セキュリティのトピックス-PR-

HTMLメールはやめよう

2003/06/03
勝村幸博

 メール・マガジンや広告メールにHTMLメールを利用する事業者が増えている(関連記事)。セキュリティ情報のメール配信サービスを提供するある事業者も,HTMLメールで情報を配信している。「ユーザーに分かりやすくするため」だそうだ。去年の記事になるが,事業者自身の調査によると「HTMLメールの販促効果はテキスト・メールの10倍にも」なるらしい(関連記事)。

 この調査の真偽はともかくとして,事業者にとって,HTMLメールは魅力的なツールに見えているようだ。だが,ちょっと待ってほしい。HTMLメールにはセキュリティ上の問題が存在する。それを無視して,「販促効果が高そうだ」という理由だけで,導入を進めてよいのだろうか。

HTMLメールはウイルスの“温床”

 HTMLメールはウイルス感染を広げるのに最も“有効な”手段である。2002年に“史上最大級”の被害をもたらし,いまだに報告件数の月間“トップ1”をキープしている「Klez」ウイルスをはじめ(情報処理振興事業協会セキュリティセンター のデータによる),HTMLメールに添付されてくるウイルスは後を絶たない。HTMLメール中にスクリプトとして潜んでいる「Kakworm」や「Redlof」なども存在する。

 これらのウイルスは,Internet Explorer(IE)にセキュリティ・ホールがあり,なおかつメール・ソフトにOutlook Expressなどを使用している場合には,メールの本文を開いたり,プレビューしたりするだけでウイルスが動き出してしまう。

 もちろんこれは,HTMLメールが悪いわけではない。IEのセキュリティ・ホールが悪いのである。「ウイルス対策ソフトを正しく使う」「IEのセキュリティ・ホールをきちんとふさぐ」「Outlook Expressを使わない」などを守っていれば防げる。しかし,Klezが蔓延(まんえん)している状況を見ると,これらを実践していないユーザーがいかに多いのかが分かる。現在の状況を打開するには,暴論ではあるが,みんながHTMLメールを使わなくなればいいのである。それでもウイルス被害はなくならない。だが,確実に減るだろう。

危険な環境を“後押し”することが問題

 このように書くと,「うちはHTMLメールを配信する際に,きちんとウイルス・チェックしている。ウイルス・メールを送信することはない」と反論する事業者は少なくないだろう。しかし,ここで言いたいことはそんなことではない。ユーザーにウイルス・メールを送らないようにするのは当然のことだ。

 それよりも,HTMLメールが当たり前になるのが怖いのである。事業者が当然のようにHTMLメールを送るようになれば,多くのユーザーはそのリスクを考えることなく,HTMLメールが当たり前だと思うようになる。メール・ソフトにHTMLメールを表示させない設定があったとしても,それを無効にしようとは思わないだろう。「HTMLメールの販促効果は高い」と,事業者がHTMLメールをバンバン送信することで,HTMLメール・ベースのウイルスが広まる環境をユーザーに強いることになるのだ。

 筆者は,HTMLメールを受け入れるというデフォルト設定そのものが危険なセキュリティ設定であると考えている。多くのユーザーは,HTMLメールを積極的に受け入れているわけではない。単に危険を認識しているユーザーが少ないということだろう。事業者が,HTMLメールを受け入れるという危険な設定を容認する(大量にHTMLメールを送ることで間接的に普及を後押しする)のはいかがなものか,と思うのである。

知らないうちに開封確認

 HTMLメールにはウイルスの問題だけではなく,プライバシの問題もある。HTMLメール中にイメージ・タグを記述して,画像データを事業者のサーバーからダウンロードさせるようにすれば,サーバーのログからメールを“開封”したかどうかが分かる。ログからは,そのユーザーのIPアドレスが分かるだけだが,何らかの方法でユーザーの個人情報とひも付けることも可能だろう。

 事業者としては有益な情報が得られるが,ユーザーにとってはどうだろうか。「それは必ずしも悪いことではない」という声も聞こえてきそうだ。実は,筆者自身もそう思う。HTMLメールによって開封率を確認するなどで,ユーザーに対するサービスを向上させよう,と努力すること自体はかまわないと思う。ただし,ユーザーにそのことをきちんと伝え,ユーザーの同意を得ていれば,の話である。ユーザーが知らないうちに情報を取得することが問題なのである。

ユーザーはHTMLメールを受け入れている?

