法執行機関が Amazon に顧客データを要求するために使用する Web ポータルの一部には、確認済みの電子メール アドレスとパスワードが必要なはずなのに、誰でもアクセスできます。
Amazonの法執行機関向けリクエストポータルでは、警察や連邦捜査官が召喚状、捜索令状、裁判所命令などの法的命令とともに顧客データの正式なリクエストを提出できます。このポータルはインターネットから誰でもアクセスできますが、法執行機関はリクエストを行う前に、Amazonがリクエスト担当者の資格情報を「認証」できるように、ポータルにアカウントを登録する必要があります。
アカウントがなくても、時間的に制約のある緊急リクエストのみを送信できますが、リクエストを送信する前に、ユーザーは自分が権限のある法執行官であることを「宣言し、承認」する必要があります。
このポータルでは顧客データは表示されず、法執行機関による既存の要請にもアクセスできません。しかし、ダッシュボードや法執行機関が顧客データの要請に使用する「標準」要請フォームなど、ウェブサイトの一部はログインしなくても読み込まれます。
このポータルでは、Amazon が法執行機関の要請をどのように処理しているかを垣間見る貴重な機会となっている。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
このフォームにより、法執行機関は、Amazon の注文番号、Amazon Echo および Fire デバイスのシリアル番号、クレジットカードの詳細と銀行口座番号、ギフトカード、配達および配送番号、さらには配達ドライバーの社会保障番号など、さまざまなデータポイントを使用して顧客データを要求できます。
また、法執行機関は、リクエストに関連するドメイン名または IP アドレスを送信することで、Amazon Web Services アカウントに関連する記録を入手することもできます。
これはバグだと思い、記事公開前にAmazonに何度かメールを送りましたが、返信はありませんでした。
法執行機関からの要請に対応するポータルを持つテクノロジー企業はAmazonだけではありません。GoogleやTwitterなど、世界中に数百万、あるいは数十億のユーザーを抱える大手テクノロジー企業の多くは、法執行機関が顧客やユーザーのデータを要請できるポータルを構築しています。
マザーボードは今月初め、電子メールアドレスを持つ誰もがFacebookとWhatsAppが設置した法執行機関のポータルにアクセスできてしまう同様の問題を報じた。
多くのスマートホームデバイスメーカーは、ユーザーのデータを政府に提供するかどうかをまだ明言していない。
トピック
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
