- ベストアンサー
リッチテキスト形式メールの危険性は?
今、社内で日報をリッチテキスト(HTML)形式メールで浸透させる計画があります。もちろん、全員がOutlookExpressを使っているため文字化けの心配などはありません。しかし、リッチテキスト形式だとウイルスの危険があるという声があがっています。 日報ですから簡単な表の形態です。FrontPageである程度の表の形を作り、それをOutlookExpressのほうに貼り付けてリッチテキスト形式のメールを作成しました。その日報テンプレート?メールは名前を付けて保存しておいたので、あとは氏名や内容を挿入し送信するだけで済むようにしました。 今時点でそのテンプレートメールにはウイルスは存在していません。今後はそのメールを社内に配り、そこに内容を記入して送信してもらう計画でいるわけです。さて、このような状況において果たしてそのリッチテキストメールにウイルス(ワーム)が混入する危険性はどれだけあるのでしょうか? ウイルスの混入する危険があるとすれば、どういう形が想定されますか?予防策などはありますか?そのへんも合わせて教えていただければ助かります。 ※ちなみに、今はテキスト形式メールにワードで作成した日報ファイルを添付し送信しています。
- みんなの回答 (7)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
>社内で作り使いまわしているリッチテキスト(HTML)形式メールに限って言えば、 >そのメール自体にウイルスが混入する可能性はゼロとはいえないのでしょうか? はい、社内で作り、その中だけで使いまわしているメールであっても、 ウイルスが混入する可能性はゼロとはいえないということです。 リッチテキストやHTMLのデータ部が書き換えられて、 ウィルスとして悪さをする場合もあるでしょうし、 新たに別の不正データ部が付いて、ウィルスとして機能することもあるでしょう。 配布される日報テンプレートの、個人レベルの日頃の管理、 テンプレートやメールが保存されるコンピュータの稼動の状況、 テンプレートを開くソフトやいっしょに保存されるデータの状況、等々 について思いを巡らせば、たとえ社内イントラネットといえども、 アリの這い出る隙もないほど完璧だなどとは誰も断言できない、 それが現実ではないでしょうか。 結局、完全なシステムというものはなく、特にメールシステムの場合、 添付ファイル、HTML形式、リッチテキスト形式などのように、 マルチパート部を付加する形式はリスクが大きいということ、まずこの認識が大前提です。 しかし、そうはいっても、やはり、 社内でメール利用の実績が既にあって、それなりに成果が上がっている、 テンプレート形式による日報の読み易さ、扱い易さはそれなりに評価できる、 ということで、次に考慮すべきことは2点です。 まず、第1は、感染のし易さ、またもしウィルスが入ったとして、 その影響を最小限にとどめたい場合、現在どういう選択が可能かという点。 これについては、前回申し上げたように、 HTML形式メールは最もよく狙われており、リスクも大きいこと、 リッチテキスト形式によるテンプレートによるメールについては、 現在までのところその限りではないこと、というのが結論です。 あくまでも現在までのところというのがミソです。 第2は、ウィルス問題の本質は、 どの方式が感染しにくいかということもさりながら、 システムの運用の仕方がルーズである限り、どんなシステムを導入しても、 起こり得る結果の重大さに大した違いはなく、その意味で、 担当部署・管理者の果す役割がますます大きくなってきているという点。 以下に、そのためのヒントを整理してみました。 (1)個人でできること 意味不明な件名のメールは開かないで捨てる。 意味不明の添付ファイルは開かないで捨てる。 ディスクのチェックをときどき実施する。 これらは、メールのヘビーユーザが、皆等しく言うことです。 これを社内でキャンペーンすること。 (2)チェック体制 ウィルスの脅威はなくならない。 かといって、社内全体を一律に高度なウィルスチェック体制に組み込み、 管理主義的に、がんじがらめにする必要もない。 少なくとも、日報の性格から、集約・管理する部門・人がいるはずだから、 最低その所だけでも、日常的に手軽にチェックできる仕組みの導入を考える。 (3)情報開示 ウィルスがもし見つかったとき、影響を最小限に食い止める対策を シミュレートして確立しておく必要があります。 また、そのような情報をどう皆に伝え、今後に役立てていくかを考えること。 (4)人為的ミス ウィルスではありませんが、 利用者の誤った操作によって、テンプレートに変更が加えられ、 それが見過ごされたまま、新規テンプレートとして再配布され、 データ書式が変わり不都合を生じるなどといったことも起こり得ることです。 この手の事故は最も起こりやすく、影響も大きいので、 テンプレートを常に最新のものに保つ仕組みが必要です。 さて、 HTML形式のテンプレートはリスク大、 リッチテキスト形式のテンプレートはまだその限りでない、 しかし、いずれにしろウィルスの可能性があるのは当たり前、 それを認めた上で、 (1)草の根の部分で、日頃何ができるか。 (2)担当者、管理者として、もしものとき、影響を最小限に食い止めるには 日頃からどんな対策を立てておくか というのが、この手の問題に対する基本的スタンスであろうと思います。 これによって、リッチテキスト形式テンプレートによるメールのウィルスの脅威は、 かなりの率減らせるのではないでしょうか。 いつも長くなって恐縮です。
その他の回答 (6)
(1) メールの世界で、現在問題になっているのは、 知らないうちに、WordやExcelなどのマクロウィルスを含むファイルが、 添付ファイルとして外部からもたらされ、 知らず知らずのうちに、またそれを添付ファイルにして送信してしまう、 そういうことの繰り返しによって、蔓延してゆくという状況です。 http://www.trendmicro.co.jp/virusinfo/basic/before.htm http://www.trendmicro.co.jp/virusinfo/basic/winsecurity/winsec4.htm これには、ウィルスチェックの体制を組織的にも、個人レベルでも充実してゆく、 そういう働きかけが必要です。これによって、外部からの侵入を防ぐということです。 マクロウィルスは、添付ファイル化されたWord、Excel、FrontPageなどの添付ファイルの マクロに仕組まれたプログラムが悪さをします。 これへの対処としては、次のようなものがあります。 http://www.trendmicro.co.jp/virusinfo/basic/winsecurity/winsec6.htm そして、万が一侵入されたときでも、ウィルス流布の汚名を着せられないために、 Wordなどのメジャーなアプリケーションのデータファイルを添付ファイルにするのは避ける、 というのが、一般的にとられる基本的な態度です。 兎に角、Wordのような文書のファイルを添付して送ることの危険性は最大限に高いということです。 さて、HTML形式やリッチテキスト形式でメールを書くことも、メールの内部形式では、 添付ファイルを送るのと近いことを行っており、この方法もできれば推奨されません。 (2)しかし、HTML形式やリッチテキスト形式でメールを書くことは、 受信文書の可読性の高さから、とても便利な面があります。 そこで、次の問題は、 もし、知らず知らずのうちに、ウィルスを添付ファイルとして含んでしまった場合、 HTML形式メールとリッチテキスト形式メールのどちらがリスクが小さくてすむかという点です。 そこで、まず怖いのは、いわゆる「HTMLウィルス」だと思います。 具体的には、メールソフトのHTMLビューアの問題になりますが、 HTML形式による、凝ったメールが増えてきており、 Webブラウザの方は、HTMLウィルスへ対応するためにセキュリティを厳しくしつつあり、 ある種のActiveXはデフォルトで実行されないように設定されています。 しかし、メールソフトでHTMLファイルを開く場合には、 ビューアによるチェックは一般的に甘くなりがちです。 その場合、HTMLファイルに書き込まれたスクリプトが自動的に実行され、 パソコンのディスクが勝手に操作されてしまう可能性があります。 http://www.onsystems.co.jp/SecurityHole-HTMLView.html http://www.internetclub.ne.jp/TECH/Ztoday/1999/990802.html http://www.internetclub.ne.jp/TECH/Ztoday/1999/990508.html 一方、RTFファイル、すなわちリッチテキストファイル化すれば、 テキスト以外の書式やスタイル情報も保存できます。 