世界を動かす技術を、日本語で。

HNに知らせる: YC企業がGitHubの活動をスクレイピングし、ユーザーにスパムメールを送信

2026年2月26日

概要

  • GitHub活動 をもとにした 無断マーケティングメール の受信
  • Run Anywhere (YC企業)や Voice.AI など複数社からの連絡
  • GDPR違反 の懸念
  • 苦情提出 済み(企業・GitHub・YC Ethics)
  • 今後の対応や経過報告 を予定

GitHub活動を利用したマーケティングメール問題

  • GitHub上の活動履歴 を企業が 自動収集 し、対象者へ 宣伝メール を送付
  • Run Anywhere(YC W26)Voice.AI からのコンタクト事例
  • コミットメタデータ (メールアドレス・リポジトリ内容など)を利用したターゲティング
  • 受信者の 事前同意 なしでの連絡
  • GDPR(一般データ保護規則) 違反の可能性

受信者の対応と懸念

  • 両社に苦情 を送信したが、 返答なし
  • GitHub運営 および YC Ethics にも連絡済み
  • 個人情報の利用目的取得経路 の透明性欠如
  • 不特定多数への スパム的アプローチ への不安
  • 欧州在住者 にとっては特に 法的リスク が高い状況

GDPRと今後の動向

  • GDPR では、 個人データの利用 には 明確な同意 が必要
  • 違反した場合、企業に 高額な罰金 が科される可能性
  • プライバシー保護データ取得の適法性 が今後の焦点
  • GitHubYC からの対応・声明に注目
  • 今後のアップデート追加報告 が期待される状況

Hackerたちの意見

これはスパムだからまあいいけど、実際の詐欺に巻き込まれたことがあって、そっちはフロントページにすら載らなかったんだよね。 https://news.ycombinator.com/item?id=45357205

でも、GHがそれを消したみたいだね。あんまり被害者が出てないといいけど。

OSSに貢献したからって、新しい暗号通貨を押し売りしてくるメールが来た時よりはちょっと気持ち悪いかも。

でも、それはYCになりすました誰かの話で、YCの会社が悪いことをするよりは面白くないよね。フィッシャーたちは正当な企業を真似ることが多いから、簡単に引っかかることもあるし、同情するよ。誰でも影響を受けやすいからね(今日もフィッシングトレーニングのメールをクリックしそうになったけど、急いでる感じで、ちょうど心に響くボタンを押してた)。

これ、前に話題になってたの覚えてるよ。 https://news.ycombinator.com/item?id=9332418 (11年前) https://news.ycombinator.com/item?id=20660624 (7年前) https://news.ycombinator.com/item?id=27855152 (5年前) https://news.ycombinator.com/item?id=30900237 (4年前) どうやら再発してる問題みたいだね。

ここ数年、YC資金を受けた会社からこういうスパムがたくさん来てて、今ではYC資金って書いてあるメールは、どんなに正当なものであっても反射的にスパム扱いしちゃってる。

君を責める気にはなれないよ。FOMOが本当にやばくて、最近は基本的なChatGPTのラッパーですら資金調達されてるからね。

私も同じだよ。YCが名前に付いてるからって、そんなに自慢できることじゃないし、むしろ逆の意味だね。

こういうことはよくあるし、GitHubのAPIが本当に便利で、実際の確認済みメールアドレスを使って価値のあるリードを簡単に抜き出せちゃうから、驚きはしないよ。

うん、もう10年くらい続いてるね。

メールアドレスのプライバシーはGitHubが提供してる機能で、日常のメールを置き換えるものだよ。 https://docs.github.com/en/account-and-profile/how-tos/email...

GitHubのマーチンです。こういう行動はGitHubの利用規約に明確に反してます。こういうアカウントを見つけたら、私たちは(そして実際に)そのアカウントに対して行動を起こします。アカウントを禁止することもありますよ。確かに、これは「モグラたたき」みたいなもので、実際にはスタートアップだけじゃなくて、いろんなところがこの怪しい行動に関わってるのが現実です。私の経験上、いろんな例を見てきました。Gitの基本的な性質上、オープンソースのリポジトリからデータをスクレイピングするのは簡単なんです。これは私たちの利用規約に反していて、そういう人たちは弁護士に相談した方がいいかもしれません。でも、すべてのGitコミットにはあなたの名前とメールアドレスが含まれているので、技術的には難しくないんですよね。倫理的には問題がありますが。初期の頃から、GitHubに投稿するコミットのメールアドレスを匿名化するための機能を追加してきました。基本的には、ローカルのGitクライアントを設定して「no-reply」のメールアドレスを使うようにすれば、プッシュしたときにGitHubアカウントにリンクされます。詳細はここにあります: https://docs.github.com/en/account-and-profile/reference/ema... これが今でも一番の方法だと思います。オープンソースデータはできるだけオープンに保ちたいので、APIを制限するのは正しい方法ではないと思います。APIリクエストやスクレイピングトラフィックは制限していますが、限界に引っかかってイライラしている人たちの投稿もたくさん見てきたので、これはバランスを取るのが難しいですね。みんなの意見も聞きたいです。

Hacker Newsで議論の続きを見る