ハクソク

世界を動かす技術を、日本語で。

メールはそういう風には機能しません

117日前原文(danq.me)

概要

  • HSBCから「メールが配信不能」との通知を受けたが、実際には受信できていた事例
  • 問題の原因はメールの追跡ピクセルのブロックに起因
  • 追跡ピクセルのプライバシー問題と技術的な脆弱性を指摘
  • HSBCの対応や通知文面の改善提案
  • 顧客データの扱いと透明性の重要性を強調

HSBCの「メール配信不能」通知の謎

  • HSBCの クレジットカード を保有
  • 利用頻度は 低い が、毎月明細と「明細が利用可能」との メール通知 を受信
  • ある日、「メールが配信不能」との 郵送通知 が届く
  • メールは 正常に受信・閲覧 できており、理由が不明
  • 指示通りアカウントに ログイン し、メールアドレスを確認→ 正しい ことを確認
  • アプリのライブチャットで問い合わせるも、 同じ説明の繰り返し で解決せず
  • 最終的に電話で カスタマーサービス に連絡、「無視して良い」と案内
  • 要対応」と記載された通知文面の改善を提案

追跡ピクセルの実態と問題点

  • HSBCのメールには 追跡ピクセル (1×1ピクセル画像)が埋め込まれている
  • これにより、 メール開封のタイミングや頻度 を監視
  • 追跡ピクセルは http:// 経由で配信されており、 暗号化されていない 通信
  • 公共WiFiなどでメールを開くと、 第三者にも閲覧が可能 となるリスク
  • 追跡ピクセルは 通常不可視、だが多くのプライバシー意識の高いユーザーは ブロック設定
  • 送信者側は「開封されていない」と 誤認 する可能性
  • HSBCは「追跡できない=配信不能」と 誤解 し、通知を送付

セキュリティとプライバシーの課題

  • 追跡ピクセルは IPアドレスや位置情報 なども取得可能
  • http通信 のため、悪意のある第三者による 画像の差し替えや情報漏洩 リスク
  • 例えば、正規のメール下部に「至急この番号に連絡を」等の 詐欺画像 を挿入可能
  • 銀行メールとしては 重大なセキュリティ欠陥

HSBCへの提案とまとめ

  • 追跡ピクセルの使用停止、または最低限 暗号化通信(https) の導入
  • 追跡ピクセルがブロックされた場合、「配信不能」と 即断しない 運用
  • メールアドレスの有効性確認は 別の手段 (例:確認リンクのクリック)を推奨
  • 顧客への通知文面は 誤解を招かない表現 に修正
  • HSBC自身の「 倫理的なデータ利用原則」に則り、 透明性 をもった運用を要請
  • 誤った監視手法や通知で顧客に 混乱を与えない 配慮の必要性

まとめ

  • 追跡ピクセルの 過信 が不要な混乱を招く事例
  • セキュリティ・プライバシー意識の 徹底 と、顧客対応の 改善 を強く要望

Hackerたちの意見

本当に聞いてほしいなら、アカウントをキャンセルして別の銀行に移るのがいいよ。これ、ブラフとしては効果的だけど、実際にその通りにする覚悟が必要だね。もしそうするつもりなら、実際に銀行を変えちゃった方がいいかも。

キャンセルしても銀行にはお金がかからないんだよね。最近の銀行は顧客アカウントからは利益を得てないから。

本当に彼らに聞いてほしいなら、アカウントをキャンセルしな。規制当局を巻き込むんだ。これが彼らにとってはるかにコストがかかるし、問題を適切に文書化して、パターン化した場合にフォローアップできるようにする。アカウントを移すよりも面倒かもしれないけど、ずっと効果的だよ(もしあなたがその会社に九桁の資産を持っていない限り)。

NABオーストラリアも全く同じことしてるよ。メールを受け取ったときに「リモート画像を読み込む」を選ばないと、紙の明細書に切り替えたって手紙が届くんだ。メールはちゃんと届いてるのに、調べるのにちょっと時間かかったよ。

これについては二つの考えがあるんだ。銀行は自分たちのコミュニケーションが受け取られているかを知る必要があるけど、紙の明細書がちゃんとデスクに届いているのか、郵便受けから盗まれているのかは全くわからないんだよね。メルボルンのアパートに住んでるけど、郵便は全然信頼できない。時々、間違った建物に配達されたり、全く別の住所に行ったりすることもあるし、悪党に盗まれることもある。中には郵便受けに火をつけるやつもいて、全部の郵便が燃えちゃうこともある。

キャピタルワンも同じことしてるけど、少なくとも何を意味してるのかはっきりしてるから理解できるよ(「最近、私たちのメールを開いてないですね…」)。大丈夫、キャピタルワン。メールは開いたけど、怪しいトラッキングピクセルは読み込んでないだけだから。

同じく、いつもそれが来るけど無視してるよ。実際、Gmailのルールを設定してて、そのフレーズが見つかると既読にして削除するようにしてる。メールを読んだかどうかなんて、私が解決する問題じゃないし。