 HTMLメールには「読みやすい」などのメリットはあるかもしれないが,上記のリスクを考えると,ユーザーとして積極的に導入を歓迎すべきものとは思えない。HTMLメールを配信する事業者は,「HTMLメールに切り替えてもクレームがなかった」「テキスト・メールに切り替えてほしいと連絡してくるユーザーが少なかった」ということをもって,「HTMLメールはユーザーに受け入れられている」としている。果たしてそうだろうか。ユーザーはHTMLメールのリスクを知らないだけではないだろうか。

 「HTMLメールを読める設定にしておくと,ウイルスに感染する危険性が高まります。ウイルスに感染すると,あなたは被害者になるだけではなく,加害者にもなります。また,あなたがメールを開いたことは,こちらに通知されます」などと,HTMLメールのリスクを分かりやすく説明した上で,「それでもHTMLメールがほしい方は連絡してください。HTMLメールに切り替えます。HTMLメールは画像などが張り込まれていてとっても読みやすいですよ。連絡がない場合にはテキスト・メールで配信します」としたらどうだろうか。それでもHTMLメールを希望するユーザーが多数を占めるようなら,筆者は考えを改める。

ベンダーとメディアの責任は重い

 HTMLメールを使ったウイルスが蔓延している第一の原因は,もちろんマイクロソフトにある。多くのユーザーにとって“標準”となっている「Outlook Express」ではHTMLメールがデフォルトで有効になっていて,HTMLメールの表示を“担当”するIEには危険なセキュリティ・ホールが頻発している。

 これまでの経緯を見る限り,セキュアなIEを期待することは無理だ。「それならば,せめてOutlook ExpressでHTMLメールを表示しない設定が可能にならないだろうか」――。この希望はOutlook Express 6 SP1(IE SP1)でようやくかなった。

 次に望むのは,マイクロソフトがデフォルトでHTMLメールを表示しない設定にすることだ。IEは多くのユーザーにとって標準ブラウザである。現状のようにセキュリティ・ホールが頻発するのは困る。しかし,デフォルトでOutlook ExpressとIEが切り離されていれば,被害は少なくて済む。きちんと対策を施し,リスクを受け入れられるユーザーだけが,設定を変更してHTMLメールを表示できるようにすればよい。

 筆者はIEやOutlook Expressを使うことを勧めているわけではない。しかし,セキュリティを考えずに,IEやOutlook Expressを標準ソフトとして使うユーザーを救う(被害者になるだけでなく,加害者になることを防ぐ)には,これら標準ソフトがセキュアになってもらわないとどうしようもない。マイクロソフトには,ぜひその点を考えていただきたい。

 メディアの責任も大きい。セキュリティを意識しないユーザーに,セキュリティ・ホールやウイルスの危険性を伝えるのはメディアの役目だ。「IEには危険なセキュリティ・ホールが頻発しているので,IEを続けるつもりならきちんとセキュリティ・ホールをふさがなければならない。IEにこだわらなくても,こんなブラウザもある」「HTMLメールにはこのような危険性がある。Outlook Expressを使い続けるなら,SP1を適用してHTMLメールを無効にするべきだ。Outlook Expressにこだわらなくても,こんなメール・ソフトがある」――といったことをきちんと伝えなければ,Klezウイルスはトップ1の座に君臨しつづけるだろう。

事業者もセキュアな環境作りに協力を

 だが,ベンダーとメディアだけが努力すればよいというわけではない。ユーザーも,危険性を認識したら「自分だけは大丈夫」などと考えず,きちんと対策を講じるべきだ。特にウイルスの場合には,被害は自分だけにはとどまらない。その点を考慮して,たとえ面倒でも,たとえ現時点では被害に遭ったことがなくても,「ウイルス対策ソフトを正しく使う」「IEのセキュリティ・ホールをきちんとふさぐ」「Outlook Expressを使わない」といった対策を施す必要がある。

 事業者も例外ではない。インターネットで商売をしている以上,インターネットをよりセキュアなものにするために協力すべきだ。危険な土壌を育む原因となるHTMLメールの配信を,「ユーザーからの利用停止依頼が少ないから」という理由で続けるのはいかがなものかと思う。

 一朝一夕でインターネットのセキュリティ・レベルが向上することはない。だが,インターネットにかかわるすべての人間が意識して,努力すれば,少しずつではあるがセキュリティ・レベルは向上する。例えば,メディアがユーザーに対してHTMLメールの危険性を分かりやすく,粘り強く伝える。それを受けたユーザーは,面倒でもHTMLメールを無効にしたり,セキュアなメール・ソフトに乗り換える。事業者もHTMLメールは使わないようにする。ベンダーも,HTMLメールの表示をデフォルトで無効にしたメール・ソフトを出荷する――。そうしてはじめて,Klezのようなウイルスが蔓延することもなくなるのだろう。

 HTMLメールの配信を行っている事業者,これから行おうとする事業者は,本当にHTMLメールを使う必要があるのかどうかを考えていただきたい。繰り返しになるが,HTMLメールを読める環境を勧めることは,ユーザーのリスクを高めることを勧めていることと同じなのだ。そこまでして,HTMLメールを利用する必要があるとは筆者には思えない。

ユーザーにとってHTMLメールのメリットは?

