コラム

2004.12.03

|

情報技術研究所 　小川創生 [プロフィール] フィッシング詐欺が再喚起するHTMLメールの危険性

「HTMLメールを使うな」「Outlook Express 等のマイクロソフト製メールソフトを使うな」という言説を聞いた経験は、ネット利用者なら一度や二度ではないだろう。 マイクロソフト製メールソフトから送信されるHTMLメールが出回り始めた当初は、HTMLメールに対応していないメールソフトへの配慮の無さや、ファイルサイズの増大が問題視された。当時普及していた他社製メールソフトにおいて、HTMLメールの内容をまともに読めない状況が続出した。後発メールソフトがばら撒くそのような混乱が、まずは問題となった。また、当時は通信速度が遅い時間課金制のダイアルアップ接続が主流であったため、ファイルサイズの増大も問題となった。これはパケット従量課金制の携帯メールにも共通する問題である。 次に、HTMLメールと聞いて多くの人が連想する、ウィルスメールの流行が始まった。HTMLメールを表示するために使用するWebブラウザ (Internet Explorer) のセキュリティ脆弱性を悪用したウィルスが、数多く出現している。一つのセキュリティ脆弱性を修正しても、また別の脆弱性が発覚し、それを悪用したあらたなウィルスが流行し、現在にいたっている。マイクロソフトは脆弱性修正のためのソフトウェア更新やセキュリティ設定の変更を呼びかけたものの、HTMLメールを表示する初期設定の変更が不可能だった状況については放置し続けていた。 また HTMLメールには、ウィルスによる情報流出とは別の、プライバシー侵害の危険が存在する。HTMLメールには、その中に貼り付ける画像等を、受信者がメールを開いた時点でダウンロードする機能がある。そもそもはファイルサイズ増大を防ぐための機能であった。それが、「Webビーコン」「Webバグ」等と呼ばれる想定外の使われ方へと転用された。メール送信者側にとっては、受信者がメールを開いたか否か、画像ダウンロードのアクセス記録からの開封確認が可能となる。同様に、迷惑メール送信業者にとっては、送信先のメールアドレスが有効か否かの選別が可能となる。自社の商品を販売促進したい業者にとっては、どの受信者がどの商品に興味を持っているのか、受信者の行動追跡とそのマーケティング活用が容易となる。そして、そのようなことが受信者の許可なくHTMLメールによって可能となってしまう。これが、HTML形式の迷惑メールや広告メールが急速に広まった、（見た目の訴求効果以外の）もう一つの理由である。 そして、フィッシング詐欺メールがHTMLメールを悪用している事例が次々と報告されている。HTMLメールではないフィッシング詐欺メールと比べて、見た目の訴求効果だけでも詐欺の成功率は高まっているはずである。だが、悪用の手法はそれだけにとどまらない。本物サイトへのURLの「画像」を表示し、「本物サイトへのURL」を慎重に目視確認してクリックしたはずの利用者を偽サイトへと誘導する手法などは、もはや定番である。最近では、ウィルスメールと同様の手法でひそかに不正プログラムを忍ばせ、本物サイトへのURLにアクセスしたはずの利用者を偽サイトへ誘導する手法などが報告されており、HTMLメールを悪用する手法は高度化、巧妙化する一方である。しかもまだまだ「発展途上」の段階であり、今後あらたな手法が登場する可能性が取りざたされている。 昨年あたりからようやく、マイクロソフトが抜本的な対策に乗り出している。Outlook Express 6 SP1 (IE SP1) において、HTMLメールをテキストメールに変換して表示するオプション項目が追加された（ただし初期設定では従来通りの表示）。今年秋に提供された Windows XP SP2 の Outlook Express では、HTMLメール開封時に画像等を自動ダウンロードしない初期設定が施された。また、添付プログラムをHTMLメール経由で自動実行しないように、処理方法が変更された。あらためて言うまでもないが、それらは最初からそうしておくべきだった事柄である。 電子メールによるサービスの提供者と利用者は、マイクロソフトが遅まきながらそのような対策を施した背景や意義を十分に踏まえた上で、メールを送信、受信する必要がある。最近では、利用者の明示的な同意なしにHTMLメールを送信しない提供者が増加している。また、HTMLメールを原則として表示しない設定を施す利用者も増加している。HTMLメール関連の対策以外にも、暗号化や送信者認証など、電子メールの信頼性を向上させる手法の導入を推進する動きが見られる。諸問題について一定の理解が広がっていることをうかがわせる。 一方で、十分なリスク説明もなく、HTMLメールを表示させるための設定の変更を利用者に求めるサービス提供者が存在する。そろそろ、自省してはどうだろうか。また、利用者にも、設定の変更がどのような影響をもたらすのか可能な限り理解する努力が求められる。せっかくの道具を生かすも殺すも、その使い手次第なのである。

コラム　バックナンバー一覧 ｜　2010　｜　2009　｜　2008　｜　2007　｜　2006　｜　2005　｜　2004　｜　2003　｜　 ｜12月｜11月｜10月｜9月｜8月｜7月｜6月｜5月｜4月｜3月｜2月｜1月｜

[2004.12.30]  上海とお台場   チーフエコノミスト　原田泰

[2004.12.29]  ５期連続増益予想、持続成長への挑戦続く   調査企画部　��品佳正

[2004.12.28]  企業の株主還元強化に向けて大変革が始まっている！   投資戦略部　三宅一弘

[2004.12.27]  エマージング債にチャンスあり   投資戦略部　長谷川永遠子

[2004.12.24]  インターネット関連ビジネスの新たな潮流 〜ネットコミュニティビジネス〜   新規産業調査部 　藤巻潤一

[2004.12.22]  液晶価格の底打ちは2Q05、しかしその後の反転上昇は期待できず   台北支所 　杉下亮太

[2004.12.21]  みなし有価証券の範囲と信託受益権販売業   制度調査部 　中田綾

[2004.12.20]  介護保険における被保険者の対象年齢引き下げの妥当性   年金事業開発部 　齋藤哲史

[2004.12.17]  不良債権処理は経済に決定的なダメージを与えたか   資本市場調査部 　宇野健司

[2004.12.16]  高速道路夜間割引の効果   経営戦略研究部 　竹田哲郎

[2004.12.15]  証券仲介業解禁に寄せて   大和総研理事長 　清田瞭

[2004.12.14]  役割増す「概念フレームワーク」   制度調査部 　齋藤純

[2004.12.13]  敵対的Ｍ＆Ａリスクにおののく韓国企業   ソウル駐在 　五百旗頭治郎

[2004.12.10]  オートクチュールとプレタポルテ   ニューヨーク情報技術センター 　新林浩司

[2004.12.09]  期待が集まる中国人留学   事業戦略コンサルティング部 　大野順弘

[2004.12.08]  配当政策の充実で個人投資家の取り込みを   投資戦略部　壁谷洋和

[2004.12.07]  英国の新興企業向け市場OFEX   DIRヨーロッパ　岡田恭二

[2004.12.06]  日本企業の金余り   経済金融調査部　取越達哉

[2004.12.03]  フィッシング詐欺が再喚起するHTMLメールの危険性   情報技術研究所　小川創生

[2004.12.02]  ルールによる定率減税廃止の提案   資本市場調査部　鈴木準

[2004.12.01]  江戸時代の大阪が持っていたもの   チーフエコノミスト　原田泰  　  　※　執筆者の部署名、肩書き等はコラム執筆時のものになります。

コメンテーター一覧

このページの先頭に戻る