2004年12月04日
■ Becky! 2.12で何が改善されたか
Becky! Internet Mail のVersion 2.12 が11月17日にリリースされた。
- 新レイアウト追加などを施した「Becky! Internet Mail」v2.12が公開, 窓の杜, 2004年11月17日
このバージョンでは、フィッシング対策の変更点があったのだが、 窓の杜の記事には書かれていないので、書き留めておく。
Becky!の更新履歴には次のように書かれている。
Ver2.11.02 -> Ver2.12
・HTMLメール中のリンクをクリックした際、標準のブラウザで開くようにした。
・HTMLメール中の、リンクの上でマウスを動かした時のリンク先の情報などをステータスバーに表示するようにした。
さてこれはどういう意味だろうか。
じつは、Becky! 2.11.02まででは、HTMLメールを表示したとき、HTMLメール中 のリンクをクリックすると、そのままBecky!のウィンドウの中でリンク先の ページにジャンプする仕様だった。また、リンクのアンカーにマウスポインタ を乗せても、リンク先のURLがステータスバーなどに表示されない仕様だった。
たとえば、以下の図のように、フィッシングメールを受信したとする。これは HTMLメールで、リンク先が本当はどこなのか、マウスポインタで探っても、 見ただけではわからない。
ここで「Register」と書かれたリンクをクリックすると、次のようにリンク先 のページが表示される。
Becky!の画面にはもとよりアドレスバーがないので、今見ているこのページが、 どこのドメインにあるものなのか見ただけでは区別がつかない*1。
じつは、この例では、この画面は本物サイトの画面になっていて、https:// が使われて暗号化されているのだが、錠前アイコンも現れないのでそのことが わからないし、クリックしてサーバ証明書を確認することもできない*2。
Outlook Expressでは、メール中のリンクをクリックするとInternet Explorer で開くようになっている。これまで、IEのアドレスバーが偽装されることや、 Outlook Expressのステータスバー(に表示されるリンク先URL)が偽装される ことが、セキュリティ脆弱性のひとつとしてたびたび指摘され、また、実際に フィッシングの手口としてそうした偽装手段が使われてきたが、 Becky! 2.11.02までのこの仕様は、そうした議論以前のものだった*3。
このことは、「脆弱性」には該当しないのではないか(明示的あるいは暗黙的 な仕様に反すると言えるだけの基となる仕様が存在しない)と考え、 IPAの脆弱性窓口に届けるのではなしに、Becky!作者の乗松氏に直接メールで、 9月下旬ごろ意見として伝えていた。
Becky! 2.12では、リンク先はWebブラウザで開かれるようになり、リンクのア ンカーにマウスポインタを乗せると、以下の図のようにステータスバーにリン ク先のURLが表示されるようになった*4。
■ 消費者にセキュリティを説くHTMLメールマガジンの偽善
NTTコミュニケーションズの「ネットお役立ちマガジン コム☆ナビ」というメールマガジンを購読しているのだが、 これがひどい。
下の図のように、HTMLメールで配信されてくるのだが、HTMLメール上に入力フォー ムがあり、送信ボタンがある。
送信ボタンを押したときに情報がどこに送信されるのか、わからないようになっ ている*5。
昨年6月14日の日記「HTMLメールマガジンのもうひとつの危険性」で書いたように、 HTMLメール中に入力フォームを設けるなどというのは、フィッシングに騙され やすい消費者を育成しているようなものだ。
しかもこのメールマガジンのタイトルが「え!? そんなこともあるの? 最新セキュリティ知識度チェック」というのだから、臍で茶が沸いてしまう。
他にも、「ネットのセキュリティは大丈夫?チェックテストで確認しよう! 安全対策・ファイアウォール、準備はOK?」だの、「ネットライフの安全管理、 万全度チェック」だのいう号もあった。これらの内容は、購読者以外でも、 以下のページで閲覧することができる。
- あなたのネットライフは大丈夫?! ネットライフの安全管理、万全度チェック, NTTコミュニケーションズ, 2004年5月27日
- え!? そんなこともあるの? 最新セキュリティ知識度チェック, NTTコミュニケーションズ, 2004年8月10日
- ネットのセキュリティは大丈夫?チェックテストで確認しよう! 安全対策・ファイアウォール、準備はOK?, NTTコミュニケーションズ, 2004年10月28日
これらのマガジン中にはいろいろと注意書きがある。たとえば、
