代金の不当請求被害が多発しているアップル社の音楽配信サイト「ｉＴｕｎｅｓ（アイチューンズ）　Ｓｔｏｒｅ（ストア）（ｉＴＳ）」で、一定の条件がそろうと、見ず知らずの他人に自分名義で音楽ファイルなどを買われる状態になる恐れがあることがわかった。パスワードを変える際の本人確認が不十分な可能性があり、同社も事実関係の調査を始めた。

asahi.com（朝日新聞社）：ｉＴｕｎｅｓ、ＩＤなりすましの恐れ　アップル社調査

まあ、これはiTunes Storeだけじゃなくてどこのサイトでも起こる話なんじゃないかと。

どんな話かというと、

千葉県の女性は約２週間前、実在する北海道の女性の利用画面に偶然に入ってしまった。千葉県の女性によると、新しく設定したＩＤでｉＴＳに接続し、パスワードを入れたところ、何度か「違う」と接続を拒まれた。パスワードを再登録し、再接続してみると、個人情報の画面に北海道の女性の住所や電話番号、クレジットカード番号の一部、誕生日などが表示された。商品を買えば、代金の請求は北海道の女性のクレジットカードで決済される状態だったとみられる。

この千葉県の女性をAさんだとすると、Aさんが使っていたメールアドレスを何かの理由で放棄したあとにそのメールアドレスを取得してしまった人（これをBさんとする）がいたとすると・・・Bさんは昔Aさんが使っていたことを知らずに取得した旧Aさんのアドレスで登録しようとすると既にそのアドレスは登録済みなのでパスワードのみの照合になるから当然「違う」という表示になりますよね。

で、何度か間違うと再設定のフェーズになるんだけど、その確認はBさんが取得したメールアドレスに送られるからそこで再設定しちゃえばAさんの情報が画面に表示されるわけで、これはまあしょうがないですね。こういうのはすごいレアなケースだと思います。

銀行みたいに何回かパスワードを間違えたらアカウントをロックしちゃって後日郵送で解除コード送ってあげるようなやり方になっていればいいんだろうけど、そこまではやらないだろうしなあ。

で、もうひとつのケースは、

神奈川の男性がＩＤとパスワードを登録する際、同じ名字の愛知の男性のメールアドレスを自らのＩＤとして誤入力した。そのＩＤがメールのあて先となったため、登録完了通知などのメールが愛知の男性に送信された。

これは完了通知メール送り先を間違って入力してしまったんだからしょうがないわけですが、ID登録のステージだけでまだクレジットカードの番号とか住所なんかは登録する前の状態なので問題ないかと。

と、理解したんだけど状況は違うのかな。