米国のプライバシ保護団体である「The Privacy Foundation」が,米国時間2月5日,「電子メールの盗聴(email wiretapping)」問題を公開した。メール送信者が,HTMLメールの中にJavaScriptコードを埋め込むことで,「そのメールがだれに転送されたのか」,「どのような内容が追加されたのか」を知ることができるという問題である。JavaScriptを解釈できる,すべてのHTML対応メール・ソフトが対象。メール・ソフトのバグなどが原因ではない。JavaScript機能をオフにすれば,この影響を回避できる。
「電子メールの盗聴」を行うJavaScriptコードは,2つのパートから構成される。(1)その時点でのHTMLメール本文すべてを読み取るパートと,(2)その内容を指定したWebサーバーへ送信するパートである。これらはJavaScriptの標準機能で実現できる。The Privacy Foundationの情報によれば,コードは30行程度に収まり,JavaScriptに詳しいプログラマであれば,1日や2日で作成可能という。
このJavaScriptコードは,JavaScript機能をオンにしたHTML対応メール・ソフトで,受信者がメールを開いたときに動作する。コードを埋め込んだ送信者から,最初に受け取ったユーザーが開いたときには,特に問題はない。送信者は,どのような内容なのか,だれに送ったかを当然知っている。問題は,そのメールが第三者へ転送されたときである。転送時に付け加えられた内容を含めたメール本文が,送信者が意図したWebサーバーへ送信される。
内容だけではない。メールがどのように転送されたのかについても追跡できる。Webサーバーの記録を調べれば,転送メールを開いたユーザー(あるいはユーザーが属している組織)のIPアドレスやドメイン名,およびメールを開いた時刻などを知ることができる。
対策は,メール・ソフトのJavaScript機能をオフにすることである。また,Microsoft Outlookについては,同社が公開しているセキュリティ・パッチを適用することも対策として有効であるとしている。同パッチを適用すれば,スクリプトの実行を含めた,いくつかの機能を制限できる。
ただし,自分のマシン上でJavaScriptコードが動作しないように設定していても,HTMLメールにコードは埋め込まれたままである。そのため,転送先のユーザーがJavaScript機能をオンにしている場合には,転送先でコードは動作して“盗聴”されてしまう。
The Private Foundationでは,メールでJavaScriptが使われることはほとんどないとして,メール・ソフトのベンダーに対して,(1)デフォルトではJavaScript機能をオフにすること,あるいは(2)転送の際には,HTMLメール内のスクリプトを自動的に取り除く仕組みを持たせることを勧めている。
[The Private Foundationが公開している情報]
[マイクロソフトの「Outlook 2000 SR-1 アップデート: 電子メール セキュリティ」]
[マイクロソフトの「Outlook 98 アップデート: 電子メール セキュリティ」]
