Webバグと個人識別用ID
OUTLOOKの謎機能
OUTLOOKなどのメールクライアントは、HTMLメールを開くときに、「画像ファイルをダウンロードしますか?」と質問してくることがある。これがなぜなのかはあまり知られていないが、広告メール等にWEBバグという画像ファイルがついてくることがあるからだ。WEBバグというのは「広告メールを開いた人と場所と時間を特定する機能」である。
OUTLOOKが判断しないこと
もしメールクライアントが画像ファイルを自動ダウンロードしてしまうと、画像をダウンロードしたことによってメールが開かれたことを識別できてしまう。大体画像URIに一見ランダムな文字列が付加されており、そのランダムに見える文字列は、実は個人識別用のIDになっていて、①どのURIに、②何時に、③どこのIPアドレスから、④どの画像ファイルをダウンロードしたのかによって、①誰が、②何時に、③どこのIPアドレスから④どのメールを開いたのかわかってしまう。
よって、その広告メールを見たことを知られたくなければ、画像をダウンロードしなければよい。実はあの「画像ファイルをダウンロードしますか」という機能は、「差出人へのメールを見たという通知を、許可するのか許可しないのか、判断をユーザにゆだねる」という意味を持っているのだ*1。
内部告発者を特定する
個人識別用IDを隠す
内部告発などで、会社が従業員に対して送ったメールがさらされることはよくある話で、このような場合、企業はさらした従業員を特定しようとするだろう。ただし、一般に「一斉配信メール」は内容に違いがないので、文面からさらした本人を見つけることは難しい。であるならば、文面に微妙な差をつけることで、さらした本人を突き止めるソリューションなんてものが可能なんじゃないだろうか。要は文面そのものを個人識別用IDにしちゃうのだ。
例えば
・日付の記載形式を ①xxxx年xx月xx日②xxxx/xx/xx③xxxx-xx-xx
・文中の語尾を変える
・改行数を変える。
・特定のキーワードの全角・半角を変える
のような項目を複数組み合わせてしまえば、簡単に個人を特定できる気がする。2択だったら、10個組み合わせれば1000人に違うメールを送信可能だ(2^10=1024)。