業務システムのフロントエンドとしての
Microsoft Office Systemの実力（3） - Page2

　電子メール・情報管理ソフトウェアのOutlook 2003は、ユーザーインターフェイスが一新されるなど、前バージョン（Outlook 2002）から大幅な進化を遂げた。中でもセキュリティ機能の強化には目を見張るものがある。

　いまや電子メールは、ビジネスに欠かせないコミュニケーション手段になったが、メールを媒介として感染を広げるウイルスなどは後を絶たない。Mydoomと呼ばれるメール感染型のウイルスが世界でまん延し、その攻撃によって米SCO Group（旧カルデラ・インターナショナル）^＊1のWebサイトがサービス停止に追い込まれたことは記憶に新しい（Mydoomに感染すると、コンピュータはSCOGroupのWebサイトにサービス拒否攻撃［Dos攻撃］を加えるように設計されていた）。また最近では、スパム・メールとWebビーコン（後述）を組み合わせた巧妙なメール・マーケティングなども広まっている。

　情報ツールとしてメールを積極活用しながら、こうしたセキュリティ上の脅威から身を守るために、Outlook 2003では数々の最新のセキュリティ機能が追加され、強化されている。Windowsに標準添付されるOutlook Expressを含めるとOutlookユーザーの人口は非常に多いため、ウイルスの攻撃対象として狙われることが多い。しかしセキュリティ対策が強化されたOutlook 2003なら、特にユーザーが意識しなくても、ウイルスの感染を未然に防ぎ、スパム・メールを除外することができる。以下では、これらOutlook 2003で追加・強化された主要なセキュリティ機能をご紹介しよう。

■添付ファイルのブロック

　Mydoomがそうであったように、メールを媒介して感染を広げるウイルスでは、メールの添付ファイルとしてプログラムを配信し、あの手この手でユーザーにこれを実行させようとする。ユーザーが誤ってプログラムを実行すると、ウイルスはコンピュータに感染し、さらに別のコンピュータへの感染拡大や、サービス拒否攻撃などの活動を始める。かつてOutlook（Outlook Express、Outlook 98）には、受信したメールをプレビューするだけで添付ファイルが実行され、簡単に感染してしまうという弱点があったが、Outlook 2000のSP2以降、Outlook Express 6ではこの問題が解決された（Outlook 2002、2003は最初からこの問題が排除されている）。

　最近の傾向は、発信元を詐称して有名人や知人からのメールを装ったり、「メール送信エラー」の報告を装ったりと、気になったユーザーがうっかり添付ファイルを実行してしまう、ソーシャル・エンジニアリング的なアプローチ（コンピュータ技術を直接的に悪用して攻撃するのではなく、人間心理の弱点などを突いて不正を試みる方法）を取るウイルスが増加していることだ。プレビューによる自動実行はされなくなったとしても、ユーザーが自分の意思で実行した場合は感染を防止できない。

　これに対しOutlook 2002以降では、ウイルスの可能性がある添付ファイルの利用を強制的に排除することができる。具体的には、添付ファイル・タイプを検査し、攻撃用プログラムの可能性がある場合は、これを強制的に排除してユーザーにアクセスさせないのである（.bat、.exe、.vbs、.js、.pifなど）。例えば図5はMydoomの感染メールだが、添付の.pifファイルがOutlook 2003に強制的にブロックされている。Exchange Serverを利用している場合には、パブリック・フォルダの添付ファイル・リストを指定することで、管理者が任意のファイル・タイプを制限することができる。

図5 Mydoomウイルス・メール 添付の.pifファイル（body.pif）がOutlook 2003によって強制的に排除されている。ユーザーが誤ってウイルスの攻撃プログラムを実行する可能性はゼロである。

■HTMLメール防御の強化

　添付ファイルによる攻撃用プログラムの配信に加え、最近増えているのがHTMLメールを悪用した攻撃である。HTMLメールでは、Webブラウザの機能を利用できるため、フォントの種類やサイズ、色を変更したり、画像を組み込んだりして表現力の高いメールを作成できる。またJavaScriptやActiveXなどのダイナミックなコンテンツも作成可能だ。こうした機能を利用すれば、メールを使った、さらに一段高機能なコミュニケーションを行うことができる。しかしHTMLメールの利用には、Webへのアクセスと同様のセキュリティ・リスクがある。攻撃用のスクリプトやActiveXコントロールを含むサイトにアクセスするようなHTMLメールが送信され、ユーザーがこれをうっかり表示することで、ウイルスに感染する危険がある。

　これに対しOutlook 2003では、HTMLメール・コンテンツの実行ゾーンのデフォルトが最も制限の強い「制限付きサイト」になっており、スクリプトやActiveXコントロールなどは標準状態では実行できない（必要であれば、ゾーン設定を変更することもできる）。

