Amazonに罰金225万ドル、詐欺被害者への証拠開示を怠った疑いで

米連邦取引委員会(FTC)は、本人になりすまして行われた不正取引の記録を身元盗難の被害者に開示しなかった疑いについて、Amazonが225万ドルの民事制裁金を支払うことで和解に応じたと発表しました。

司法省に提出された告訴状によると、公正信用報告法(FCRA)の第609条(e)で義務付けられているにもかかわらず、Amazonは自分名義で行われた不正取引の記録を、多くの詐欺被害者に提供していませんでした。

さらに悪いことに、Amazonのカスタマーサービス担当者が「プライバシー」や「セキュリティ」を理由に、不正取引の記録開示を求めて連絡してきた多くの消費者の要求を拒否していたとFTCは指摘しています。また、記録を開示した場合でも、FCRAが定める30日間の期限を超過してから対応していたということです。

「告訴状によれば、他のケースでは、Amazonの担当者が消費者に対し、要求された記録にはアクセスできないと伝えていた」と、FTCは火曜日に発表しました

「Amazonは、身元盗難の被害者に代わって消費者から正当に承認を得て申請を行った法執行機関に対してさえ、申込みおよび取引の記録提供を拒否していました。一部のいら立った消費者はFCRAおよびFTCのガイダンスの写しをAmazonに送付し、要求した記録を受け取ろうと試みましたが、それでもAmazonは法令を遵守しませんでした」

提案された命令によると、Amazonは225万ドルの罰金に加え、FCRAで保証されている通り、身元盗難の被害者や法執行機関から正当に要求された記録について、30日以内にアクセスを提供することも義務付けられています。

Amazonはまた、2024年4月以降に記録を要求したものの受け取っていない消費者に対し、追加の記録を要求できる旨を通知するよう命じられました。

Kohl’s Department Storesも6年前、個人情報が不正利用された被害者に対して不正取引の記録提供を拒否した同様の疑いを巡り、和解金として22万ドルの罰金を支払いました

2023年7月には、Amazonは音声アシスタントサービス「Alexa」に関連する児童プライバシー法違反の疑いを巡る和解として、2,500万ドルの罰金支払いに合意しています

さらに最近では、2025年9月にAmazonは、ダークパターンを用いて何百万人ものユーザーをPrimeプログラムに騙して登録させ、定期購読の解約をできる限り困難にしたとする訴訟の和解として、さらに25億ドルを支払いました

攻撃者に先んじて、すべてのレイヤーをテスト

セキュリティチームが記録できている攻撃成功事例はわずか54%、アラートが上がるのはたった14%にすぎません。残りは環境内を検知されないまま通過しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)によってSIEMやEDRのルールをテストし、脅威の見逃しを防ぐ方法を紹介しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/amazon-fined-225m-for-withholding-evidence-from-fraud-victims/

ソース: bleepingcomputer.com