HTMLメールとプレビュー設定が危険？

　お世話になります。

　最近、よくHTMLメールは危険とか、プレビュー設定はやめようという投稿が見られますが、具体的に何が危険なのでしょう？

　たしかに、プレビューで感染するダイレクトアクション活動を起こすメールワームもありましたが、あれは２年も前もnimdaの時代の話であり、その当時でセキュリティホールは埋まっています。
　ましてや、Outlook Express6にはこのプレビュー感染はないはずですし、具体的に何が危険なのかわかりません。

「今後、そういうセキュリティホールが出てくるかもしれないから」
とハザード的な対応もわからないではないですが、プレビュー機能のメリットを考えた場合、備えるべきリスクは小さいように感じます。

　HTMLメールについても同様で、ダイヤルアップ主流の時代においては、私もHTMLメールを送らないよう周りに注意してきましたが、現在ではHTMLのメリットも需要もそれなりにあると思います。

　メリット(ベネフィット）とリスクを天秤にかけた場合、それほどまでにHTMLメールやプレビュー設定を排除せねばならないほどの具体的な理由は何でしょう？

　私の知らないセキュリティホールがあるのでしょうか？
　もしありましたら、ご教示くださいませm(_ _)m

No.5 ベストアンサー 回答者： noname#21649 回答日時： 2004/08/22 03:52

既にある内容とは別の観点から考えて見ましょう。

近所の２０代独身者の年収は大体２００－３００万円です。教養娯楽費が15%程度ですから.年30-45万円程度となります。これだけの金額をすべてパソコンにつぎ込むことなどできるわけはなく.せいぜい１割程度(これ以上かけても良いですが.資金的に人との他の分野での付き合いができなくなります).年3-4.5万円程度が限界です。従って.設備投資・運転資金を同額.十分な知識があり人件費を0として.年1-1.5万円が本体にかけられる金になります。すると.新品を購入したとすると最低でも１０年ぐらい使いつづける必要が出てきます。

１０年前というと.Win95ですからIE6では各種障害が出て使い物にならず.セキュリティホールが残っているソフトを使わざるを得ません。

＞ましてや、Outlook Express6には
という条件を満たすには.20-30万円程度の５年程度でメーカー製XP機を購入できる(パソコンを使いこなせる程度の専門的知識はないでしょうから)程度の所得が必要となります。つまり.年収800万から1000マン程度の所得が必要となりますので.現在の勤労者世帯の収入が倍増しない限り不可能でしょう。

この回答へのお礼

ありがとうございます。
そういう考え方もできるのですね。

　もっとも、いろいろなアクセス解析集計などを見ますと、WinXPの普及率に比して、IE6の普及率が高いことがわかります。古いOSを使用していてもWindowsUpdateなどで、古いIEは駆逐されているようです。
　Win95マシンでのアクセスもほとんど見られなくなりました。

　もっとも私の知る限りの結果に過ぎませんので、参考にさせていただきます。ありがとうございました

お礼日時：2004/08/22 23:21

No.4 回答者： noname#86752 回答日時： 2004/08/21 23:22

セキュリティというのは対処療法だけでは不足だと思います。

具体的な危険がなくても潜在的な危険に対して対策を施す必要があるのです。今は0day attackなんてことも言われてますから、具体的になったと思ったら後の祭りなんてことまありえますよ。
プレビューやHTMLメールに関する警告はまさにこの潜在的な危険に対するものです。
しかもプレビューをやめることもHTMLメールをやめることも対策はとても簡単です。

もう一つ重要なのはウイルスやワームはすぐに周りに感染することです。これは迷惑をこうむるのが感染した人だけではなくなるということです。
ある人に100%の免疫があっても、法定伝染病になれば隔離されるというのが近いと思います。本人は免疫があるので大丈夫（メリットもデメリットもない）だけど、周りの人は感染すれば死ぬ（デメリット大）かもしれません。

おそらくこの潜在的な危険に関する考え方の違いから
>私の知らないセキュリティホールがあるのでしょうか？
という発言をされたのだと思いますが、どんなソフトにも未知のセキュリティホールやバグがあり、この未知のセキュリティホールは当然潜在的な危険になります。マイクロソフトが把握しているセキュリティホールだけがそのソフトの全てのセキュリティホールかどうかは分かりません。

この回答へのお礼

くだらぬ疑問にお付き合いいただき、ありがとうございます。

＞ソフトにも未知のセキュリティホールやバグがあり、

　これはわかります。
　しかし、それはハザード管理ですよね。
　極端なことを言えば、メールなどしなければ、ネットワークに接続しなければ、そもそも危険は発生しないわけです。

　しかし、危険を承知でなにか対処しなければならない、リスクを管理する立場でもものを考えた場合、HTMLメールやプレビューのベネフィットとリスクについて疑問だったのです。
　現在はまだリスクの方が大きい、ということなのでしょうね。

　問題はプレビューなのですが、正直なところ、ゼロデーアタックであれば、みんなメールを開いてしまうのではないでしょうか？
　Klezを覚えていますか？あれはプレビュー感染をしましたが、件名には日本語が含まれていましたよね。

お礼日時：2004/08/22 00:40

No.3 回答者： koma1000nin 回答日時： 2004/08/21 23:09

ここ[OKWeb]に最近掲載された質問で、『感染していないHTMLメールを送ったのに、着信時点ではウィルスメールになっていた』という内容の質問があったのはご記憶と思います。