※メールソフトの種類や設定により各チェックボタン、「結果発表!!」ボタン が働かない場合があります。その際にはここをクリックしてください。別ペー ジよりチェック5がお楽しみいただけます。
と書かれている。最初からそうすればよいのだ。昨年6月6日の日記 にも書いていたように、ブロードバンド常時接続時代のいまどき、メールで コンテンツを届ける必要はもはやない。Webサイト上にマガジンを置けばよい。 メールは新しい号の公開を通知するだけに使えばよい。メールソフトによって ボタンが働かないものがあるというのは、それが危険な行為だから、メールソ フトの方で対策されている可能性だってある。
他にもこのような注意書きがある。
リンク先に書かれていることが、これまた危険な行為をさせようとするものだ。
coden.ntt.com メールマガジンをより快適にご覧いただくために、 「HTMLメールの表示」を「テキストに変換して表示」にし、添付ファイルを閲 覧するかたちでお楽しみいただくことをおすすめいたします。設定の方法は下 記の通りです。
「Becky! Internet Mail」をご使用の方へ設定のお願い, NTTコミュニケーションズ
「Becky! Internet Mail」をご使用の方へ設定のお願い」より
一般に、添付ファイルを開くときは、そのファイルタイプや拡張子に注意が必 要である。得体の知れないメールの「.exe」ファイルを開くことは当然危険で あるし、「.bat」や「.vbs」、「.pif」、「.scr」なども危険であり、実際、 添付ファイルを開かせようとするウイルスメールで悪用されている手口だ。
そして、「.htm」や「.html」もそれらと同様に、不用意に開いてはならない 拡張子である。なぜなら、これらを開くと、マイコンピュータゾーンでHTMLが 開かれる*6ため、 安全でないコンテンツが確認なしに起動してしまうからだ。
「最新セキュリティ知識度チェック」と言いながら、「HTML添付ファイルを開け」 と指示するなんてのは、ウイルスに感染しやすい消費者を育成しているような ものだ。
なぜわざわざこういうことをさせるのだろうか。 「より快適にご覧いただくため」という表現は、本当の理由を説明することを サボったものであり、ろくな理由でないことが多い*7。
次に、10月ごろからは次の注意書きも入るようになった。
リンク先には次のように書かれている。
「Microsoft Windows XP Service Pack 2(Windows XP SP2)」をインストール済みのみなさまへ
「Microsoft Windows XP Service Pack 2(Windows XP SP2)」にてOutlook Expressをご利用の場合、 ネットお役立ちマガジン『コム☆ナビ』の画像が正しく表示されないことがあります。 その場合には下記の手順で画像を表示させることにより、『コム☆ナビ』をお楽しみいただけます。
「Microsoft Windows XP Service Pack 2(Windows XP SP2)」をインストール済みのみなさまへ, NTTコミュニケーションズ
ここに書くべきことは、なぜこのような操作が必要になっているのか、そして、 このメールマガジンの場合はどういう理由で、「情報バー」をクリックして かまわないのかの説明だ。つまり、たとえば次のいずれかを書くことになる。
当社のメールマガジンではWebビーコンを使用しておらず、お客様のコンピュー タを識別することは行っていません。このことをご理解頂いた上で、「情報バー」 をクリックして画像を表示してください。
もしくは
当社のメールマガジンではWebビーコンを使用しています。お客様のコンピュー タを識別するための画像を埋め込んでいます。お客様が画像をダウンロードさ れた際に、お客様がこのマガジンを閲覧されたものとして、記録する仕組みに なっています。そうして集められたお客様の行動履歴は、以下の統計情報を得 る目的でのみ使用し、個別のお客様ごとにお客様の行動を分析するといったこ とは行っていません。
- 何パーセントのお客様がこのメールマガジンを閲覧してくださったか
- メールを発信してからお客様がそれを閲覧されるまでの平均時間
このことをご理解頂いた上で、「情報バー」をクリックして画像を表示してく ださい。
ちなみに、このメールマガジンの場合やはり、Webバグ(Webビーコン)が 埋め込まれている。ページの末尾に次のように見えない画像が埋め込まれて おり、なにやら個体識別IDらしきものがURLに埋め込まれている。
<img src='http://go.ab0.jp/go.php?aid=0L5Ry-0pSQP'></body></html>
Webビーコンに関するプライバシーポリシーはどうなっているだろうか。NTTコミュニケーションズの プライバシーポリシーには、「セキュリティ宣言」と大そうなことが 書かれている一方で、Webビーコンに関する記述は存在しない。メールマガジンの登録ページにも記述がない。