しかし、そもそもリッチテキストで伝えられる書式やスタイルは、 限られた文字種、下線、表などの低レベルの飾り情報に限定され、 高級なWordやExcelなどのマクロウィルスのコードは保存できません。 元来、リッチテキストは、メモ帳では、可読性の悪い命令埋め込みのテキスト文書として表示されるだけです。 かといってWordのような高級な書式やスタイル情報を伝えることはできません。 あくまでも、ワードパッドレベルの文書情報を伝えることを目的にしています。 したがって、リッチテキストに潜むウィルスと報告されているものでも、 実体は、Word文書のままで、拡張子だけを.rtfに直したもののようです。 http://ns.jcsa.or.jp/JpNews1999.html このことから、最近では、どんな拡張子であろうと、すべてウィルスチェックの対象とする というのが常識になっています。 長々と書いてしまいましたが、結論としては、 >現在はワードファイルを添付しておりますが、 >果たしてそこにウイルスが混入する危険性に比べるとどうなのでしょうか? 一般に、メジャーなアプリケーションである、ワードファイルを添付することに比べ、 リッチテキスト形式のメールにウィルスが混入する危険性は低い。 しかし、ウィルスに感染したHTML形式やリッチテキスト形式のメールが外部からもたらされる 危険性はなくならないので、さらにその防御体制を続ける必要がある。 その場合、現在では、HTMLウィルスの方が危険性の度合いは高い。 とはいえ、今後、いつ、高度なウィルスがリッチテキストファイルに埋め込まれ、 それが広まるようになるか余談は許されない状況ではあります。 さて、余談ですが、リッチテキストやHTML形式ファイルを利用する場合の問題点は、 むしろ次のような点にあるとわたしは考えています。 ・書式情報などのために、メールの物理的サイズが大きくなり、 送受信に要する時間やネットワークの負荷が増大すること。 ・日報メールは日夜溜まっていき、保存するサーバ側のディスク容量を圧迫すること。 ・リッチテキストファイルは、メーカ間、OS間、メールソフト間で、 互換性がないという欠点があること。 したがって、将来、テンプレートファイルの管理が面倒になる可能性もあります。
- honiyon
- ベストアンサー率37% (331/872)
こんにちは、honiyonです。 危険性という点について比較考察です。 ◇HTMLとMS-Worの危険性について 前述の私の意見の通り、危険性という面では五分五分と判断できます。 ◇使用方法による危険性の違い ・ケース1:添付ファイルとして扱う場合 メール本文や、ファイル名からファイルの内容が安全と判断して から添付ファイルを開くことが出来ます。 アヤシイ!と判断したら添付ファイルを開かなければいけない。 ・ケース2:メールクリック時に開く場合(HTMLファイルを自動的に開く場合) メールのタイトルから内容の安全を判断し、メールを読まなければ ならない。 上記から判断するには、個人的にケース1の方が危険性が低いと判断できます。 「この添付ファイルは安全だ」と判断するための材料が豊富だからです。 ケース 2では、判断材料はタイトルだけで、タイトルから内容を判断するのは難しいと 思われます。 例として「こんにちは」「広告メールです」等というタイトルの 場合、ついついクリックしてしまうでしょう。 クリックしたら自動的に添付フ ァイル(HTMLファイル)が開いてしまいます。 本件において、最も怖いのは社内からのウイルス送受信ではなく、外部からの ケースです。 外部からのメールを用いたイタズラ・ウイルス感染に、私が貧弱 になると指摘したのはこのような理由です。 余談ですが、私はアヤシイと思っても、ついついテキスト本文は読みたくなり ます(^^; テキスト本文を確認せず、「未読」マークのついたままそのメールを ゴミ箱行きにするのはちょっと勇気がいるでしょう。 参考になれば幸いです(..
お礼
仕事で多忙だったためにお礼がおくれてすみませんでした。いろいろと参考になりました。しつこいようですが、そうすると社内で作成し使いまわしている同じリッチテキスト(HTML)形式メールに限って言えば、そのメール自体にウイルスが混入する可能性はゼロと捉えてかまいませんか?
HTML形式メールとリッチテキスト形式メールは、 ともに、見栄えの良い文書を受信者にもそのままの形で見せたいという要求から出た方式ですが、 送られる文書の内部形式は異なっていますので、区別された方がよろしいと思います。 まず、HTML形式メールについて。 たとえば、Outlookなどのメールソフトでは、HTML形式メールを指定すると、 文字飾りなどの付いた見栄えの良いオリジナル文書を、 HTMLでタグ付けされた通常のプレーンテキスト化し、 それをquated-printableタイプのマルチパート部として本文に付加して送信します。 そして、もし受信側メールソフトがHTML形式を受容できれば、 そのマルチパート部をブラウザなどに通して見栄えよく表示します。 さて、ウィルスが混入する可能性があるとすれば、 そもそもHTML文書にはスクリプト言語が記述できるので、 悪さをするスクリプトを途中で埋め込まれるかもしれないという点です。 この方法で広がったウィルスの代表例が、Romeo&Julietです。 現在、それほどの被害報告は出ていないようですが、 より強力なウィルスを生むスクリプトが作成されないとも限らないので、 見知らぬ人からのHTML形式メールに対してはそれなりに注意が必要です。 しかし、信頼できる人が信頼できるパソコン上で、信頼できるメールソフトで、 新たにHTMLメール化したメールであれば、しかもイントラネットなどで、 通信経路上にも特に問題がなければ、ことさら恐れる必要はないと思います。 次に、リッチテキスト形式メールについて。 こちらの場合は、メールソフトで、リッチテキスト形式を指定すると、 見栄えの良いオリジナル文書は、Base64などの方式で符号化され、 添付ファイル化された上で、メール本文に添付されて送信されます。 したがって、ウィルス混入の危険性は、HTML形式メール以上に考えておかなければなりません。 しかし、HTML形式メールと同様に、 信頼できる人が信頼できるパソコン上で、信頼できるメールソフトで リッチテキスト形式化しているのであれば、特に問題はないと考えられます。 ところで、HTML形式メールや、リッチテキスト形式メールが一般に敬遠されるのは、 ウィルスの可能性という面と同時に、 皆が同じメールソフト環境を有しているとは限らないということも理由に入っていると思います。 したがって、職場や学校などのように、ある程度共通のメール環境が整っているところであれば、 また、送受信に際して、ウィルスチェックや暗号化などの手間を惜しまない習慣ができているところならば、 それほど、HTML形式やリッチテキスト形式メールを、特殊なものとして避ける必要はないと思います。 ということは、今おやりになっている、 「テキスト形式メールにワードで作成した日報ファイルを添付し送信している」手順に、 添付前にウィルスチェックを施す工程を一つ加え、 それを当面続けながら、ウィルスへの注意を皆に呼びかけるのが肝要かと思います。 そして、いずれ、時期を見てHTML形式のメールに切り替えていくのがよろしいのではないかと思います。 最後は余計なおせっかいになってしまいましたが、 一つの参考意見としてお聞きき下されば幸いです。
お礼
nrbrtさん、ありがとうございました。 皆さんがアドバイスしてくださっている内容は馬鹿な私には少しハードルの高いものですが、がんばって理解したいと思います。 結局のところお聞きしたい点を理解していただくために、計画中の流れを再度ここに示します。 FrontPageで表を作成する。その表をコピー&ペーストして、ウイルスチェック済みリッチテキスト形式メール(日報用)をまず作ります。そして、それを「名前を付けて保存」し、社内に配ります。それを、社員のデスクトップ(あるいはマイドキュメント)に置いてもらう。社員は、毎日そのメールファイルに内容を記入して、送信する。 これが流れです。この過程でウイルス(ワーム)が混入するかどうかということです。 現在はワードファイルを添付しておりますが、果たしてそこにウイルスが混入する危険性に比べるとどうなのでしょうか? そのへんを上の者に報告しないといけませんもので・・・
- honiyon
- ベストアンサー率37% (331/872)
こんにちは、honiyonです。 HTMLファイルも危険な理由に回答します。 HTMLファイルには、スクリプト等を利用して悪意あるコードを埋め込む事がで きます。 そして最も多い(?)(個人的にメジャー)なのがブラウザクラッシャー です。 ウインドウを沢山開いて、PCを不安定にさせます。 社内のPC全部が HTMLを標準で開いておくようにすると、外部からこのよう なファイルが送られてきた場合、大変な事になりますね。 また定かではありませんが、スクリプトを利用して実行ファイルを自動的に実行 する方法もあるらしく、それが本当ならばHTMLを利用してウイルスを感染させる 事も出来ます。 もし LAN,WANで接続された環境であればファイルサーバーを設置し、そこに 報告書を蓄積するようにしてみはどうでしょうか? 目的な合うか分かりません が..(^^;
