メールはそんなふうには動きません、HSBC

 (danq.me)
1 ポイント 投稿者 GN⁺ 2026-01-30 | 1件のコメント | WhatsAppで共有
  • HSBCが顧客のメール受信可否をトラッキングピクセルで判定した結果、実際には正常に受信している顧客に「メールがバウンスした」という誤った通知を送付
  • 銀行は顧客にメールアドレスの更新を求めたが、顧客アカウントにはすでに正しいアドレスが登録されていた
  • 分析の結果、HSBCのメールにはHTTPベースのトラッキングピクセルが挿入されており、受信時刻・頻度・IPアドレスなどの個人情報を露出させる危険がある
  • トラッキングピクセルはブロック設定時には動作しないため、銀行がそれを根拠に「メール未受信」と判断したのは技術的な誤用だと指摘されている
  • HSBCは非暗号化トラッキングの停止・プライバシー尊重・明確な顧客コミュニケーションへ転換すべき

HSBCの誤ったメールバウンス通知

  • HSBCは顧客に「メールがバウンスした」として、アドレス更新を求める郵送通知を発送
    • 顧客は実際にはHSBCのメールを正常に受信・閲覧していた
    • オンラインアカウントを確認した結果、登録済みのメールアドレスは正確だった
  • カスタマーサポートのチャット相談では、「銀行が手紙を送ったならアドレスを変更しなければならない」という定型的な回答ばかりが繰り返された
    • その後、電話相談でようやく「アドレスが正しいならその手紙は無視してよい」との回答を得た
  • 筆者はHSBCに対し、「対応が必要」という文言ではなく「アドレス確認が必要」に修正するよう提案

メールトラッキングピクセルの仕組みと問題点

  • HSBCのメール下部には、2つの1×1ピクセルサイズの画像コードが含まれていた
    • このピクセルは、受信者がメールを開いた際にサーバーへアクセスして開封有無を記録する追跡装置として使われる
  • HSBCはこのピクセルをHTTPプロトコルで配信しており、これはネットワーク上の第三者が開封事実を知り得るセキュリティ上の脆弱性を招く
    • 公共Wi-Fi環境では、同じネットワークの利用者がその情報を検知できる可能性がある
  • さらに、攻撃者がメール下部に画像を挿入してフィッシングメッセージに偽装する危険も指摘されている

トラッキングピクセルの信頼性の低さと誤用

  • 筆者はトラッキングピクセルのブロック設定を使っており、メール閲覧情報を送信していない
    • これはメール本来の設計どおりであり、受信者は開封有無を選択的に公開できる
  • HSBCはピクセルからの信号がないことを「メール未受信」と誤認し、バウンス処理したように見える
    • これはトラッキングピクセルを統計的分析ではなく、個別顧客を判定する手段として誤用した事例である
  • 結果としてHSBCは、「メールがバウンスした」という虚偽の通知を送ったことになる

HSBCに示された改善提案

  • 非暗号化(HTTP)トラッキングの停止: メール開封時のネットワーク露出を防ぐため、HTTPSの使用が必要
  • トラッキングのブロックを受信拒否と見なさないこと: ピクセルの動作失敗はさまざまな技術的理由で起こり得る
  • 顧客のメール利用習慣の監視をやめること: すでに十分な個人情報を保有する銀行が追加の監視を行う必要はない
  • メールの有効性検証は直接確認方式で実施: 「確認リンクをクリック」など、明示的同意に基づく手順を推奨
  • データ倫理原則の順守: HSBCが公表した「データとAIの倫理的利用原則」に従い、目的適合性・透明性を確保する必要がある

結論

  • HSBCはトラッキングピクセルの信頼性の限界を誤解し、顧客メールを誤って判断した
  • この事例は、監視資本主義的なデータ収集慣行が金融機関の運営にまで浸透していることを示している
  • 筆者は、HSBCが技術的な誤りを認め、透明なデータ利用と顧客プライバシー保護を強化すべきだと強調している