図6 Outlook 2003のセキュリティ・ゾーン HTMLメールの実行ゾーンはデフォルトで最も制限の強い「制限付きサイト」になっており、JavaScriptやActiveXコントロールなどはデフォルトでは実行されないようになっている。

■外部リンクのブロック（Webビーコン対策）

　電子メールを悪用したマーケティング手法として、Webビーコン（またはWebバグ）を利用する例がある。これは送付した電子メールアドレスが利用されているか否かを判断することができる技術なのだが、これをスパム・メールに悪用するケースもあるのだ。スパム・メールとは、いわば利用者の意向はおかまいなしに、拡販のための広告を見せようとする投げ込みチラシやDM（ダイレクト・メール）の電子版である。米国に比べれば、日本でのスパム・メールの被害はまだそれほど深刻化していないが、手口はより巧妙になってきており、ユーザーが知らず知らずのうちにあくどいWebマーケティングの餌食となってしまうケースが増えている。

　Webビーコンとは、HTMLメールの仕組みを悪用して、ユーザーの挙動を監視しようとするWebマーケティングの手法である（「ビーコン」には「合図ののろし」「（灯台などの）航路標識」などの意味がある）。

図7 Webビーコンの仕組み HTMLメールの内部に画像取得用のリンクを埋め込み、画像へのアクセスを監視することで、ユーザーがそのメールを表示したかどうかをモニタできる。

　無差別にメールを送信するスパム・メール業者にとって、何より貴重なのは、ユーザーに利用されているアクティブなメール・アドレスを知ることだ。「メール送信を中止してほしければ以下に連絡を」などと記載しておき、中止希望のメールがやってきたら、それがアクティブなアドレスであるとして、別のスパム業者に名簿が売られる（このため、中止メールを出すとかえってスパム・メールが増える）などというような例も数多く報告されている。

　この方法では、メール返信という作業をユーザーに実行させる必要があるが、Webビーコンを悪用すれば、ユーザーが知らないうちに同じようなことが実行できてしまう。具体的には、HTML形式のメールに画像などへのリンクを入れておき、ユーザーが受信メールを表示したときに、画像取得のWebアクセスが発生するようにしておくのだ（図7「Webビーコンの仕組み」参照）。この際、リンクを示すURLにユーザーを識別できるようなコードを潜ませておけば、スパム業者はどのアドレスに発信したメールからのアクセスかを知ることができる。また画像といっても、たった1ピクセルの点でもよいので、ユーザーにそれと分からないように、ビーコンを仕掛けることができる。

　Outlook 2003では、Webビーコンに悪用される危険がある外部リンクをデフォルトでブロックする仕様になっている。例えば次の画面は、外部リンクの画像を含むHTMLメールを表示したところだ。

図8 Outlook 2003で外部リンクを含むメールを表示したところ 外部へのアクセスが必要な画像はデフォルトでは表示されない（つまり外部へのアクセスは行われない）。

　このようにOutlook 2003では、外部リンクへのアクセスはデフォルトでは行われない。つまりWebビーコンを含むスパム・メールを表示したとしても、それがスパム業者に知られることはない。画面から分かるとおり、画像の表示が必要なら、画像部分をマウスで右クリックしてメニューを実行すれば画像のダウンロードと表示が行われる（または、「画像をダウンロードするには」の部分をクリックして表示を選択）。

■スパム・メール対策

　前述のとおり、スパム・メールは頭の痛い問題である。たとえWebビーコンの餌食にならなくなったとはいえ、スパム・メールを受信すること自体が不愉快である。Outlook 2003では、スパム・メール対策機能（迷惑メール対策）が強化されている。

図9 迷惑メールのオプション デフォルトでは、上記の「低」が選択されており、明らかにスパム・メールと分かるものだけが自動的に「迷惑メール」フォルダに分類されるようになっている。

　スパム業者とのいたちごっこになってしまうため、マイクロソフトも詳細な仕様を明らかにしていないが、Outlook 2003では、メールの内容が評価され、それがスパム・メールかどうかが自動判別されて、設定されたレベルに応じてさまざまな自動処理を実行できるようにしている。デフォルトでは、あきらかなスパム・メールだけが「迷惑メール」という特別なフォルダに自動分類されるようになっている（消去はされないので、後で参照することは可能）。これに以外にも、登録された差出人やあて先のメールのみ受信するという強力な防御策をとることも可能だ。

