リンクは自由!

HTMLメールはやめよう


目次

  1. HTMLメールは危険です
  2. 参考ページ
    1. 概説
    2. フィッシング
    3. プライバシー、ウェブバグ、スパム、広告メール
    4. ウィルス、脆弱性
  3. ウェブ検索
  4. 実例編 (別ページ)
    1. ウェブバグメールの実例
    2. フィッシングメールの実例
    3. フィッシングメールの実例 その2
    4. フィッシングメールの実例 その3

HTMLメールは危険です

HTML形式のメールは、確かに、メールの本文の字体や文字サイズ、色などを変えて、 また、画像を表示することで、「表現力を豊かに」することができます。 このため、マーケッティングを目的としたメールでは広く活用されており、 好んで使う個人ユーザもいるようです。また、一部のメーラーでは初期設定が HTML形式で送るようになっているので、気がつかないで使っている人も いることでしょう。

しかし、HTMLメールには他のいろいろの仕掛けを仕込むことも できます。メールの中に有害な操作をするスクリプトが含まれていて受信者の 個人情報が盗まれたり、パソコンが悪影響を受けたりすることがあります (クロスサイトスクリプティング)し、ウィルスやワームが含まれていて、 受信側が感染して被害を受けるだけでなく、それをさらに他のパソコンに 感染させてしまう危険性もあります。

フィッシング(phishing)という、信頼できるサイトのように見せかけて 偽サイトにアクセスさせる手口を使う詐欺もありますが、この際に 誘いのために送られてくるメールは、ほとんど、HTMLメールです。

さらに、Webバグ (Webビーコンとも) といって、メールを読んだ日時や IPアドレスなどの情報を受信者の知らないうちに送信元や第三者に送る仕組みが 組み込まれていることもあります。この種の情報は、ウェブサイトを訪問すると 送られてくるcockieに記録された情報と突き合わせることで、メール受信者の ネット上での行動を、個人が特定できる形でかなり克明に把握することを 可能にします。

このように、HTMLメールには、セキュリティとプライバシーに関して 無視できない問題があります。この問題は単に理論的な可能性として あるだけではなく、これまで実際に被害をもたらしてきています。 例えば、2001年に流行した Nimda, Badtrans.B, Aliz や、2002年の Bugbear, Klez、2004年の Bagle-Q, Netsky.p などのウィルスは HTMLメールによって感染を広げるものでした。 フィッシング詐欺は、外国では2003年から発生が報告されていましたが、 2004年末には日本でも被害の発生が報道されだし、2005年に入ってからさらに拡大 している模様です。 また、SPAM (頼みもしないのに勝手に送られてくる宣伝の迷惑メール) には Webバグがしかけられていることも多いのです。 実例 (実例編) をご覧下さい。

下記の「参考ページ」欄に挙げたニュースの日付からも わかるように、HTMLメールに伴う問題がたびたび明らかになっていますが、 それが根本的に解消されるきざしは全く見られません。 HTMLメールが本質的に危険なものであることが分かるはずです。 HTMLメールを漫然と発信することは、その危険性を悪用する試みが ますます蔓延するのに手を貸していることにほかならないのです。

Microsoftは、ビジネスのメールにはHTMLメールを使わないように勧めて います。

メールを送るときのマナーを覚えよう
Step 1 - ビジネスの場合とプライベートの場合でメールを使い分けてみましょう
メール形式 (テキスト形式とリッチ テキスト形式 (HTML)) について
ビジネスでメールを送る場合には、メールを受信する相手のことを考えて、 メールが正しく表示されることはもちろん、見やすさ、メールサイズの大きさに 注意してメールを送るようにしましょう。 一般的にビジネスでメールを送る場合には、これらの条件を満たした "テキスト形式" でメールを作成します。
(http://support.microsoft.com/kb/882687/JA/)

パソコン用語 - HTML 形式 (エイチティーエムエル ケイシキ) とは
……電子メール ソフトウェアによっては、HTML 形式のメールを表示することが できない場合があるため、一般的にビジネスのメールなどには、HTML 形式を 使用しないことがマナーとされています。
また、文書の表現力が豊かになる反面、この機能を悪用したメール ウイルスに 感染する危険性もあります。HTML 形式のメールを受信した場合はウイルス対策 ソフトウェアで必ずウイルス チェックを行うなど、日ごろの対策が重要です。
(http://support.microsoft.com/kb/878784/JA/)

"テキスト形式" と "リッチ テキスト形式 (HTML)" とを切り替えてみよう
(http://support.microsoft.com/kb/882688/JA/)