これはどこかのサイトを経由する時点で感染してきたと思われるのですが、受信者がウィルスメールと判断し、すぐに削除しましたので、どのようなタイプのウィルスだったかは不明のままです。しかし、感染したHTML形式メールが届いたのは事実です。送り手も送った事実があり、連絡によって送信済メールをウィルスチェックしています。結果は陰性でした（ただしパターンファイルのバージョンは不明でした）。
では、どのようなセキュリティホールを狙って…と指摘する前に、我々レベルではセキュリティホールの指摘などできるはずもありません。仮にマイクロソフト未公開のセキュリティ欠陥を発見したとしても、おいそれと公表することはできません。公表すればそこを狙った新たなウィルスが設計されるからです。ウィルス設計者はたまたま発見したセキュリティの穴を巧みに利用しており、我々がセキュリティホールと識別できないコード部分でさえ、彼らの視点からは利用価値があるらしいのです。新しいタイプのウィルスは、新しい欠陥を突いてくるため、具体的にどこが欠陥かと指摘することはできません。
我々は将来にわたって、Webページと同等の「何でも記述できちゃう」HTML記述そのものに危惧の念を抱いています。Webで感染するのは自業自得という側面もありますが、強引に送りつけられて無理矢理感染させられるのはごめんです。どのようなタイプのウィルスがまとわりつくのか、それはわかりませんが、危険であることは認識しています。

この回答へのお礼

　ありがとうございました。

　結局はハザード的な対応という考えなんですね。

　なぜ、このような質問をしたかと言いますと、
私が使っているパソコンの中には、プレビュー設定
ＨＴＭＬメールもバンバン受け取り、ウィルス対策ソフトも
重すぎて入らない(マザーボードのトラブルで増設ＲＡＭを
認識しない）というものがあります。

　入ってくるメールワームは、１日100通。ゼロデーアタックもあります。
それなりにWindows Updateはやっていますが、いままでウィルス感染
したことはありません。

　運がいいと言われればそれまでですが、どこまでのリスクに対応すべきか、
「事故が危険だから、クルマに乗るな」みたいなところを
探ってみたかったのです。

お礼日時：2004/08/21 23:24

No.2 回答者： noname#40123 回答日時： 2004/08/21 22:01

今回のWindowsXPSP-2において、Microsoft社で認知しているセキュリティーホールがあります。

「Windows XP SP2にさっそく脆弱性--セキュリティ専門家らが指摘」
http://japan.cnet.com/news/sec/story/0,200005048 …

また、
＞Outlook Express6にはこのプレビュー感染はないはず
と言う発言をしていますが、それでしたら、なぜWindowsUpdateでのIEやOEの更新をしているのでしょうか？
MS04-018では、OEの修正プログラムを出していますけれど。
Outlook Express 用の累積的なセキュリティ更新プログラム (823353) (MS04-018)
http://www.microsoft.com/japan/technet/security/ …

それに、HTMLメールに悪意のあるウィルスやスパイウェアを忍び込ませて、それをアクセスして動作させ、パソコンに入れることは可能ですから。

それらのことを考えたときには、果たしてHTMLメールを安易に使ってよいのでしょうか？

僕としては、メールについては信頼でないので、事前に調べて不審なメールについて削除しています。
特に、HTMLメールを多用しているのに「スパムメールが多い」のも一因です。

また、HTMLメールを多用しているメールでは
「文字化けして読めない」という話は未だあります。
また、このサイトでも同様の質問が時々あります。

また、業務上においてのメールについては、
文字化け等はあってはいけないことなのですから、
テキスト形式でメールを送るというのが普通です。

プレビューについては、それ自体パソコンの動作を遅くしますので、なるべくHTMLメールについては速攻で「開封済み」にしています。

この回答への補足

＞プレビューについては、それ自体パソコンの動作を遅くします

これはちょっと疑問です。
私の非力なマシンでは、あらたにメールウィンドウを開く方がマシンに負担がかかり、余計遅くなります(苦笑)

補足日時：2004/08/21 22:10

この回答へのお礼

　ありがとうございます。
　たしかにセキュリティホールの改善のためのアップデートは頻繁に行われていますね。

　ただ、WindowsUpdateをもすりぬけて、発生したようなものが実際にあるのかどうか、現在もそれほど危険と言えるのか、そこが疑問なんです。
　リスクがあるのはわかるのですが、他人様の設定を変えろと言うほどのリスクがはたしてあるのかどうか。
　疑問はそこです。

＞業務上においてのメールについては、
＞文字化け等はあってはいけないことなのですから、
＞テキスト形式でメールを送るというのが普通です。

　これは100も承知です＾＾
　誤解なさらないで欲しいのが、私はHTMLメールの送信はしません。自分でも「OEの初期設定を変えてくれ」とのＨＰを作っていたぐらいですから(笑)

お礼日時：2004/08/21 22:09

No.1 回答者： NANDEYARO 回答日時： 2004/08/21 21:35

私は、技術的な回答や詳しい説明が出来るほど知識がありませんが、今日、たまたまご質問に該当すると思われる記事をよみましたのでよかったら目を通してみてはどうでしょうか。

参考URL：http://higaitaisaku.web.infoseek.co.jp/htmlwaru. …

この回答へのお礼

　早速のお返事ありがとうございます。
　ご紹介のページは私もよく存じています＾＾

　たしかに危険とは書かれているものの、具体的なセキュリティホールについては、触れているわけではなく、

＞スパイウェアや自動起動プログラムなんかも仕込むことも可能です（多分）

　など、ちょっと曖昧です。
　もし本当にこんなことができるのなら、立派なセキュリティホールですし、対処しなくてはならないのですが・・

お礼日時：2004/08/21 21:48