 言うまでもなく,筆者は“HTMLメール否定派”である。会社でも自宅でもHTMLメールを表示しない設定にしてメール・ソフトを使っている。HTMLメールの登場以前からメールを使っていることもあり,HTMLメールの必要性を全く感じていない。なくなってほしいと思っている。また,セキュリティの記事を書くことが多いのでHTMLメールのリスクについてある程度は詳しいつもりだ。

 しかしそのために,HTMLメールに対してかなり偏った考えを持っていることは否定できない。HTMLメールの本当のユーザー・メリットを知らない可能性がある。そこで最後に,この記事を読んでいただいた方々にお願いがあります。「多少のリスクを負っても,HTMLメールにはこんなメリットがある」「Outlook ExpressのデフォルトがHTMLメールだったおかげでこんなによいことがあった」などがあったら,ぜひ記事末の「FeedBack!」欄よりコメントを寄せていただきたい。

 また,HTMLメールに関するミニ・アンケートを以下に用意した。前回のHTMLメールに関する記者の眼(記事へ)に寄せられたコメントにもあるように,事業者の調査結果は筆者もうなづけないものがある。そこで,IT Proに会員登録をされている皆さんの,HTMLメールに対するお考えをお聞かせいただきたい(結果は1週間後にこのページでお伝えします)。コメントやアンケート結果が,筆者の現在の考えと大きく異なるようなら,HTMLメールについて改めて調べたいと思う。

(勝村 幸博=IT Pro)

【追記:2003-06-10】本アンケートの結果は,こちらのページでご覧いただけます。

【追記:2003-06-09】本アンケート(以下のような設問)は締め切らせていただきました。ご協力いただいた皆様,まことにありがとうございました。結果は,6月10日に発表する予定です(このページで結果発表のページへのリンクをご案内いたします)。

IT Proに会員登録をされている方は,ぜひ以下のアンケートにご協力をお願いします(回答はお一人様一回とさせていただきます)。結果は一週間後にこのページで発表いたします。

Q01.事業者がHTMLメールを配信することについて,どう思いますか?(一つ選択してください)

望ましい
問題ない
望ましくない
やめるべきだ
何とも思わない

Q02.Q01で「望ましい」と答えた方におうかがいします。HTMLメールの魅力は何でしょうか?

読みやすい
Webページにアクセスする必要がない
その他(下の欄にご記入ください)

Q03.Q01で「望ましくない」「やめるべきだ」と答えた方におうかがいします。HTMLメールの何が問題だとお考えですか?

セキュリティ
ファイル・サイズが大きいこと
その他(下の欄にご記入ください)

Q04.あなたのメール利用環境についておうかがします(環境が複数ある場合には,使用頻度が高い環境についてお答えください)。HTMLメールを読める環境ですか?(どちらかを選択してください)

HTMLメールを表示するメール・ソフトを使っている。あるいは表示する設定にしている
HTMLメールを表示しないメール・ソフトを使っている。あるいは表示しない設定にしている

Q05.Q04で「HTMLメールを表示するメール・ソフトを使っている。あるいは,表示する設定にしている」と答えた方におうかがいします。セキュリティについて考慮されているでしょうか?(複数回答可)

セキュアなメール・ソフトを使用している
すぐにパッチを適用している
ウイルス対策ソフトを使用している
特に考慮していない

Q06.現在あなたが使用しているメール・ソフトを教えてください(複数使用している場合には,使用頻度が最も高いメール・ソフトを選択してください)

Outlook Express
Outlook
Becky!
Lotus Notes
Netscape Mail(Messenger)
Mozilla Mail
AL-Mail
Eudora
EdMax
電信八号
Winbiff
鶴亀メール
PostPet
ShurikenPro
Datula
WeMail
その他

Q06で「その他」の方は以下にご記入ください

今週のトピックス-PR-

今日のピックアップコンテンツ-PR-

>>もっと見る

ITpro Special

>>もっと見る

▲ ページトップ

これからのIT投資術-PR-

ピックアップコンテンツ-PR-

>>もっと見る

日経コンピュータ Digital

ITpro partners

イベントINFO -PR-

最新号

注目のセミナー

申込受付中!

インサイドセールス実践テクニック講座【6/10開催】

IT&エレクトロニクス商材の法人市場を攻略!電話とメールで顧客をつかむテクニックを伝授