Description of plain text mode in Outlook Express in Windows XP Service Pack 2
(http://support.microsoft.com/kb/883257/)

同様に、フィッシング対策協議会も、「フィッシング対策ガイドライン」において、 顧客に送信するメールはHTMLでなく、TEXT形式にするよう勧めています。

メールでの対策の例としては、「顧客向けのメールには電子署名を付ける」「顧客向けの メールはテキスト形式にする」などを、サイトでの例としては、「重要なページではSSL/TLSで 保護する」などを挙げている。そのほか、「サービス事業者の名称から、連想されるような ドメイン名を使うこと」なども重要だとしている。

フィッシング対策協議会、国内初の「対策ガイドライン」を公開 [2008-09-10]
原文(pdf)は、http://www.antiphishing.jp/2008/09/post-23.html 以下から)

HTMLメールを避けるのは極めて合理的な選択ですので、HTMLメールは 高い比率でスパムフィルターにより削除されてしまうことが報告されています。

メールの0.71〜1.02%は「ただ消えて無くなる」〜Microsoft研究者らが論文
主な原因はスパムフィルター

この研究は、米Microsoftの研究部門であるMicrosoft Research所属の 研究者とカリフォルニア大学バークレー校の研究者の計3人が共同で 行なったものだ。 ... 今回の研究ではさまざまなバイアスを取り去り、精度を高めるために 工夫した結果として、メールが消えてなくなる割合を0.71%から1.02%の 間であろうと推定している。研究者らは、この消失の主な原因が スパムフィルターであると考えている。

その結果としていくつかのことが判明した。例えばGIFファイルを 添付した場合にメールが消失する割合は特に通常の場合と違わなかった。 逆にHTML形式のメールは、より高い割合で消失した。

メールの0.71〜1.02%は「ただ消えて無くなる」〜Microsoft研究者らが論文 [2006-10-16]
報告書原文(英語) [pdfファイル 161KB]

HTMLメールも動画視聴も、利用できない層は必ず存在 自社コンテンツでの採用は慎重に

「HTMLメールの受信」に絞って、全体で見ると「受信可能でそのまま画像も表示」は 54.5%。つまり残り45.5%においてHTMLメールでのやりとりは、なんらかの不便を 相手に強いる可能性があることに留意しておくべきだろう。とくに「HTMLメールの 受信はできない」とする企業が3.7%で、増加傾向にある点は見過ごせない。 なお企業規模で比べると、「受信可能でそのまま画像も表示」とする率は、規模が 大きいほど低くなる傾向にある。

Flash利用不可が3割、HTMLメール制限が5割弱/企業内Web閲覧環境に関する調査報告書ハイライト (All-in-One INTERNET magazine 2.0 [2008-07-22]

これまでHTMLメールを使っていた人は、下に挙げたページで情報収集 することから始めてください。そして、HTMLメールの長所と問題とを 比べてください。HTMLメールが危険であることに納得したならば、 HTMLメールの使用はやめてください。

HTMLメールをあきらめきれない方も、少なくとも、あらかじめ了解をとって いない人にHTMLメールを送ることはやめてください。了解を受けているときも、 本当にHTMLメールにする必要があるかどうか、一通送信するごとに 再考するようにしてください。

また、事業者がメール受信者の行動履歴データをWebバグによって取得してそれを マーケティングに利用しようとするのであれば、取得する情報の項目と使用目的、 個人情報の管理方法等を明示したプライバシーポリシーをあらかじめきちんと 受信者に提示した上で、了解を得ておくべきです。そうしない事業者はまともな 事業者とは言えません。なお、テキスト形式のメールという選択肢も残しておく のが親切でしょう。

▲ 目次に戻る


概説

▲ 目次に戻る

フィッシング

▲ 目次に戻る

プライバシー、ウェブバグ、スパム、広告メール

▲ 目次に戻る

ウィルス、脆弱性

▲ 目次に戻る

▲ 目次に戻る



後藤斉のホームページに戻る

URL:https://www2.sal.tohoku.ac.jp/~gothit/nohtmlmail.html
All Rights Reserved. COPYRIGHT(C) 2003-2012, GOTOO Hitosi
Department of Linguistics
Faculty of Arts and Letters, Tohoku University
Aoba-ku, Kawauti 27-1
980-8576 Sendai, Japan

〒980-8576 仙台市青葉区川内27番1号 東北大学大学院文学研究科言語学研究室
後藤 斉 (E-mail:gothit/at/tohoku.ac.jp)
後藤にメールを送られる方へ