お礼
honiyonさん再度アドバイス感謝いたします。 会社の上の者に計画中のリッチテキスト形式メールにウイルスの混入の危険性について詳しく報告する必要があります。ですから、もう少し情報を集めてみたいと思います。
- honiyon
- ベストアンサー率37% (331/872)
こんにちは、honiyonです。 HTMLファイルを添付するのではなく、Outlookで表示させるよう設定するという 事でしょうか? HTMLファイル自体にウイルスが混入することはないですが、HTMLを引き金とする 事は十分に出来ます。 それを標準で表示させるようにしておくと、外部からのウ イルスメールや、悪意あるHTMLファイル(OSをクラッシュさせるようJAVAを仕込 んでみたり等)に対して非常に貧弱になります。 (危険なHTMLかもしれないのに、 目でチェックする前に開いてしまうので) 添付して送信するのであれば、危険性は MS-Wordファイルの添付と同じくらいで す。 社内のセキュリティを最優先に考えるのであれば、Outlookの使用を廃止し、 日報をテキストベースでする事です。 Outlookはたま~に巨大なセキュリティホ ールを出すので、"個人的に"怖くてお勧めできません。 MS-Wordもマクロウイルスの感染源となる可能性があります。 HTMLは先ほど申 した通り、引き金となる可能性があります。 だからといって、テキストベースオンリーというのも不便ですよね。 なので、 日報のファイル名の法則を制定し、その命名規則に反したものは絶対に開かない 事を習慣付け、その上で HTMLやMS-Wordの日報を"添付ファイル"として送信する ようにする事をお勧めします。 更に予防策としてウイルスチェックソフト(AntiVirus, VirusScan等)を全PC に導入してください。 参考になれば幸いです。
お礼
ありがとうございました。参考にします。
補足
おっしゃられるとおり、添付するのではなくメールとして表示させるということです。すでに日報の未記入状態のHTMLメールは出来上がっており(もちろんそれはウイルスに侵されてません)、それを社内に配布します。 たとえばそのメールを常にデスクトップに置いておくとします。そして、日報提出者は時間になった時にそのメールファイルを開き、内容を記入して送信ボタンを押すという簡単な作業を行なえばOKということにしたいのです。 今はまず日報のワードテンプレートファイルを開き、内容を記入し保存します。そして、それを圧縮してメールに添付して送るという形を取っています。日報をチェックする側もわざわざ添付ファイルを保存し、解凍し見なければなりません。この面倒な手順をなんとか解消したいために、リッチテキスト形式メールを使用したいのです。 つまりすでに出来上がっている日報用のリッチテキスト形式メールファイル(ウイルスチェック済み)に社員たちが記入して送信するというだけの話なのです。送信後もデスクトップには未記入の日報メールファイルは依然残っています。それを毎日使用する予定です。そうすれば、送る側も見る側も相当ラクになるはずです。 このような状況を想定しているのですが、一体どこでどうやってそのリッチテキストメールにウイルスが混入するのかが理解できないのです。社内のある人がそれでも危険だと言うものですから・・・。できれば、もう少し詳しく教えてください。
- Q2kirai
- ベストアンサー率16% (22/136)
(1)社外へのメールはテキスト形式にしたほうがいいと思いますが、合意があるのなら社内だけでHTML形式を使っても問題はないと思います。 社外へHTMLメールを出すと、たぶん会社の信用を落とします。 (2)ウィルスに関しては、現在のワードの添付ファイルのほうが余程怖いと思います。マクロウィルスはもちろんですし、結果として添付ファイルを開くことに馴れっこになるのも怖いですね。
お礼
アドバイス感謝いたしました。
補足
上で回答されている方の補足の部分にいくつか追記させてもらいましたので、よければ見てください。そして、再度何かアドバイスいただければ助かります。
お礼
仕事の都合で返事が遅れて申し訳ありませんでした。アドバイスありがとうございました。下の方のお礼の中でも触れたのですが、社内で作り使いまわしているリッチテキスト(HTML)形式メールに限って言えば、そのメール自体にウイルスが混入する可能性はゼロとはいえないのでしょうか?よければ、また教えてください。