情報処理推進機構(IPA)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は5月26日,「mailto URL スキーム」を適切に取り扱わないメール・ソフトがあることを警告した。mailtoのリンクをクリックすると,ユーザーが気付かない形で「CC」や「BCC」のメール・アドレスが設定される可能性がある。対策は,ソフト・ベンダーが公開する修正パッチなどを適用すること。CCやBCC欄を表示する設定にしておくことも効果的である。
mailto URL スキームは,Webページにおいてメール・アドレスを記述するために使われるもの。mailto URL スキームを使えば,ユーザーがリンクをクリックしただけで,デフォルトのメール・ソフトが起動し,新規のメール作成画面が表示される。このとき,作成画面のあて先(To)や件名(Subject),本文(Body)欄には,ページ作者の指定したアドレスや文字列が埋め込まれて表示される。
これらに加えて,CCやBCCのアドレスについてもmailto URL スキームで指定できる。しかしながら,メール・ソフトによっては,CCやBCCを表示しない設定にしている場合には,mailtoでCCやBCCのアドレスを指定されていても画面には表示しない。つまり,ユーザーが意図しないあて先へメール(のコピー)が送信される可能性がある。
JVNによると,メール・ソフトの適切な振る舞いとしては,mailtoで指定された情報については,ユーザーが確認できるように表示すべきとしている。また,メール配送に関係するヘッダー(例えばCCやBCC)を mailto URL スキームの記述に基づいて設定することは不適切であるとしている。
今回の問題について「該当製品なし」と記述されているマイクロソフトのOutlook Expressで試したところ,BCCを表示しない設定にしていても,BCCを指定するmailtoリンクをクリックすると,BCCの欄が表示された。
JVNの情報によると,今回の問題が確認されているメール・ソフトは,Edcomの「EdMax」,ジャストシステムの「Shuriken Pro3/Pro4」,オレンジソフトの「Winbiff」,リムアーツの「Becky! Internet Mail(ただし旧バージョンのみ)」,サイトー企画の「鶴亀メール」(5月26日現在)。ただし,鶴亀メールについては,初期設定ではBCCを表示するようになっており,非表示にする場合には警告メッセージが表示されるという。ベンダーによっては,問題を修正するモジュールや修正済みバージョンを公開しているので,それぞれのサイトなどを確認してほしい。
なお,IPAでは「この問題は,コンピュータそのものへの直接的な被害にはつながりませんが,利用者への注意喚起を目的として公表した」としている。
◎参考資料
◆JVN#FCAD9BD8 メールクライアントソフトにおける mailto URL scheme の不適切な解釈
(勝村 幸博=IT Pro)
