文面に仕込むWEBバグのようなもの

Webバグと個人識別用ID

OUTLOOKの謎機能

OUTLOOKなどのメールクライアントは、HTMLメールを開くときに、「画像ファイルをダウンロードしますか?」と質問してくることがある。これがなぜなのかはあまり知られていないが、広告メール等にWEBバグという画像ファイルがついてくることがあるからだ。WEBバグというのは「広告メールを開いた人と場所と時間を特定する機能」である。

OUTLOOKが判断しないこと

もしメールクライアントが画像ファイルを自動ダウンロードしてしまうと、画像をダウンロードしたことによってメールが開かれたことを識別できてしまう。大体画像URIに一見ランダムな文字列が付加されており、そのランダムに見える文字列は、実は個人識別用のIDになっていて、①どのURIに、②何時に、③どこのIPアドレスから、④どの画像ファイルをダウンロードしたのかによって、①誰が、②何時に、③どこのIPアドレスから④どのメールを開いたのかわかってしまう。
よって、その広告メールを見たことを知られたくなければ、画像をダウンロードしなければよい。実はあの「画像ファイルをダウンロードしますか」という機能は、「差出人へのメールを見たという通知を、許可するのか許可しないのか、判断をユーザにゆだねる」という意味を持っているのだ*1

個人識別用ID

広告メールにはWEBバグ以外にも個人識別用IDが付加されていることがある。

詳しくはこちら

みたいなリンクに、実は個人識別用IDが記載されていて、リンクを開くことで、同じく①誰が、②何時に、③どこのIPアドレスから④どのメールからアクセスしてきたのかが判明する。

この個人識別用IDは詐欺行為にも使える。「詐欺メール記載のリンクにわざわざアクセスしてきたカモを識別しリスト化する」といったことは、非常によく行われていると思われる。*2

内部告発者を特定する

個人識別用IDを隠す

内部告発などで、会社が従業員に対して送ったメールがさらされることはよくある話で、このような場合、企業はさらした従業員を特定しようとするだろう。ただし、一般に「一斉配信メール」は内容に違いがないので、文面からさらした本人を見つけることは難しい。であるならば、文面に微妙な差をつけることで、さらした本人を突き止めるソリューションなんてものが可能なんじゃないだろうか。要は文面そのものを個人識別用IDにしちゃうのだ。

例えば
・日付の記載形式を ①xxxx年xx月xx日②xxxx/xx/xx③xxxx-xx-xx
・文中の語尾を変える
・改行数を変える。
・特定のキーワードの全角・半角を変える

のような項目を複数組み合わせてしまえば、簡単に個人を特定できる気がする。2択だったら、10個組み合わせれば1000人に違うメールを送信可能だ(2^10=1024)。

Lの罠を活用する

デスノートというマンガがある。主人公の敵役であるLという人物が、主人公にかけた罠にこんなものがあった。
主人公の住んでいる位置を大まかに特定するため、「情報を全国同時発信しているように見せかけて、一部地域だけに発信し主人公の反応から居住地域を割り出す」。これを応用して、「個人情報保護のためBCCで送付します」みたいなことを書いて全員にBCCで送付してしまえば、一斉送信ではなく少しずつ違うメールが送られていることに気づけないだろう。
また、例えばメールを1秒ずつずらして発信すれば、発信時刻で少なくとも「60人」まで受信者を絞ることができるだろう。*3

内部告発者がその足跡を消す方法

内部告発としてメール公開する際に、告発者がバレないようにするためには
BCCで送付されていないか確認する。
・同じメールを知り合いに転送してもらって、同一文言か比較する。
・発信時刻は隠す

くらいのことはやったほうがいいんじゃないでしょうか。*4
ということを思ったりした土曜の夜。ノーノーダーリン。

*1:メッセージにそう書けよと思うが多分長すぎる

*2:なので、自分が如何に騙されない自信があったとしても、明らかに詐欺なメールについては、メール記載のリンク先にアクセスしないほうが良い

*3:時分までしか表示しないメールクライアントがほとんどであろうから

*4:まあ、さらされるようなメール発信するなよっていう話だけれど。