　また受信したスパム・メールの発信者をマニュアル操作で「受信拒否リスト」に登録し、以後この発信者からのメールをスパム・メールとして処理させることもできる。

図10 迷惑メールのオプション（画面拡大） Outlook 2003では、特定の発信元を拒否したり、特定の発信元からのメールだけを受信したりすることができる。

　セキュリティ問題は、ITがもたらす負の側面である。それが企業にもたらす潜在的なリスクは大きく、コンピュータ・システムへの依存度が上がるに従って、リスクは年々大きくなっている。しかしITがもたらす利便性や生産性向上を捨てることはもはや不可能だ。これからの企業は、ITがもたらす効用を最大化しながら、セキュリティ・リスクは最小にとどめるという努力を続けていかなければならない。つまり、「危ないから使わない」のではなく「新しい技術を積極的に取り入れながら、同時にリスクを管理する」ということだ。

　技術が枯れずに進歩し続ける以上、それを利用する攻撃者と防衛者の関係はいたちごっこにならざるをえない。攻撃の技術が進歩し巧妙化する一方で、防衛の技術も進歩している。企業の管理者はこの現実を直視し、セキュリティ・リスクの低減も考慮して、最新技術への投資計画を練る必要がある。

　今回ご紹介したとおり、Microsoft Office Systemにはさまざまな最新のセキュリティ技術が搭載されている。機能面ばかりではなく、安全面から最新ソフトウェアを評価する時代がやってきた。日ごろは目に見えないが、いざ問題化すれば非常に大きなダメージを企業に与える可能性があるコンピュータ・セキュリティのリスクを低減するという視点でも、最新のMicrosoft Office Systemに目を向ける必要があるだろう。

コラム：IRM（Information Rights Management）とMicrosoft Office System IRM（Information Rights Management）は、ドキュメントと電子メールの保護技術である。現在一般に使用されるファイル・サーバのアクセス制御では、ユーザーがファイルにアクセスする時点でアクセス権をチェックし、アクセスを許可するかどうかを切り替えている。しかしEFS（暗号化ファイルシステム）などを利用してファイルを暗号化しないかぎり、ファイルのデータ自体はその気になれば読み出せる。従って何らかの方法でドキュメント・ファイルが外部に持ち出されると、内部の情報が漏えいしてしまう。 その場合でも、EFSで暗号化していれば情報漏えいを防止できるが、今度はEFSの制御が可能な環境（LAN内部のActive Directory環境など）にいなければドキュメントの内容を参照できない。必要な社外の人に安全な形式でドキュメントを渡すことはできない。 こうした問題を解消して、社内・社外を問わず、必要な人にはドキュメントへのアクセスを許可し、それ以外の人によるアクセスを禁止するための仕組みがIRMである。IRMでは、ドキュメントが存在する場所にかかわらず、ドキュメントに永続的なアクセス制限を設定できるわけだ。 図11 IRM（Information　Rights Management）の概要 IRMを利用すれば、ドキュメントの保存場所にかかわらず、ドキュメントに対して永続的なアクセス制限を加えることができる。 簡単にいえば、IRMでは、ドキュメントを暗号化してIRMに対応しないアプリケーションからはアクセスを禁止しておき、そのドキュメントへのアクセスをネットワーク上のサーバ（RMサーバ）で管理する。こうした仕組みを使ったドキュメント保護を可能にする技術がMicrosoft Office SystemのIRMである。 Microsoft Office SystemのIRMを利用したドキュメント保護機能を利用するには、RMS（Windows Rights Management Services）と呼ばれるサービスを提供するRMサーバを設置する必要がある。マイクロソフトは、Internet Explorer（IE）向けのRMアドオンを無償提供しており、これを利用すればMicrosoft Office Systemを持たないユーザーでも、IRM機能で保護されたドキュメントを表示できるようになる。 IRMでは、ドキュメントの読み出しや上書き、削除などの一般的なファイル・システム・レベルのアクセス制限だけでなく、「画面表示はできるが印刷はできない」「クリップボードへのコピーを禁止する」など、ユーザーごとに細かなアクセス制限を加えることができる。パートタイム雇用の増加やアウトソーシングの拡大によって、企業ではさまざまな立場の人たちが同じ場所で働くようになってきている。IRMを利用すれば、それぞれのユーザーの立場に応じて、ドキュメントに対するアクセス制限を細かく制御し、情報漏えいを未然に防止することが可能である。

2/2

次回の公開は4月中旬予定です

index 業務システムのフロントエンドとしてのMicrosoft Office Systemの実力
第1回 バックエンド・システムとの連携を強化するMicrosoft Office SystemのXMLスキーマ対応
第2回 Webサービスで変わるMicrosoft Office 2003 Editionsビジネス・アプリケーション環境
第3回 最新のセキュリティ対策機能を搭載したMicrosoft Office System
	Page1 情報デジタル化によるセキュリティ・リスクの増大 Office Systemで追加、拡充されたセキュリティ機能一覧 データ改ざんの防止 不正な攻撃からの防御 情報漏えいの防止
	Page2 セキュリティ関連機能が大幅に強化されたOutlook 2003 セキュリティ・リスクを低減するための投資