ついでに書いておくと、 プライバシーポリシーにおけるcookieの説明も不適切だ。
クッキー(Cookies)について
クッキー(Cookies)は、お客さまがNTTコミュニケーションズオフィシャルサ イトに再度訪問された際、より便利に当サイトを閲覧していただくた めのものであり、お客さまのプライバシーを侵害するものではなく、 またお客さまのコンピューターへ悪影響を及ぼすことはありません。
ある行為が、ある個人のプライバシーを侵害するものになるかどうかは、その 個人が判断することである。事業者が「これはお客様のプライバシーを侵害す るものではない」といくら勝手に考えていても、それが見当違いであることが 少なくない。だからこそプライバシーポリシーの開示が必要なのであって、 「侵害するものではない」と宣言するだけで済むんだったら、プライバシーポ リシーなぞいらない。
「クッキー(Cookies)は……ありません」と、cookie一般がそういう性質の ものでないかのように言っているのも大間違いだ。何もわかっていない人が、 意味もわからずこれを書かされている様子が窺える。
書くべきことは、どのページでどのようにcookieを使っていて、それはこれこ れの結果をもたらすが、当社はこれこれの形でしか使わないようにしている ――といったことだ。
「より便利に」とか「より快適に」だの「より良いお客様サービス」だのいう 表現は、裏側に説明されていない何かがあるとみてよいだろう。
■ え!? そんなこともあるの? 真・セキュリティ知識度チェック
本来ならば、この種の啓蒙系メールマガジンは、 次のようなチェック項目を入れておくべきところだろう。
だが、これが載ることはあり得ない。自己否定せねばならないのだから。
ようするに、HTMLメールマガジンがセキュリティを語っていたら、偽善 とみなしてよい*8 ということだ。
*1 右クリッ クでプロパティを選べば確認することができる。
*2 右クリックでプロパティを選べば確認することができる。
*3 誰もこれまで話題にしなかったのは、Becky!ユーザのほとんどが HTMLメール なぞ使っていないということなのだろうか。
*4 したがって、今後、このステータ スバーを偽装する方法が見つかると、それは「脆弱性」と言えることになる。
*5 HTMLソースを見ればわかるが。
*6 11月にリリースされた Becky! 2.12では、このとき、 インターネットゾーンで開かれるように改善されている。
*7 このケースでは、 Becky! 2.11.02以前だと、リンクをクリックすると戻れなくなる (ジャンプ先がBecky!のウィンドウ内で表示されるため、右クリックで「戻る」 を押さないと戻れない)ためではないかと推察されるが、他にも理由があるの かもしれない。
*8 S/MIME署名されるようになったとかなら別だが。
- https://www.bing.com ×6 (2020-07-24)
- https://www.google.com ×7 (2019-07-31)
- http://hsj.jp/junknews/2004/12/05/20041205junknews_ds.html ×4 (2018-11-01)
- http://www2.sal.tohoku.ac.jp/~gothit/nohtmlmail.html ×8 (2017-06-18)
- https://www.bing.com/ ×5 (2016-12-11)
- https://www.google.co.jp ×25 (2015-08-27)
- はてなダイアリー [palm84 20041211] ×11 : 7, 4 (2015-08-16)
- http://www.whitehackerz.jp/blog/?m=201401 ×28 (2014-07-26)
- http://www.whitehackerz.jp/blog/?p=2292 ×40 (2014-01-24)
- OKWave [qa5716491] ×15 : 5, 4, 3, 2, 1 (2010-05-13)
- ココログ [kjunichi cocolog] ×7 (2008-03-19)
- http://cache.yahoofs.jp/search/cache?p=メール 注意 ie&ei=UTF-8&fr... ×5 (2006-05-10)
- http://sleipnir.excite.co.jp/search.gw?search=becky 画面&look=... ×4 (2006-01-19)
- http://tomcat.nyanta.jp/part-3/20041201.html ×13 (2005-12-14)
