Langley のサイバーノーガード日記楽天専用メールアドレスにスパムが届く謎

　これは、すでに今年の5月にGIGAZINEが報道し、その後、読売新聞も類似の報道を行った問題である。

楽天市場から個人情報がスパム業者に流出か、実名の記載された迷惑メールが
楽天でしか使っていないメールアドレスに届き始める(GIGAZINE)
http://gigazine.net/index.php?/news/comments/20090527_rakuten_spam/
楽天、利用者のメールアドレスを含む個人情報を「1件10円」でダウンロード
販売していることが判明(GIGAZINE)
http://gigazine.net/index.php?/news/comments/20090527_rakuten_csv/
「楽天」が抱えている10個の問題点まとめ(GIGAZINE)
http://gigazine.net/index.php?/news/comments/20090529_rakuten_matome/

　楽天側では、事実誤認と断定している。

読売新聞の記事に関しまして
【お知らせ】一部ブログによる掲載情報の事実誤認について
http://www.rakuten.co.jp/help/whatsnew/

　筆者も気にはなっていたのだが、情報がほとんどないので、特に記事にはしなかった。この度、めでたく筆者の楽天専用メールアドレスにスパムが届き始めたので、少し考えてみたいと思う。

●筆者の状況

　筆者は、10個前後のメールアドレスを定常的に利用している。このうち、特定サービスのための専用アドレスは楽天用のみである。ジャンルを限定した専用アドレスは、他に3つある。こちらは、特定のジャンルでの複数のサイトの利用に用いている。仮に、アドレスA、アドレスB、アドレスCとしよう。

　ある程度利用が限定されているこの4つのアドレスについて状況を整理してみた。

　現状、スパムが届いているのは、楽天専用アドレスとアドレスAのふたつである。アドレスAは、実はアダルト系専用なので、スパムはいたしかたない部分もある。とゆーか、もはやメールのタイトルを見ても、登録しているアダルトサイトからのお知らせなのか、スパムなのか区別がつきにくかったりする。

　他の2つのアドレスには、スパムは届いていない。登録しているサイトはそれぞれ複数あり、それ以外にそのジャンルでの知り合いとのメールのやりとりも行っている。なにを言いたいかというと、利用頻度は楽天専用アドレスよりもはるかに高いし、登録しているサイトも多い。さらに言うとクレジットカード情報や住所などクリティカルな個人情報は、アドレスB、アドレスCでは登録していない。

　一利用者としては、登録しているサイトがひとつで、登録内容にクレジットカード情報、住所などクリティカルな個人情報を含んでいるアドレスにスパムが来るようになったら、利用を控えたくなるのが人情であろう。いや、人情というか、当然のリスク回避の判断になるだろうし、それでもそのサイトを使い続けるとしたら、正常な判断ができない状態に陥っていると思われる。

　そのサイトから漏えいしたかどうかは、もちろんわからない。しかし結果としてスパムが来ているのだからどうしようもない。

　楽天で買い物をする際に登録した個人情報は、下記のところに拡散している。

・楽天株式会社
　当たり前であるが、楽天には個人情報がわたることになる。楽天からの個人情報漏えいは時々発生しているので注意が必要だ。もっとも注意のしようがないような気がするが…。（*注1）

・楽天株式会社が一定の基準を満たしていると判断された店舗　9社
　クレジットカード情報を含む情報が楽天以外にも共有されている。

新顧客情報管理体制（クレジットカード決済）に関する追加措置のご連絡
http://www.rakuten.co.jp/com/faq/information/20050916.html

　現在、楽天のお知らせによると、9社あるらしい。

・楽天の店舗
　筆者が利用した店舗には筆者の個人情報が渡っている。デフォルトで渡るのは、注文者氏名、フリガナ、住所、電話番号、送付先氏名、送付先住所、送付先電話番号、購入商品の情報、支払い方法、配送方法。手間かけるとメールアドレスもわかる。なお、こうした店舗から個人情報が漏れるケースも少なくない。（*注2）

・楽天グループ各社　13社
　楽天の個人情報保護方針では、楽天グループ各社で個人情報を共同利用することが可能となっている。13社ある。（*注3）

個人情報保護方針
http://privacy.rakuten.co.jp/

　利用することがなさそうな会社もあるが、共同利用を前提としたシステムになっていて、個人情報を引き出せるID、パスワードが渡されている可能性もある。

　なるほど、整理してみるものである。単純に計算しても、楽天で一回、ひとつの店舗で買い物をすると、楽天本体、店舗、楽天グループ会社に個人情報が渡る。15社に拡散するわけである。筆者は楽天で10くらいの店舗を利用している。一度しか利用していないところを含めると、20くらいあるかもしれない。この20店舗にグループ会社13社、それに楽天本体を加えると、33社になる。

　個人情報がいろんなところに分散すればするほど、漏えいする確率は高くなる。アドレスBやアドレスCを登録、利用しているサイトは、10もない。

　そう考えると、一回の利用で15社に個人情報を共同利用になる以上、相応の漏えいリスクを勘案した上で利用しなければならなかったわけである。

　楽天は発展しているようなので、グループ会社が20社、30社になる可能性もある。一回の買い物で、一気に何十社も自分の個人情報にアクセス可能になると思うとちょっと怖い。

●他社ではどうなのか？　ヤフーとアマゾン

　楽天ばっかり言ってと言われそうなので、では、他社ではどうなのか？　と思ってヤフーとアマゾンをのぞいてみた…

（*注1）
楽天からの個人情報漏えいについては、最近では下記のような事件があった。

【お知らせ】メルマガ登録情報画面からの個人情報の表示について
http://www.rakuten.co.jp/com/faq/information/20081001.html
検索サイトでメルマガ登録画面が表示、89件の個人情報が流出（楽天）
https://www.netsecurity.ne.jp/1_12228.html

（*注2）
具体的には下記のようなものがある。楽天店舗からの個人情報漏えいで表に出たものでは下記がある。

店舗「ビューティコロジー」の取引に係る個人情報流出について
http://www.rakuten.co.jp/com/faq/information/20070613.html
退店店舗「豆腐専門店金沢・炭谷屋」からの個人情報流出の可能性について
http://www.rakuten.co.jp/com/faq/information/20080319.html
楽天出店2店舗の注文確認メールなどが流出、Winnyウイルス感染の可能性
https://www.netsecurity.ne.jp/1_7339.html
http://www.rakuten.co.jp/com/faq/information/20060731.html

（*注3）
具体的な社名は下記の通り。

楽天エンタープライズ株式会社
シグニチャージャパン株式会社
ターゲット株式会社
株式会社ショウタイム
楽天トラベル株式会社
株式会社楽天野球団
株式会社ファインワイン
株式会社楽天スポーツプロパティーズ
楽天バスサービス株式会社
楽天オークション株式会社
競馬モール株式会社
楽天・ファスト・モバイルサーチ株式会社
楽天写真館株式会社

【執筆：Prisoner Langley】

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec