Windows
TIPS
| [Security] |
悪意のあるHTMLメールから、より確実にコンピュータを守る
→ 解説をスキップして設定方法を読む
デジタルアドバンテージ
2003/10/04 |
|
| 対象ソフトウェア |
| Outlook Express 5.01 |
| Outlook Express 5.5 |
| Outlook Express 6.0 |
| Outlook 2000 |
| Outlook 2002 |
|
|
 |
| ■ |
Outlook Express/OutlookでHTML形式のメールを表示するときには、表示エンジンとしてIEが使われる。 |
| ■ |
このとき、表示に適用されるゾーンを設定できる。 |
| ■ |
古いOutlook Express/Outlookでは、デフォルトのゾーン設定が甘いので、より制限の強い設定に変更した方がよい。 |
|
|
マイクロソフトから提供されているメール・ソフトウェアのOutlook Express(Internet Explorerに付属)やOutlook(Officeスイート)では、Webページで利用するHTML形式のメールを送受信できる。HTML形式のメールは、フォントを変更したり、文字の色やサイズを変更したり、見やすい表を構成できたりと、テキスト形式では不可能な表現力が得られるという利点がある。しかしその一方では、メッセージのサイズが大きくなること、セキュリティ面での不安があることから敬遠するユーザーも少なくない。HTML形式のメールを発信したくなければ、Outlook
Express/Outlookの設定を変更することで、テキスト形式のメールのみを発信するようにできる。
Webページでは、JavaScriptなどのスクリプト言語を利用することで、ページの表示時点などで、Webページの作成者が提供したプログラムをIE側(ブラウザ側)で実行させることができる。Outlook
ExpressやOutlookは、HTML形式のメールを表示するときに、Internet Explorer(IE)のコンポーネントを表示エンジンとして利用している。Outlook Express/OutlookにおけるHTML形式メッセージの表示では、以下で述べるゾーン設定の状態によらずスクリプトやActiveXコントロールは無効になっているが、HTML形式の機能性を悪用した攻撃に万全を期すには、Outlook
Express/Outlookの設定を変更(確認)する必要がある。
悪意のあるスクリプトなどを含むHTMLメールから、より確実にコンピュータを守るには、Outlook Express/OutlookでHTML形式のメッセージを表示する場合に適用されるセキュリティ・ゾーンをより制限の強いものにしておく。ただし、IEでは「インターネット」「イントラネット」「信頼済みサイト」「制限付きサイト」という4つのゾーンから選択できるが、Outlook
Express/Outlookでは、このうち「インターネット」または「制限付きサイト」のいずれかのみを選択できる。IEのセキュリティ・ゾーンに関する詳細は、以下の別稿を参照されたい。
「インターネット」は、インターネット上にある一般的なWebページを表示するためのゾーンである。これに対し「制限付きサイト」は最も制限の強いゾーンで、信頼できるかどうか疑問があるサイトを登録するゾーンである。
結論からいえば、Outlook Express/Outlookを利用しているユーザーは、HTMLメールの表示に適用するゾーン設定を一律「制限付きサイト」にするべきだ。セキュリティ問題が声高に叫ばれるようになった昨今、マイクロソフトは、新版のOutlook
Express/Outlookでは、デフォルトで「制限付きサイト」ゾーンが適用されるようにした。しかし旧来のOutlook Express/Outlookでは、デフォルト設定が「インターネット」ゾーンになっていた。DA
LabでOutlook Express/Outlookのデフォルト設定を調査したところ、次のようになっていた。
| バージョン |
ゾーン設定 |
| Outlook Express 5.01 |
インターネット |
| Outlook Express 5.5 |
インターネット |
| Outlook Express 5.5+SP1 |
インターネット |
| Outlook Express 5.5+SP2 |
インターネット |
| Outlook Express 6.0 |
制限付きサイト |
| Outlook Express 6.0+SP1 |
制限付きサイト |
| Outlook 2000 SR1以前 |
インターネット |
| Outlook 2000+SP2 |
制限付きサイト |
| Outlook 2000+SP3 |
制限付きサイト |
| Outlook 2002 |
制限付きサイト |
 |
| Outlook Express/Outlookのバージョンとデフォルトのゾーン設定 |
つまり、Outlook Express 5.5以前、またはOutlook 2000のSR1以前のバージョンをデフォルト設定で利用している場合には、設定が「インターネット」ゾーンになっている。
IEのゾーン設定では、登録したサイト(URL)だけを信頼したり(「信頼済みサイト」にURLを登録する)、強い制限を加えたり(「制限付きサイト」にURLを登録する)することができる。これに対しOutlook
Express/Outlookでは、メッセージの送信元アドレスにかかわらず、Outlook Express/Outlookにおける現在のゾーン設定がすべてのメッセージに対して適用されるので注意が必要だ。
なお最新のOutlook Express 6.0 SP1では、HTMLメールを強制的にテキスト形式にして読み出すオプションが追加された。このオプションを利用すると、HTML形式メッセージの文字部分のみしか読めなくなるが(HTML形式のデータは添付データとして表示可能)、より安全性は高くなる。詳細は以下の別項を参照されたい。
ゾーン設定を変更(確認)する
■Outlook Express
Outlook Expressでゾーン設定を変更(確認)するには、[ツール]メニューの[オプション]を実行し、表示される[オプション]ダイアログの[セキュリティ]タブにある[ウイルス防止](IE
5.5以前では[セキュリティ ゾーン])の[使用するInternet Explorerセキュリティ ゾーンを選択してください]で[制限付きサイトゾーン(安全性が向上します)]を選択する。
 |
| Outlook Express 6.0の[オプション]ダイアログ-[セキュリティ]タブ |
| HTMLメッセージの表示に使用するゾーンを選択する。 |
| |
 |
「インターネット」ゾーンを適用する。 |
| |
 |
「制限付きサイト」ゾーンを適用する。 |
|
■Outlook 2000/2002
Outlook 2000/2002でゾーン設定を変更(確認)するには、[ツール]メニューの[オプション]を実行し、表示される[オプション]ダイアログの[セキュリティ]タブにある[コンテンツの保護]の[ゾーン]リストボックスから[制限付きサイト]を選択する。
 |
| Outlook 2002の[オプション]ダイアログ-[セキュリティ]タブ |
| HTMLメッセージの表示に使用するゾーンを選択する。 |
| |
|
ここで[制限付きサイト」を選択する。 |
|
Windows Server Insider フォーラム 新着記事