関連記事

1件のコメント

 
GN⁺ 2026-01-30
Hacker Newsの意見

  • 2026年になってもなお HTTP でコンテンツを配信していた点が目についた
    ちゃんとしたセキュリティレビューさえしていれば見つかったはずで、その工程自体を省いたように見える
    私は銀行データを扱う仕事をしているが、内部システムも同じように ひどい有様
    同じ銀行内でもCSVの日付形式がバラバラで、取引説明は切り詰められた文字列で標準化されていない
    これほど規制圧力が強いのに今なおこの状態なのは、ほとんどの銀行がデジタルインフラを 老朽化した配管 のように扱っているからだ

    • 私も銀行データを扱ったことがあるが、実際には OFX という標準フォーマットがある
      だが各銀行がメモの長さを別々に切り詰めたり、AMEX のように NAME と MEMO フィールドを入れ替えたりしていて滅茶苦茶だ
      それでも最低限の標準は存在する
      関連文書: Open Financial Exchange, Financial Data Exchange
    • 銀行はオンラインバンキングの UI にはそれほど気を配っていない
      ATMの画面でさえ同じように古びた印象だ
    • 実際には HTTP を意図的に使うケースも多い
      たとえば ACME HTTP-01 チャレンジ や証明書発行、CRL/OCSP レスポンス などは今でも HTTP を使う
      RFC8555, Let's Encrypt ドキュメント を参照
      したがって「HTTPはもう無用だ」というような一般化は誤りだ
    • この件で HTTP が本当に問題なのかは分からない
      HTTPS でも SNI はやり取りされるので、誰かが HSBC と通信していることは分かる
      URL の残りは匿名化された追跡 ID にすぎず、実際の脅威はそれほど大きくないように見える
    • おそらくメール追跡を担当する サードパーティサービス が HTTP でコンテンツを配信していた可能性が高い
      HTTPS を使うと設定や証明書管理がより複雑になるからだ

  • なぜこんなことが起きたのか気になった
    銀行ITでは、こうした メール追跡機能 ひとつ導入するだけでも何十人も関わり、1年はかかる
    その過程で「2026年に HTTP は危険だ」と言った開発者が確実にいたはずだが、結局 中間管理職 に無視された可能性が高い

    • 私も FAANG でメールコンテンツ制作チームを支援していたが、「オープントラッキングは信頼できない」と何度説明しても誰も聞かなかった
      経営陣は、なぜある人は開いたのに記録がないのか、なぜ開いていないのに記録があるのかと問い続ける
      作成者たちはクリック率より 開封率 のほうが高く出るので、それを成果指標にする
      結局、皆が自分はうまくやっていると感じるために不正確な指標を使っている
    • 有能な人もいるだろうが、大手銀行の技術職の大半は やる気を失った状態
      経営陣がすべての決定を下し、開発者はただ言われたことをやるだけだ
      私も以前大手銀行で働いていたが、数年で去る人でなければ、ただの「ボタンを押して給料をもらう人」として残ることになる
    • それでも少なくともメールで通知してくれるほうがましだと思う
      「重要なメッセージがあります、ログインしてください」という類いのメールよりはずっとよい
    • これは 「state of the practice」 だと思う
      マンションのアプリのように便利機能が徐々に強制され、最終的にすべてのユーザーがそれに従わざるを得ない構造へと変わっていく
      その過程で個人のコントロールは減っていく
    • 正直、この条件で 有能な開発者 が銀行に残る理由はない
      給与も環境も特別よいわけではなく、イノベーションの余地もほとんどない

  • NAB Australia もまったく同じことをする
    メールでリモート画像を読み込まないと、「メールが配信されていない」として紙の明細書に切り替えたと郵便で通知してくる
    実際にはメールはちゃんと届いていた

