今回は、Outlook Expressをはじめとする各種メーラで閲覧可能な、「HTMLメール」についてです。
HTMLメールはテキストだけのメールに比べてずっときれいで見やすく、様々な機能を盛り込むことができます。
しかし、HTMLメールは非常に問題が多いのです。
(追記:2003/06/16)
おすすめリンク集にリンクさせていただいている白梟さんから、「プライバシー上の問題」をご指摘いただきましたので追加しました。
- セキュリティ上の問題
HTMLメールは以前から様々な攻撃手段として用いられ、対策が行われてきましたが、2001年に過去最悪の被害を与えたNimdaの出現によって、HTMLメールの危険性はやはり高いと認識せざるを得なくなりました。Nimdaが送信するHTMLメールは、OEで開いただけでNimdaに感染してしまいます。
さらに最近、マイクロソフト自身が問題のあるHTMLメール(ウィルスではありませんが)を配信してしまうという笑うに笑えない事件も発生しました。
スラッシュドット ジャパン | MSが誤って「クラッシャー」メールを配信 - ネチケット上の問題
HTMLメールに対応していないメーラでHTMLメールを開くと、タグが剥き出しで表示され、大変見にくくなります。加えてサイズも格段に重くなるので、特にメーリングリストなどでは嫌われており、ルールとして明示的に禁止しているメーリングリストもあります。 - プライバシー上の問題
HTMLメールでは、外部のサーバに置いてある画像を表示することができ、HTML形式のメールマガジンなどで一般的に使われています。
これはすなわち、HTMLメールを見た時点で「その外部サーバに通信している」ということになり、送信者側が「誰がそのHTMLメールを読んだか」という情報を取得することも可能となります。
具体的にはHTMLメールの中に、送信するユーザ一人一人に対してすべて異なるURLを持つ、サイズ1x1の透明GIF画像へのリンクを書き込んでおくという手法が使われます。
たとえば「hogehoge@usoyonen.com」に対して「123456789.gif」を割り当てておいてアクセスを見張り、「123456789.gif」にアクセスがあれば、「hogehoge@usoyonen.com」を持つユーザがHTMLメールを見たことがわかる、という仕組みです。
いわゆる「迷惑メール」においてこれをやられると、より深刻な事態になるおそれがあります。
迷惑メールに対して返信すると「お、このユーザはメールを読んでるな」と相手に知られ、より多くの迷惑メールを送信される結果を招くことになってしまうのですが、上記の手法を使った迷惑HTMLメールを開いてしまうとそれだけで、迷惑メールに返信したのと同じ結果になってしまいます。
(修正:2003/06/09)
以前、本記事においては「OE本体の設定によって、送られてきたHTMLメールをWeb形式で見ないようにする方法はない」と書いておりましたが、IE/OEのバージョン6 SP1ではこれが可能となりました。
詳しい手順は「初めての手順書 Appendix1 OE6SP1でテキスト読み取り」で説明していますので、こちらをごらんください。
実は、OEにおいてHTMLメールをWeb形式で表示しているのは、Internet Explorerなのです。
ですからIEのセキュリティを高めておけば、少なくともNimdaが利用した脆弱性は回避できます。
第4回を参考にして、IEのバージョンを5.5 サービスパック2以上にバージョンアップしてください。セキュリティレベルの設定もお忘れなく。