- http://kisouma.com/mac/archives/windows/index.shtml ×8 (2005-08-19)
- http://itnavi.net/phishing.html ×46 (2005-04-08)
- http://www.sal.tohoku.ac.jp/~gothit/nohtmlmail.html ×573
- http://www.asyura2.com/0411/it07/msg/256.html ×165
- http://isl.educ.fukushima-u.ac.jp/~shinoda/net-docs/enduser-... ×89
- http://www.asyura2.com/0411/it07/msg/334.html ×87
- ココログ [maruyama-mitsuhiko cocolog] ×84 : 67, 13, 2, 2
- http://sarasa.itigo.jp/archives/cat14/index.html ×37
- http://www.alles.or.jp/~spiegel/200412.html ×35
- http://tomcat.jfast.net/part-3/20041201.html ×23
- http://www.alles.or.jp/~spiegel/ ×20
- http://kiss.skr.jp/honey/ ×18
- http://sarasa.itigo.jp/archives/2004/12/post_139.html ×14
- http://www.sal.tohoku.ac.jp/~gothit/linking.html ×12
- http://tomcat.jfast.net/part-3/ ×7
- ime.nu /20041204.html ×7
- http://takabsd.jp/d/ ×6
- http://nibbles.ssc-otemachi.ocn.ad.jp/pukiwiki/pukiwiki.php?... ×5
- http://www.emptypage.jp/vcd/ ×5
- はてなダイアリー [palm84] ×5 : 3, 2
- http://www.alles.or.jp/~spiegel/index.html ×5
- becky ×68 / キーワード不明 ×39 / becky!+2.12 ×35 / Becky ×33 / becky outlook ×26 / becky htmlメール ×23 / becky html 表示 ×21 / becky htmlメール 表示 ×19 / becky+2.12 ×19 / becky! ×16 / Becky! ×13 / Becky HTMLメール ×11 / メール 下バー ×11 / becky sp2 ×10 / becky HTMLメール ×10 / 送信者に識別 ×10 / becky html ×10 / BeckyからOutlook ×9 / becky セキュリティ ×8 / becky フィッシング ×8 / このコンピュータが送信者に識別されることを ×8 / beckyからoutlook ×8 / becky 拡張子 ×7 / becky 脆弱性 ×7 / becky 画像が表示されない ×7 / outlookメールのリンク表示 ×6 / Becky 2.12 ×6 / Becky Outlook ×6 / becky 添付ファイル ×6 / BeckyからOutlook Express ×6 / このコンピュータが送信者に識別 ×6 / プライバシーポリシー -hiromitsu.jp ×6 / Webビーコン Becky! ×5 / Becky! HTMLメール ×5 / Becky! Internet Mail version 2.0 ×5 / Becky 画像ブロック ×5 / このコンピュータが送信者に識別されることを予防 ×5 / Becky! 