HTMLメールは本当に危険?

HTMLメールはセキュリティの観点から危険だという話を聞きました。どういった場合に危ないのか、また、どうすれば危険を回避できるのか教えてください。

文字の色やサイズを変えたり、画像や音声などのファイルを組み込めるHTMLメールは楽しいものですが、テキストのみで構成される通常のメールにはない危険が潜んでいます。

 まず、メールを開くか、プレビューしただけで感染するKlez(クレズ)のようなウイルスの侵入を許す場合があります。

 HTMLメールは、Webサイトの作成に使用する「HTML」という言語を使って、文字のサイズや効果、貼り付ける画像の場所などを記述しています。メールを見たら、添付ファイルやインターネット上のサーバーから自動的に画像を呼び出して表示するように指定することも可能です。画像を呼び出して表示する代わりに、ウイルスを実行するように指定しておけば、メールを開いただけで感染してしまうのです。もっとも、この手のウイルスはInternet Explorerの脆弱性を利用したものなので、それをWindows Updateで修正しておけば防げます。

 悪質なスパムメール業者に自分のメールアドレスが有効なことが知られてしまう危険性もあります。HTMLで記述されたスパムメールの中には、メールを開いてサーバーから画像ファイルなどをダウンロードする際に、アクセスに関する記録を勝手に取得するものがあります。サーバーに残った記録を分析すれば、どのメールアドレスが有効かを把握することが可能です。こうした手法をWebビーコンやWebバグと呼びます。

●HTMLメールに潜む危険性
HTMLメールでは送受信の負荷を軽くするため、画像などのファイルをインターネット上のサーバーから呼び出して表示することが可能。これをウイルス作成者やスパム業者に利用されることもある

 これらはメールソフトの設定を変更してHTMLメールを表示しないようにすることで防止できます。例えばOutlook Expressでは、「ツール」メニューにある「オプション」画面で設定を変更すれば、受信メールはすべてテキスト形式になります(下の図)。Outlook 2003ではHTMLメールを見る際に、画像のダウンロードをブロックする機能があります。「ツール」メニューから「オプション」を開き、「セキュリティ」タブで「画像の自動ダウンロードの設定」ボタンを押します。開いた画面で、「HTML電子メール内の画像やその他のコンテンツを自動的にダウンロードしない」にチェックが入っていればOKです。

●メールをテキスト形式で表示する
Outlook Expressの「ツール」メニューから「オプション」を開き、「読み取り」タブで「メッセージはすべてテキスト形式で読み取る」にチェックを付ける