    • 私も Capital One で似たようなことを経験した
      メールを読んでいないと判断され、残高通知が 自動的に無効化 された
      開封確認を切ってリモートリソースをブロックしていただけなのに、だ
      結局その銀行をやめた
    • 銀行が顧客にメールが届いているか確認する必要があるのは分かるが、紙の郵便のほうが 不安定
      集合住宅の郵便受けは誤配や盗難がよくあり、ひどいときには燃えることさえある

  • 以前 Bank of America からマーケティングスパムを受け取っていたが、配信停止の選択肢がなかった
    そこでそのメールアドレスを無効化したら、「メールがバウンスしている」として郵便で修正依頼が届いた
    結局、数年間そのまま無効化しておき、後になってようやくメール設定機能ができた
    妻はいまでも Citi からスパム郵便を受け取っているが、そこにも停止方法がない
    こういうのを見ると、HSBC の IT チームが トラッキングピクセル を根拠に「メールを読んでいない」と判断したのは本当に愚かだ
    今どきほとんどのメールクライアントは画像をデフォルトでブロックする

  • HSBCの技術力 は本当に最悪だ
    オンラインバンキングアプリは2000年代初頭レベルで、家族の一人がまだ使っているがエラーが出続ける
    ユーザーのミスではなくシステムの問題だ

  • 銀行に顧客の声を聞かせるには 口座を解約 するのが最も効果的だ
    もちろん実際に乗り換える覚悟が必要だが

    • ただ最近の銀行は口座そのもので稼ぐ構造ではないので、解約しても 打撃はほとんどない
    • その代わり 規制当局に通報 するほうがずっと効果的だ
      問題を公式に記録しておけば、繰り返されたときに対応が可能になる
    • 実際 HSBC は自ら 正常な口座を閉鎖した事例 もある
      The Guardian 記事 を参照
      私もそのとき被害を受け、その後 Wise に移った

  • Capital One も似たようなことをする
    それでも「最近メールを開いていない」と明確に書いてあるので、意味は理解できる
    実際にはメールを開いていたが、トラッキングピクセル をブロックしていただけだった

    • 私は同じ文言が見えたら Gmail のルールで自動削除するようにしている
      彼らの問題を私が解決してやる理由はない

  • Gmail は画像を事前にダウンロードするので、実際にはユーザーが開いていなくても トラッキングピクセル が呼び出される

    • 私も高校生向けの 技術倫理の授業 で Gmail アカウントを使ってこれを実演したが、実際に動くのを見て驚いた
    • Apple Mail やほとんどのウェブメールも同様で、開封シグナルはほぼ無意味だ
    • Gmail は同じ画像を複数人に送るとき ヒューリスティックフィルタリング を適用すると聞いたことがある
      自分では試していないが、他のメールサービスも似たようなものだろう
    • Gmail が画像をダウンロードするときは GoogleImageProxy として識別され、GCP の ASN からリクエストが来る
      ほとんどのメールサービスはマルウェア検査のためにサーバー側で画像を事前取得するので、
      実際にはピクセルトラッキングはほぼ常に 外部メールサービスプロバイダー が処理している

  • 私も HSBC でまったく同じことを経験した
    デジタル身分証で10分で口座を開設し、1日で Apple Pay カード を受け取れるほど手続き自体は素晴らしかった
    ところがマーケティングメールの受信を拒否したところ、「ウェルカムアップセル」メールを送り、それがバウンスしたため 口座を凍結 された
    結局 OP と同じ状況になった

  • Charles Schwab も同様だ
    メールは普通に届いているのに、「配信できない」として紙の明細に切り替える
    実際の問題は トラッキングピクセルのブロック

    • 私も Fidelity で同じ問題が起きているようだ
      カスタムドメインのメールはエラーになるが、ProtonMail のアドレスは問題なく動く
      おそらく ProtonMail はトラッキングピクセルをブロックしないからだろう
    • Capital One も同じだ
      もう気にしないことにした
      紙の郵便は彼らにとってコストがかかるので、そのうち気づくだろうと思っている