フィッシング詐欺が再喚起するHTMLメールの危険性
2004年12月03日
「HTMLメールを使うな」「Outlook Express 等のマイクロソフト製メールソフトを使うな」という言説を聞いた経験は、ネット利用者なら一度や二度ではないだろう。
マイクロソフト製メールソフトから送信されるHTMLメールが出回り始めた当初は、HTMLメールに対応していないメールソフトへの配慮の無さや、ファイルサイズの増大が問題視された。当時普及していた他社製メールソフトにおいて、HTMLメールの内容をまともに読めない状況が続出した。後発メールソフトがばら撒くそのような混乱が、まずは問題となった。また、当時は通信速度が遅い時間課金制のダイアルアップ接続が主流であったため、ファイルサイズの増大も問題となった。これはパケット従量課金制の携帯メールにも共通する問題である。
次に、HTMLメールと聞いて多くの人が連想する、ウィルスメールの流行が始まった。HTMLメールを表示するために使用するWebブラウザ (Internet Explorer) のセキュリティ脆弱性を悪用したウィルスが、数多く出現している。一つのセキュリティ脆弱性を修正しても、また別の脆弱性が発覚し、それを悪用したあらたなウィルスが流行し、現在にいたっている。マイクロソフトは脆弱性修正のためのソフトウェア更新やセキュリティ設定の変更を呼びかけたものの、HTMLメールを表示する初期設定の変更が不可能だった状況については放置し続けていた。
また HTMLメールには、ウィルスによる情報流出とは別の、プライバシー侵害の危険が存在する。HTMLメールには、その中に貼り付ける画像等を、受信者がメールを開いた時点でダウンロードする機能がある。そもそもはファイルサイズ増大を防ぐための機能であった。それが、「Webビーコン」「Webバグ」等と呼ばれる想定外の使われ方へと転用された。メール送信者側にとっては、受信者がメールを開いたか否か、画像ダウンロードのアクセス記録からの開封確認が可能となる。同様に、迷惑メール送信業者にとっては、送信先のメールアドレスが有効か否かの選別が可能となる。自社の商品を販売促進したい業者にとっては、どの受信者がどの商品に興味を持っているのか、受信者の行動追跡とそのマーケティング活用が容易となる。そして、そのようなことが受信者の許可なくHTMLメールによって可能となってしまう。これが、HTML形式の迷惑メールや広告メールが急速に広まった、(見た目の訴求効果以外の)もう一つの理由である。
そして、フィッシング詐欺メールがHTMLメールを悪用している事例が次々と報告されている。HTMLメールではないフィッシング詐欺メールと比べて、見た目の訴求効果だけでも詐欺の成功率は高まっているはずである。だが、悪用の手法はそれだけにとどまらない。本物サイトへのURLの「画像」を表示し、「本物サイトへのURL」を慎重に目視確認してクリックしたはずの利用者を偽サイトへと誘導する手法などは、もはや定番である。最近では、ウィルスメールと同様の手法でひそかに不正プログラムを忍ばせ、本物サイトへのURLにアクセスしたはずの利用者を偽サイトへ誘導する手法などが報告されており、HTMLメールを悪用する手法は高度化、巧妙化する一方である。しかもまだまだ「発展途上」の段階であり、今後あらたな手法が登場する可能性が取りざたされている。
昨年あたりからようやく、マイクロソフトが抜本的な対策に乗り出している。Outlook Express 6 SP1 (IE SP1) において、HTMLメールをテキストメールに変換して表示するオプション項目が追加された(ただし初期設定では従来通りの表示)。今年秋に提供された Windows XP SP2 の Outlook Express では、HTMLメール開封時に画像等を自動ダウンロードしない初期設定が施された。また、添付プログラムをHTMLメール経由で自動実行しないように、処理方法が変更された。あらためて言うまでもないが、それらは最初からそうしておくべきだった事柄である。
電子メールによるサービスの提供者と利用者は、マイクロソフトが遅まきながらそのような対策を施した背景や意義を十分に踏まえた上で、メールを送信、受信する必要がある。最近では、利用者の明示的な同意なしにHTMLメールを送信しない提供者が増加している。また、HTMLメールを原則として表示しない設定を施す利用者も増加している。HTMLメール関連の対策以外にも、暗号化や送信者認証など、電子メールの信頼性を向上させる手法の導入を推進する動きが見られる。諸問題について一定の理解が広がっていることをうかがわせる。
一方で、十分なリスク説明もなく、HTMLメールを表示させるための設定の変更を利用者に求めるサービス提供者が存在する。そろそろ、自省してはどうだろうか。また、利用者にも、設定の変更がどのような影響をもたらすのか可能な限り理解する努力が求められる。せっかくの道具を生かすも殺すも、その使い手次第なのである。