閲覧 ×4 / HTMLメール becky ×4 / Becky 脆弱性 ×4 / Becky 画像表示 ×4 / IE 画像が表示されない ×4 / becky 画像 ×4 / Becky! メール ×4 / becky 2.12 ×4 / becky webブラウザで開く ×4 / このコンピュータが送信者に識別される ×4 / セキュリティ メールマガジン ×4 / becky 添付 画像 表示 ×4 / IE 改善 ×4 / このコンピューターが送信者に識別されることを予防するため ×4 / ie アドレスバー 表示されない ×4 / BECKY ×4 / Outlook Express URL開く ×4 / SP2 画像が表示されない ×4 / becky メールマガジン ×4 / HTMLメール セキュリティ ×4 / 乗松 ベッキー ×3 / NTT 高木 ×3 / becky htmlメール 画像が表示されない ×3 / becky! HTML ×3 / ステータスバー ://takagi-hiromitsu.jp/diary/ ×3 / マイコンピュータゾーン ×3 / https 表示されない ×3 / Becky 転送 ×3 / 高木氏 ×3 / Becky セキュリティ ×3 / アドレスバーがない ×3 / becky html画像が出ない ×3 / このコンピュータが送信者に ×3 / Becky URL クリック ×3 / HTMLメール 危険 ×3 / becky 画像 表示されない ×3 / becky 添付 画像 ×3 / beckey メール 勝手に 送信 ×3 / beckyから outlook ×3 / takagi-hiromitsu.jp ×3 / Becky 仕様 ×3 / becky html表示 ×3 / becky! 脆弱性 ×3 / Becky メール XP ×3 / 情報バー 詐欺 ×3 / 高木 ブログ セキュリティ ×3 / IE URLが表示されない ×3 / Becky html 表示 方法 ×3 / becky! メール HTLM ×3 / Becky 添付ファイル ×3 / becky画像 ×3 / IE ステータスバーにURLが表示されない ×3 / Becky 日記 ×3 / becky xp ×3 / becky pki ×3 / becky XP SP2 ×3 / このコンピュータが送信者に識別されることを予防するため ×3 / becky PKI ×3 / outlook becky ×3 / becky ruby ×3 / bekcy 画像 html ×3 / winny 画面説明 ×3 / Becky 2.11 ×3 / Becky リンク先 ×3 / becky 見た目 ×2 / becky 2.11.02 ×2 / このコンピューターが送信者に識別 ×2 / "XP SP2" Becky ×2 / becky 2 危険 ×2 / becky! 2.12 ×2 / “画像が表示されない” “ウイルスバスター” ×2 / becky web ジャンプ ×2 / ステータスバー URL 表示 ×2 / becky ruby -zer -luciferhiroki -自動チョコボ掘り -dancingheart ×2 / Becky PKI ×2 / Becky! ×2 / HTML メール セキュリティ ×2 / "webバグ" -hiromitsu.jp ×2 / Becky HTML 画像 表示 ×2 / becky! 画像 ×2 / becky 右クリック ×2 / 高木浩光 拡張子 ×2 / Becky! 設定 セキュリティ ×2 / Becky!Internet Mail version 2.0 ×2 / Becky ×2 / フォーム -hiromitsu.jp ×2 / becky セキュリティー HTML 画像 ×2 / Becky!で開く ×2 / htmlメール セキュリティ ×2 / HTML メールマガジン よい ×2 / ab0.jp ×2 / HTMLメール 画像が表示されない場合 ×2 / 窓の杜 ×2 / becky html ブラウザ表示 ×2 / -hiromitsu.jp ビーコン ×2 / becky リンク 表示されない ×2 / coden メールマガジン html フォーム ×2 / becky html表示 ×2 / ブラウザ セキュリティ アドレスバー 右クリック ステータスバー ×2 / Becky outlook ×2 / 高木浩光 Becky ×2 / becky サーバー証明書 ×2 / NTTコム メールマガジン ×2 / XP 画像 表示されない ×2 / becky 2.11 ×2 / becky! xp sp2 ×2 / Becky レイアウト ×2 / https 画像が表示されない ×2 / 乗松 Becky ×2 / Becky! 