で、どう思う?何が起こってると思う?銀行のITに関する私の経験では、この「機能」は誰がメールを開いたかを追跡するために、50人くらいの人が関わってるはずで、アイデアが出てから実際に導入されるまでに少なくとも1年はかかってると思う。HSBCには「トラッキングピクセルは信頼性がない、特に2025/26年には」って言える有能な人がゼロなの?それとも、これを指摘した人が中間管理職や上層部に却下されたのかな?http://の部分はどうなってるんだろう?少なくとも、http://以下のものは提供すべきじゃないって言ってた開発者もいたはずだよ。

でも、みんな考えすぎだと思う。信頼性についての議論は正当だけど、技術に詳しいHNの人たちがいる一方で、他の顧客は「John.smith@bt.co.uk」みたいなメールアドレスを適当に書いて送信するだけの人もいるし、もっと悪いこともある。だから、そういう顧客を特定する方法を見つけなきゃいけないんだよね。

せめてメールは送ってくれるし、「重要なメッセージがあります。ログインして確認してください」みたいなバカなメールは送ってこないよね。あの重要なメッセージが何なのかは全然わからないけど、たまには本当に重要なこともあったんだろうな。

FAANGでコンテンツ作成をサポートするチームを運営してたんだけど、オープントラッキングはトレンドとしては役立つけど、個別評価には意味がないって何度説明してもみんな理解してくれなかった。上層部も信じてくれなくて、「あの人がメールを開いたって言ってるのにオープンイベントがないのはどうして?」とか、「あの人が開かなかったって言ってるのにオープンイベントがあるのはどうして?」ってうるさかった。著者たちも信じてくれなくて、メールオープンが一番高いスコアの指標だったからね。受信者の3%未満が出版物のページにアクセスするけど、50%以上はウェブページを開くためのティーザーと行動を促す内容があるメールを「開く」んだよね。クリック率の正確な指標に基づいて判断しなきゃならなかったら、彼らが仕事ができてないみたいに聞こえちゃうから、みんなオープン率を使ってたんだ。自分たちが魅力的なコンテンツを書いてるって感じられるし、誰がメールを読んでるか把握できてる気がするからね。この指標以上に良い指標はなかったと思う。

HSBCにはこの機能に関して有能な人が全くいないのか?こういう機能の指揮系統では、十分あり得るね。 > それとも、これに言及した人たちが中間管理職や上層部に却下されたのか?彼らは自分たちの方がよく知ってるから?それとも、ただ無力感を学んでしまって、試す価値がないからやる気がないのかも。

有能な人がいるかもしれないけど、銀行で働いてる技術者の大半はもうどうでもいいって感じだよね。こういう巨大で倒産できない会社では、すぐにどうでもよくなっちゃう。ICや直接のマネージャーの意見なんて誰も気にしないし、上層部が決定を下す。だから、静かに実行するか、そうじゃない人と入れ替わるかのどちらか。私が$MegaUSBankで働いてたときは、2種類の人がいた。一つは、自分の「やる気」がなくなって新しい仕事を見つけた人たち、もう一つは「まあ、ボタンを押して給料をもらうだけ」って感じで15年もそこにいた人たち。

「実践の状態」って言葉を思い出すな。アパートを借りる時も同じことが起こる。徐々に、アパートの電話アプリ(ドアを開けたり、郵便受けにアクセスしたりするため)が受け入れられて、残りの3%にも強制されるようになる。新しい入居者はそれを受け入れないと入れないかもしれないし。そうすると、すぐにアパートへのアクセスを拒否したり、住人を追跡したり、オンライン活動とマッチさせたりすることができるようになる…

2つのことが考えられる。一つは、こんな会話があったかも。「メールを開かない人に手紙を送りたい。」 「それは本当に検出できないよ。トラッキングピクセルを追加することはできるけど…」 「うん、それやって、トラッキングピクルスのやつ。」もう一つは、「これ開いた?」機能が、精度が低いと分かっていながらメトリクスのために導入されて、その後、実際に「このメールが開かれた?」機能がどう機能しているかを見ずに不適切な目的に再利用された可能性。

僕の意見としては、誰かが人やプロセスの問題に対して技術的な解決策を求めたって感じだね。仮のシナリオとして、もちろんこれはたくさんの可能性の一つだけど:1) 法律や規制で必要な重要なコミュニケーションがメールで送られる。2) メールで顧客に連絡するのは時々信頼できない。見逃したメールによって問題が起きて、ある役員のサイロで痛みを引き起こしたから、解決策を求めた。3) 「人にメールを読ませる」ってのは実際には行動可能な要求じゃない。ビジネスはこれを知ってるからITに頼った。4) 「人にメールを読ませる」ってのも技術的には実現可能じゃないけど、ここでのポイントは顧客がメッセージを受け取ったかどうかじゃなくて、顧客がコミュニケーションを見逃したと文句を言った時に会社がカバーできるかどうかなんだ。5) そのために、いろんな技術的解決策が提案されて、みんなそれが悪いか不完全だって知ってる。トラッキングピクセルが選ばれたのは、「最もマシ」で「実装が一番楽」だから。6) この辺りで、誰かがhttpでコンテンツを提供することの問題を指摘したかもしれないけど、それを変更するには別のチームの同意が必要。彼らのプロダクトマネージャーに提案されて、次のPIの優先順位に入るかもしれない(でも、もっと重要なことがその間に出てくるだろうね)。7) トラッキングピクセルが実装される。実装したチームは、これは不完全な解決策で、ビジネスは顧客コミュニケーションのプロセスを再評価する必要があるって強調する。8) メールトラッキングピクセルの解決策が、開発者より3〜5レベル上のマネージャーにプレゼンされるスライドに箇条書きされる。誰もこの解決策が追加の作業や投資を必要とすることに言及しないし、誰もその後にそれを考えることはない。