マイクロソフト製メールソフトから送信されるHTMLメールが出回り始めた当初は、HTMLメールに対応していないメールソフトへの配慮の無さや、ファイルサイズの増大が問題視された。当時普及していた他社製メールソフトにおいて、HTMLメールの内容をまともに読めない状況が続出した。後発メールソフトがばら撒くそのような混乱が、まずは問題となった。また、当時は通信速度が遅い時間課金制のダイアルアップ接続が主流であったため、ファイルサイズの増大も問題となった。これはパケット従量課金制の携帯メールにも共通する問題である。
次に、HTMLメールと聞いて多くの人が連想する、ウィルスメールの流行が始まった。HTMLメールを表示するために使用するWebブラウザ (Internet Explorer) のセキュリティ脆弱性を悪用したウィルスが、数多く出現している。一つのセキュリティ脆弱性を修正しても、また別の脆弱性が発覚し、それを悪用したあらたなウィルスが流行し、現在にいたっている。マイクロソフトは脆弱性修正のためのソフトウェア更新やセキュリティ設定の変更を呼びかけたものの、HTMLメールを表示する初期設定の変更が不可能だった状況については放置し続けていた。
また HTMLメールには、ウィルスによる情報流出とは別の、プライバシー侵害の危険が存在する。HTMLメールには、その中に貼り付ける画像等を、受信者がメールを開いた時点でダウンロードする機能がある。そもそもはファイルサイズ増大を防ぐための機能であった。それが、「Webビーコン」「Webバグ」等と呼ばれる想定外の使われ方へと転用された。メール送信者側にとっては、受信者がメールを開いたか否か、画像ダウンロードのアクセス記録からの開封確認が可能となる。同様に、迷惑メール送信業者にとっては、送信先のメールアドレスが有効か否かの選別が可能となる。自社の商品を販売促進したい業者にとっては、どの受信者がどの商品に興味を持っているのか、受信者の行動追跡とそのマーケティング活用が容易となる。そして、そのようなことが受信者の許可なくHTMLメールによって可能となってしまう。これが、HTML形式の迷惑メールや広告メールが急速に広まった、(見た目の訴求効果以外の)もう一つの理由である。
そして、フィッシング詐欺メールがHTMLメールを悪用している事例が次々と報告されている。HTMLメールではないフィッシング詐欺メールと比べて、見た目の訴求効果だけでも詐欺の成功率は高まっているはずである。だが、悪用の手法はそれだけにとどまらない。本物サイトへのURLの「画像」を表示し、「本物サイトへのURL」を慎重に目視確認してクリックしたはずの利用者を偽サイトへと誘導する手法などは、もはや定番である。最近では、ウィルスメールと同様の手法でひそかに不正プログラムを忍ばせ、本物サイトへのURLにアクセスしたはずの利用者を偽サイトへ誘導する手法などが報告されており、HTMLメールを悪用する手法は高度化、巧妙化する一方である。しかもまだまだ「発展途上」の段階であり、今後あらたな手法が登場する可能性が取りざたされている。
昨年あたりからようやく、マイクロソフトが抜本的な対策に乗り出している。Outlook Express 6 SP1 (IE SP1) において、HTMLメールをテキストメールに変換して表示するオプション項目が追加された(ただし初期設定では従来通りの表示)。今年秋に提供された Windows XP SP2 の Outlook Express では、HTMLメール開封時に画像等を自動ダウンロードしない初期設定が施された。また、添付プログラムをHTMLメール経由で自動実行しないように、処理方法が変更された。あらためて言うまでもないが、それらは最初からそうしておくべきだった事柄である。
電子メールによるサービスの提供者と利用者は、マイクロソフトが遅まきながらそのような対策を施した背景や意義を十分に踏まえた上で、メールを送信、受信する必要がある。最近では、利用者の明示的な同意なしにHTMLメールを送信しない提供者が増加している。また、HTMLメールを原則として表示しない設定を施す利用者も増加している。HTMLメール関連の対策以外にも、暗号化や送信者認証など、電子メールの信頼性を向上させる手法の導入を推進する動きが見られる。諸問題について一定の理解が広がっていることをうかがわせる。
一方で、十分なリスク説明もなく、HTMLメールを表示させるための設定の変更を利用者に求めるサービス提供者が存在する。そろそろ、自省してはどうだろうか。また、利用者にも、設定の変更がどのような影響をもたらすのか可能な限り理解する努力が求められる。せっかくの道具を生かすも殺すも、その使い手次第なのである。
このコンテンツの著作権は、株式会社大和総研に帰属します。著作権法上、転載、翻案、翻訳、要約等は、大和総研の許諾が必要です。大和総研の許諾がない転載、翻案、翻訳、要約、および法令に従わない引用等は、違法行為です。著作権侵害等の行為には、法的手続きを行うこともあります。また、掲載されている執筆者の所属・肩書きは現時点のものとなります。