2.12で何が改善されたか ×2 / becky html 画像が表示されない ×2 / becky リンク先 ×2 / https 画像 表示されない ×2 / Becky 添付ファイル 表示されない ×2 / becky 危険 ×2 / xrea cookie php ×2 / アドレスバーがない ヤフー ×2 / Becky 偽装 ×2 / becky! htmlメール form ×2 / Becky 拡張子 ×2 / Becky HTML表示 ×2 / becky WEBブラウザで開く ×2 / Becky 表示されない ×2 / Becky メール ×2 / becky htmlメール リンク ×2 / 添付ファイルが開けない becky ×2 / Winny Becky ×2 / Becky htmlメール リンク ×2 / ファイルを開く 表示されない becky ×2 / outlook Express 画像表示されない ×2 / メールマガジン 添付ファイル ×2 / outlook exeファイルを開く ×2 / 情報バー 今後この ×2 / becky webビーコン ×2 / becky mail html 変換 ×2 / 高木浩光 becky ×2 / このコンピュータが送信者に識別されることを予防するため、 ×2 / 高木浩光 クッキー ×2 / Becky! リンク ×2 / Becky htmlメール ×2 / セキュリティー ポリシー テキストで表示 html メール ×2 / Becky ログ ×2 / XP SP2 セキュリティ IE 画像が表示されない ×2 / becky html メール ×2 / beckyからOutlook ×2 / BeckyからOUTLOOK ×2 / Becky Outlookにレイアウト ×2 / becky! html ×2 / -hiromitsu.jp cookie ×2 / リンク IEで開く 設定方法 ×2 / ステータスバーに URLが 表示されない 原因 ×2 / becky 偽装 ×2 / 添付ファイルとして送信の際に署名がつかない ×2 / Becky! 画像ブロック ×2 / Becky インターネットゾーン ×2 / Becky 右クリック ×2 / becky! URL "INternet Explorer" ×2 / becky 1件 ×2 / sp2 tomcat ファイアウォール ×2 / becky outlook express ×2 / becky ×2 / Becky 画像 表示されない ×2 / XP 設定 リンク先をIEで開くようにする ×2 / Becky メール 画像が表示されない ×2 / becky +セキュリティ ×2 / 高木 セキュリティ ブログ ×2 / ポインタ リンク先 表示されない ×2 / HTTP Cookies 仕様 ×2 / becky クリック ×2 / S/MIME Becky 設定 ×2 / beckyより良い ×2 / beckyからoutlook 変換 ×2 / becky メール ×2 / webビーコン -hiromitsu.jp ×2 / Outlook Express リンクをIEで開く ×2 / 次の画面に行けない アドレスが表示されない ×2 / beckyから outlook 変換 ×2 / becky URL ジャンプ ×2 / becky 説明 ×2 / 標準のブラウザ becky ×2 / webバグ -hiromitsu.jp ×2 / HTML becky ×2 / Becky HTMLメールの表示 ×2 / winny画面 ×2 / WEB セキュリティ 消費者 ×2 / Becky! outlook ×2 / HTML メール 安全 ×2 / firefox 画像表示されない ×2 / becky htmlメール 作成 ×2 / Becky HTML メール ×2 / Becky HTML 見れない ×2 / お役立ちマガジン 迷惑メール ×2 / Becky HTML 画像 ×2 / becky 添付ファイル 直接 開く ×2 / 画像 表示されない × ウイルスバスター2006 ×2 / becky htmlメールの表示 ×2 / becky! 画像表示 ×2 / becky! htmlメール ×2 / Becky HTML編集 ×2 / 窓の杜 webビーコン 説明 ×2 / becky 暗号化 ×2 / becky xhtnl ×2 / HTML転送 ×2 / becky ステータスバー ×2 / Becky htmlメルマガ 配信テスト ×2 / becky リンク ×2 / becky! vba ×2 / Beckyからoutlook ×2 / IE URLが表示されない ×2 / Becky HTMLの添付 ×2 / 画像 メール 添付 ビーコン ×2 / Becky でメールのHTML表示ができない ×2 / Becky html添付 ×2 / htmlメール becky 表示崩れ ×2 / Becky! 2.12 ×2 / becky IE以外 URL クリック ×2 / ネットお役立ちマガジン ×2 / Becky S/MIME ×2 / becky!,ウィルスメール ×2 / Becky!からOutlook ×2 / HTMLメールのレイアウトが正しく表示されない ×2