"電子メールの盗聴" によるプライバシー問題に関する情報
最終更新日: 2001年6月4日
HTML メールという種類の電子メールで、プライバシの問題が発生する可能性があるという報道が、最近いくつかありました。この件について、ここに詳しい情報を掲載します。特に、最新版の Outlook を使用しているユーザーや、以前リリースされた Outlook 電子メール セキュリティ アップデートを適用したユーザーは、この問題について心配する必要がないということをご承知ください。また、それ以外の Microsoft 製品ユーザーでも、メール プログラムを設定することで、簡単にこの問題を防ぐことができます。
この問題が引き起こされるのは、ユーザーがメールを読むたびに、その内容をコピーして発信元に送り返すような HTML メールが作成可能であるからです。つまり、電子メールの作成者が、メールの次の転送先を知ったり、転送時に追加されたコメントなどを読める危険性があるのです。Microsoft Security Response Center では、この問題が報告されたときに調査を行い、このような HTML メールの作成が実際に可能であることを確認しました。ただし、プライバシの問題によく見られることですが、この問題が引き起こされたのは、適切に実装された便利な技術 (この場合は HTML メール) であっても、悪用されてしまう可能性があるからです。幸い、この悪用は簡単に防ぐことができます。
HTML メールとは、簡単にいうと、Web ページを電子メールとして送るための技術です。Web ページと同様に、HTML メールにはアニメーション、投票ボタン、フォームなどの動的な機能を含めることができます。また、この機能がスクリプトと呼ばれる小さなプログラムによって実現されることがあるという点も、Web ページと同様です。Web ページ内のスクリプトがブラウザで開かれるたびに実行されるのと同様に、HTML メール内のスクリプトもメール クライアントで開かれるたびに実行されます。この動作は、HTML メール技術の特性であり、Microsoft Outlook や Outlook Express も含め、各ベンダーから提供される数々のメール クライアントで、同様の処理が行われます。
このことから考えれば、HTML メールが自身のコピーを発信者に送信できるというのも、驚くに値しないかもしれません。スクリプトはメールの一部であるため、メールの内容にも当然アクセスできます。メールの内容にアクセスしたら、フォームを Web サイトに送信するのと同じコマンドを使って、その情報を発信者に送り返します。この処理に使われるすべてのコマンドには、機能の不備がありません。問題は、コマンドが使われる状況にあるのです。
ただし、この問題は簡単に防ぐことができます。この問題は、メール クライアントがスクリプトの実行を許可している場合にのみ発生するものであり、スクリプトの実行は簡単に無効にできるからです。Web クライアントは、Web ページ上であれ電子メール内であれ、Internet Explorer によって定義されるセキュリティ ゾーンののうちの 1 つの内部で処理されます。Outlook と Outlook Express は、HTML メールを必ずこれらのゾーンの 1 つの内部で開かれるので、使用するゾーンを変更することによって、開かれたときの HTML メールの動作を規制することができるのです。
Outlook を使用している場合は、既にこの問題への対策が取られていることがあります。特に、次のいずれかに該当する場合、この問題について心配する必要はありません。
Outlook 2000 Service Pack 2 を使用している場合。Outlook 2000 SP2 の既定の設定では、スクリプトが無効に設定されたゾーンで HTML メールが開かれます。
Outlook 電子メール セキュリティ アップデートを適用した場合。このアップデートにより、スクリプトが無効に設定されたゾーンで HTML メールを開くように、Outlook 98 または Outlook 2000 が設定されます。
Outlook 98 以前のバージョンの Outlook を使用している場合。Outlook 98 以前のバージョンでは、HTML メールのスクリプトは一切サポートされていません。
Outlook 2000 Service Pack 2 または Outlook 電子メール セキュリティ アップデートをまだインストールしていない場合は、ぜひダウンロードしてインストールしてください。どちらも、この問題を防ぐ機能に加え、電子メールによる他の攻撃手段に対する保護が強化されています。
Outlook Express を使用している場合や、Outlook を使用しているが上の条件に当てはまらない場合は、HTML メールのスクリプトの実行を防止するよう設定します。そのためには、次の 2 つの操作を行う必要があります。
メールを制限付きサイト ゾーンに移動します。Outlook Express で、[ツール] メニューの [オプション] をクリックし、[セキュリティ] タブをクリックします。次に、[制限付きサイト ゾーン] をクリックし、[OK] をクリックします。Outlook を使用している場合は、[ツール] メニューの [オプション] をクリックし、[セキュリティ] タブをクリックします。次に、[ゾーン] ボックスの一覧で [制限付きサイト] をクリックし、[OK] をクリックします。
制限付きサイト ゾーンで、アクティブ スクリプトが無効になっていることを確認します。Internet Explorer を起動し、[ツール] メニューの [インターネット オプション] をクリックします。次に、[セキュリティ] タブをクリックします。[制限付きサイト] アイコンをクリックし、[レベルのカスタマイズ] をクリックします。次に、[スクリプト] というセクションまでスクロールし、[アクティブ スクリプト] が [無効にする] に設定されていることを確認します。[OK] を 2 回クリックします。
Outlook と Outlook Express の設定に関する詳細情報については、各製品のオンライン ヘルプを参照してください。