| [Security] | ||||||||||||||
悪意のあるHTMLメールから、より確実にコンピュータを守る
|
||||||||||||||
|
||||||||||||||
| 解説 |
マイクロソフトから提供されているメール・ソフトウェアのOutlook Express(Internet Explorerに付属)やOutlook(Officeスイート)では、Webページで利用するHTML形式のメールを送受信できる。HTML形式のメールは、フォントを変更したり、文字の色やサイズを変更したり、見やすい表を構成できたりと、テキスト形式では不可能な表現力が得られるという利点がある。しかしその一方では、メッセージのサイズが大きくなること、セキュリティ面での不安があることから敬遠するユーザーも少なくない。HTML形式のメールを発信したくなければ、Outlook Express/Outlookの設定を変更することで、テキスト形式のメールのみを発信するようにできる。
Webページでは、JavaScriptなどのスクリプト言語を利用することで、ページの表示時点などで、Webページの作成者が提供したプログラムをIE側(ブラウザ側)で実行させることができる。Outlook ExpressやOutlookは、HTML形式のメールを表示するときに、Internet Explorer(IE)のコンポーネントを表示エンジンとして利用している。Outlook Express/OutlookにおけるHTML形式メッセージの表示では、以下で述べるゾーン設定の状態によらずスクリプトやActiveXコントロールは無効になっているが、HTML形式の機能性を悪用した攻撃に万全を期すには、Outlook Express/Outlookの設定を変更(確認)する必要がある。
悪意のあるスクリプトなどを含むHTMLメールから、より確実にコンピュータを守るには、Outlook Express/OutlookでHTML形式のメッセージを表示する場合に適用されるセキュリティ・ゾーンをより制限の強いものにしておく。ただし、IEでは「インターネット」「イントラネット」「信頼済みサイト」「制限付きサイト」という4つのゾーンから選択できるが、Outlook Express/Outlookでは、このうち「インターネット」または「制限付きサイト」のいずれかのみを選択できる。IEのセキュリティ・ゾーンに関する詳細は、以下の別稿を参照されたい。
「インターネット」は、インターネット上にある一般的なWebページを表示するためのゾーンである。これに対し「制限付きサイト」は最も制限の強いゾーンで、信頼できるかどうか疑問があるサイトを登録するゾーンである。
結論からいえば、Outlook Express/Outlookを利用しているユーザーは、HTMLメールの表示に適用するゾーン設定を一律「制限付きサイト」にするべきだ。セキュリティ問題が声高に叫ばれるようになった昨今、マイクロソフトは、新版のOutlook Express/Outlookでは、デフォルトで「制限付きサイト」ゾーンが適用されるようにした。しかし旧来のOutlook Express/Outlookでは、デフォルト設定が「インターネット」ゾーンになっていた。DA LabでOutlook Express/Outlookのデフォルト設定を調査したところ、次のようになっていた。
| バージョン | ゾーン設定 |
| Outlook Express 5.01 | インターネット |
| Outlook Express 5.5 | インターネット |
| Outlook Express 5.5+SP1 | インターネット |
| Outlook Express 5.5+SP2 | インターネット |
| Outlook Express 6.0 | 制限付きサイト |
| Outlook Express 6.0+SP1 | 制限付きサイト |
| Outlook 2000 SR1以前 | インターネット |
| Outlook 2000+SP2 | 制限付きサイト |
| Outlook 2000+SP3 | 制限付きサイト |
| Outlook 2002 | 制限付きサイト |
 |
|
| Outlook Express/Outlookのバージョンとデフォルトのゾーン設定 | |
つまり、Outlook Express 5.5以前、またはOutlook 2000のSR1以前のバージョンをデフォルト設定で利用している場合には、設定が「インターネット」ゾーンになっている。
IEのゾーン設定では、登録したサイト(URL)だけを信頼したり(「信頼済みサイト」にURLを登録する)、強い制限を加えたり(「制限付きサイト」にURLを登録する)することができる。これに対しOutlook Express/Outlookでは、メッセージの送信元アドレスにかかわらず、Outlook Express/Outlookにおける現在のゾーン設定がすべてのメッセージに対して適用されるので注意が必要だ。
なお最新のOutlook Express 6.0 SP1では、HTMLメールを強制的にテキスト形式にして読み出すオプションが追加された。このオプションを利用すると、HTML形式メッセージの文字部分のみしか読めなくなるが(HTML形式のデータは添付データとして表示可能)、より安全性は高くなる。詳細は以下の別項を参照されたい。
| 設定方法 |
ゾーン設定を変更(確認)する
■Outlook Express
Outlook Expressでゾーン設定を変更(確認)するには、[ツール]メニューの[オプション]を実行し、表示される[オプション]ダイアログの[セキュリティ]タブにある[ウイルス防止](IE
5.5以前では[セキュリティ ゾーン])の[使用するInternet Explorerセキュリティ ゾーンを選択してください]で[制限付きサイトゾーン(安全性が向上します)]を選択する。
 |
||||||
| Outlook Express 6.0の[オプション]ダイアログ−[セキュリティ]タブ | ||||||
| HTMLメッセージの表示に使用するゾーンを選択する。 | ||||||
|
■Outlook 2000/2002
Outlook 2000/2002でゾーン設定を変更(確認)するには、[ツール]メニューの[オプション]を実行し、表示される[オプション]ダイアログの[セキュリティ]タブにある[コンテンツの保護]の[ゾーン]リストボックスから[制限付きサイト]を選択する。
 |
|||
| Outlook 2002の[オプション]ダイアログ−[セキュリティ]タブ | |||
| HTMLメッセージの表示に使用するゾーンを選択する。 | |||
|
この記事と関連性の高い別の記事
- Outlook Expressでメール・ボックスやニュース・メッセージの保存先ディレクトリ(ドライブ)を変更する方法(TIPS)
- Outlook ExpressのメールをWindows VistaのWindowsメールへ移行させる(TIPS)
- XP SP2のOEでHTMLメールを表示させる(TIPS)
- IEのセキュリティ設定を変更してセキュリティ機能を強化する(1)(TIPS)
- IEのゾーン設定情報を移行・バックアップする(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
 |
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
