メールを開くだけでウイルスに感染する？

●HTML(エッチ・ティ・エム・エル)メールとは

　メールには、テキスト形式とHTML形式(リッチ形式) があります。テキスト形式では文字だけの情報を送るのに対して、HTML形式は、文字の大きさや色を指定できたり、指定した位置に画像を貼り付けたり、音声を再生することができます。例えるならば、テキスト形式がメモ帳で作成した文書に対して、HTML形式は、マイクロソフトワードで作成した文書のようなものです。
　装飾された文字や画像入りのメールをもらうのは、うれしいかもしれないけれど、これは受け取った人に迷惑をかける可能性があるために、使わないようにするのがマナーです。

●HTMLメールの危険性

　HTMLメールには、いろんな細工ができるので、たとえば、メールを見たら、添付ファイルやインターネット上のサーバーから自動的に画像を呼び出して表示するように指定することも可能です。画像を呼び出して表示する代わりに、ウイルスを実行するように指定しておけば、メールを開いただけで感染してしまいます。
　あるいは、サーバーから画像ファイルなどをダウンロードすることで、メールが開かれたことがわかるので、悪質なスパムメール（迷惑メール）業者に自分のメールアドレスが有効なことが知られてしまう危険性もあります。
　また、ウイルスよりも怖い、フィッシング詐欺の手口として、HTMLメールを悪用している事例が数多く報告されています。
　さらに、メールを返信したり転送するたびに感染が広がる仕組みになっているものもあります。

●HTMLメールでは正しく伝わるとは限らない

　HTML形式の危険性を知っている良識ある人は、HTML形式では受け取らないようにメールソフトの設定をしています。あるいは、HTMLメールを受信できないメールソフトを使用している人もいます。視覚障害者が使っているメールソフトは、HTML形式をテキスト形式に直します。ですから、もし、あなたが、凝ったHTMLメールを作成して送ったとしても、人によっては、正しく伝わらないことになります。
　どんな環境で受信する人がいるのか分からないので、メーリングリストに送信する時には、HTMLメールを使わないのが常識です。

●私は、ノートンを入れているから大丈夫？

　どんなセキュリティ対策ソフトを入れてあっても、ウイルス、スパイウエア、フィッシング詐欺から完全に守られることはありません。
　HTMLメールを悪用する手法は高度化、巧妙化する一方なので、セキュリティ対策ソフトでは検出できない、新しい手法が出てくる可能性は十分にあります。
　セキュリティ対策ソフトは、万が一のときの備えであって、一番大切なのは、ユーザ自身の心構えです。「私は、ノートンを入れているから大丈夫」とか、「HTMLメールを使っていても一度も被害にあっていないから大丈夫」という人は、一度ウイルスに感染されることをお勧めします。

●トラブルから守るには

　HTMLメールによるトラブルを防ぐには、HTMLメールを「受け取らない」ことと「送らない」ことが必要です。HTML形式で送られるメールに、いつもウイルスが入っていると言うことではなく、これを受け取れる環境にしておくことに問題があるのです。
　例えば、いつもあなたが友人にHTMLメールを送っていて、友人はあなたのメールを見るために、HTMLメールを受け取る設定にしているとします。そこで、どこからか友人あてに悪質なHTMLメールが送られ、そのパソコンがウイルスに感染したとすれば、間接的には、あなたにも責任があります。
　逆に、HTMLメールで送ってくる友人がいれば、パソコンを知らない人(Outloolk Express の初期設定すらできない人）か、セキュリティに対する意識が低い人だと判断してもいいです。知ったかぶりして、HTMLメールを勧める人には、近づかないほうが無難でしょう。

●HTML形式のひな形ファイル

　夢メール のように、HTMLメールを簡単に送れる「ひな形」を配布しているサイトがあります。
　これを使用するには、IEのセキュリティーゾーンを安全性の低いものに設定して、ウィルスの可能性ある添付ファイルを開けるように設定して、さらには、SP2で強化されたセキュリティアップの機能さえも無効にして、HTML形式のメールを送る設定にします。⇒【夢メール】投稿ひな形使用方法
　この設定が如何に危険なものかを理解できる人だけが使うべきでしょう。

●携帯のデコメール

　携帯のデコメールもHTMLメール です。誰でも使えるように、最初からテンプレートが用意されていたり、ダウンロードできるサイトがあります。利用可能なHTMLタグが限られているため、今のところ安全性は問題にされていません。IMGタグでのインターネットへの接続が不可能なのと、悪用されやすいIFRAMEタグやOBJECTタグが使えないのと、JavaScriptやVBScriptなどのクライアントで動くスクリプトを実行できないため、悪さはしづらい仕様になっています。また、パソコンと違って、プラットホームが同じでないことも、安全性の点では有利です。

●でも画像を送りたい

　画像を送りたいだけであれば、HTML形式ではなく、テキスト形式のメールに、画像を添付して送ってください。そうすれば、受け取った人は、差出人を確認した上で、安全だと思ったファイルだけを開けます。

●メールソフトの設定

　HTMLメールを送らない、HTMLメールを受け取らない、画像をダウンロードしない などの設定をお勧めします。

⇒ 【まほろば】Outlook Express 初級 （安全な設定）

●そのほかの注意点

　Internet Explorerなどの脆弱性を利用したものが多いので、「Microsoft Update」は必ず実行してください。
　また、解凍ソフトの脆弱性も報告されているので、最新のものにバージョンアップしてください。

【ITpro】HTMLメールの危険性 2007年9月19日
【ITmedia】HTML形式の電子メールは危険がいっぱい 2007年08月21日
【The Web KANZAKI】HTMLメールはやめておこう 2005年1月10日
【大和総研】フィッシング詐欺が再喚起するHTMLメールの危険性 2004年12月3日
【日経トレンディネット】HTMLメールは本当に危険？ 2004年8月3日
【ITpro】HTMLメールはやめよう 2003年6月3日
【OCNセキュリティポータル】脅威対策ガイド：メールウイルス（HTMLメール）
【Broadband Watch】“見ただけで感染する”ウイルスの仕組みと対策
【JUST SYSTEMS】03 ウイルスの感染経路