誰かバルクレイズに、3DSウィジェットがユーザーのデバイスで取引が承認されたときに、売り手に戻らないってことを教えてくれない?実際、イギリスで正しく動いてないシステムの量は驚くべきものだよ。国全体が崩壊してる感じがする。

反論として、gov.ukは世界で最も優れた政府のウェブサイトの一つとして広く認識されてるよね。

チャールズ・シュワブも似たようなことやってる。彼らはペーパーレスのやつから私を勝手に外して、毎月「メールが届いてないから外しました」って手紙を送ってくる。でも、私は普通にメールを受け取ってるのに。彼らのトラッキングが(意図的に)うまくいってないだけなんだよね。

キャピタルワンも同じだね。最終的にはどうでもよくなった。あの紙の郵便が彼らにお金をかけさせてるのは分かってる。いつか気づいてくれるといいけど。

Gmailは自動的に画像を先にダウンロードするから、トラッキングピクセルはユーザーがメールを開く前にGmailが取得しちゃってるんだよね。

高校生向けの倫理とテクノロジーの授業でデモをやったんだけど、Gmailアカウントでこれをうまく示したんだ。だから、これが起こり始めたときはすごくイライラしたよ(笑)。

アップルのメールクライアントもそうだし、ほとんどのウェブメールプロバイダーも同じ。オープンシグナルは基本的に無価値だよね。

Gmailは、同じ画像が複数の人に送られたメールに含まれている場合みたいに、いくつかのヒューリスティックを追加してると思う。少なくとも、その機能を発表した時の記憶ではそうだった。ほかのプロバイダーについては全然わからないし、自分でその機能を試したこともない。

HSBCのことを考えると、全部合ってると思う。彼らの銀行テクノロジーは本当に最悪だよね。どうやってみんながあのクソみたいなサービスに我慢してるのか理解できない。10年前に離れたけど、今でも家族が使ってて、オンラインバンキングアプリが壊滅的で問題だらけ(本当にユーザーのミスじゃない)なんだよね。まるでアプリ開発の初期の頃のものみたい。

http://のことが気になるな。2026年に誰かがわざわざhttpでコンテンツを提供することを選んだんだよね。元のテンプレートが古くても、セキュリティレビューで引っかかるはずだし、完全にそのステップをスキップしたのかも。実際、私は日々銀行データを扱ってるけど、内部システムもかなりひどいことが多い。CSVエクスポートで同じ銀行の製品間で日付フォーマットがバラバラだったり、取引の説明がランダムな切り詰められた文字列だったり、標準化が全然されてない。どの銀行も明細書のフォーマットが違ってて、自分の口座タイプ間でも一貫性がないところもある。データの正確性に関する規制圧力があるのに、こんなことがまだ解決されてないなんて。実際には、ほとんどの銀行がデジタルインフラをレガシー配管みたいに扱ってて、うまく動いてるから誰も触りたがらないんだよね。

でも、この特定のケースでHTTPって本当に重要なのかな?HTTPSは通常、サーバー名の識別を交換するし、誰かがHSBCと話してるのは分かるよね。残りのURLは匿名化されたトラッキングIDに過ぎないから、今回のケースでの脅威が何なのかよく分からない。

でも現実には、ほとんどの銀行はデジタルインフラをレガシー配管のように扱ってるんだよね。動いてるから誰も触りたくないって感じ。でも、オンラインバンキングのウェブUIにはそんなに気を使ってないみたい。

数年前、バンク・オブ・アメリカからマーケティングのスパムメールが来てた。彼らのメールには、その種のメールからオプトアウトする方法がなかったから、彼ら専用に作ったユニークなメールアドレスを無効にした。数ヶ月後、ダンが受け取ったような手紙が届いて、メールが拒否されてるからメールアドレスを修正する必要があるって言われた。彼らとの間で同じような無意味なやり取りをしたけど、マーケティングメールからオプトアウトさせてくれなかったから、数年間そのままにしておいた。結局、「メールの設定」を提供してくれたから、再度有効にした。妻は今でもシティからスパムの郵便を受け取ってて、オプトアウトする方法がない。もし私のアカウントだったら、銀行を変えてるだろうな。話を元に戻すけど、HSBCのITの連中がトラッキングピクセルがアクセスされなかったからってメールが読まれてないと考えるのは本当にバカだと思う。最近のメールクライアントはデフォルトで画像を読み込まないからね。