログである。ログを取った後に固有名詞を編集し、冗長な部分をカットしたが文意がどちらかに有利になったりしないように配慮して部分的な編集に留めるよう配慮した。

さすがに問い合わせ内容 からし て途中からレスポンスががくんと遅くなったが、数分と待たなかった。既に同様の問い合わせがあったのかも知れないし、ある程度権限を持っているサポート係が途中から入れ替わったのかも知れない。また、人を試すような失礼な問い合わせに対し、真摯な態度で応対してくれた カスタマーサービス の方には感服したことは付け加えておく。

ここから「アカウントを持っていない」と申告した上でチャットに接続した。用件は「配送について」。

チャットログ

匿名：カスタマーサービスの人

お客様：canadie

匿名:お問い合わせいただきありがとうございます。Amazonカスタマーサービスの匿名でございます。

お客様:最後に購入した荷物が配送済みになっているか教えてもらえませんか

匿名:かしこまりました。

それでは、お客様のアカウント情報を確認致しますので、3点程、ご協力をお願い致します。

（１）アカウントにご登録のお名前（２）Eメールアドレス（３）ご住所 を教えてください。

お客様:名前：本名晒夫、 Eメール：canadie@example.com、 住所：『登録済みの「他人の」住所』

匿名:情報をお知らせいただき、ありがとうございます。

恐れ入りますが、canadie様のアカウントでの最終注文は1月21日付のデジタル書籍『えっちな漫画のタイトル』のご注文となっているようです。

（……いや、タイトルまで教えなくてもいいよね、電子書籍ですよって言えば）

お客様:電子書籍ではなくて、物理的な荷物の方です

匿名:物理的なお荷物で採集は1月18日の『 個人的な商品 400g』、『 とても個人的な商品 3個入 』、『 わりと個人的な商品 ベージュ 』となり、

[運送会社名]にて1月22日に配達済みとなっております。

（……届いてるかどうかだけ聞いてるんですど。じゃ本題にいきますか）

お客様:おかしいですね

配送先はどこになってますか？-

匿名:お届け先は、〒xxx-xxxx ＃＃＃canadieの本当の住所。アパート名と部屋番号付き＃＃＃となっております。

（書いた！ ウソの住所しか教えてないのに実の住所をあっさり書いた）

お客様:ここから先のチャットは記録して下さい。

すべて記録しているでしょうけれども。

匿名:はい、チャット記録は全て残っておりますので、ご安心ください。

〜〜〜 ここでcanadieの問い合わせに違法性がなかったか念のため確認 〜〜〜

匿名:はい。(注：違法性はないですとの回答）

お客様:さっきお教えした住所は、配送先に指定している住所です。つまり私の親戚、友人、ネットで知り合った赤の他人の住所かも知れません。

本名からメールアドレスはFacebookで公開しているので誰でも参照可能です。ここで私に落ち度がないか確認したいのですが。

匿名:はい、canadie様の仰るとおり、上記の情報は当カスタマーサービスでのアカウント確認の基準で言えば、いずれも満たしている状況でございます。

お客様:ということは、私の名前を知っていて配送先に指定されている赤の他人であれば、私の住所や購買情報などが筒抜けになってしまうということになりますが、間違いありませんか。

匿名:確かにカスタマーサービスへチャット、あるいはお電話にて連絡いただいた場合、本人確認として用いる情報を第三者が知り得ていれば、知れてしまう事となります。

お客様:ありがとうございます。電話の場合、記録は残りますか。

匿名:はい、電話の場合、通話記録を残しております。また、オペレーターがご案内した内容を事務連絡としてシステム上に記録として残しております。

お客様:ありがとうございます。

それでは以上の内容について、個人情報を取り扱う事業者として、どのようにお考えであるか、また、どのような対策を講じるか書面で頂きたいのですが、よろしいでしょうか。

宛先は先程の住所でよろしいです。

匿名:誠に申し訳ございません。当カスタマーサービスでは書面対応は承っておりませんので、ご登録のEメールアドレスへ回答を行わせていただく事となります。

お客様:それでは、Amazon社としての回答を頂けるのであれば電子情報でも構いません。

ただし、Amazon社の文章であることが確認できる電子署名等を添付してお送り頂ければです。

匿名:かしこまりました。

お客様:よろしくお願いします。

また、この会話記録を、匿名様のお名前を含む個人情報を削除し、タイプミスなどを修正し文意が変わらない形でネットに公開させて頂きますが構いませんでしょうか。

匿名:はい、その点は、お客様のご判断となりますため、当サイトにておとめする権限はございません。

お客様:ありがとうございます。以上となります。ご回答お待ちしておりますのでよろしくお願いいたします。

匿名:かしこまりました。

本日は、Amazon.co.jpにお問い合わせいただき、ありがとうございました。

それではこのままウィンドウ右上の「チャットを終了」から画面を閉じて、チャットを終了してください。

=== チャット終了 ====