リッチテキスト形式メールの危険性は？

(1) メールの世界で、現在問題になっているのは、 知らないうちに、WordやExcelなどのマクロウィルスを含むファイルが、 添付ファイルとして外部からもたらされ、 知らず知らずのうちに、またそれを添付ファイルにして送信してしまう、 そういうことの繰り返しによって、蔓延してゆくという状況です。 http://www.trendmicro.co.jp/virusinfo/basic/before.htm http://www.trendmicro.co.jp/virusinfo/basic/winsecurity/winsec4.htm これには、ウィルスチェックの体制を組織的にも、個人レベルでも充実してゆく、 そういう働きかけが必要です。これによって、外部からの侵入を防ぐということです。 マクロウィルスは、添付ファイル化されたWord、Excel、FrontPageなどの添付ファイルの マクロに仕組まれたプログラムが悪さをします。 これへの対処としては、次のようなものがあります。 http://www.trendmicro.co.jp/virusinfo/basic/winsecurity/winsec6.htm そして、万が一侵入されたときでも、ウィルス流布の汚名を着せられないために、 Wordなどのメジャーなアプリケーションのデータファイルを添付ファイルにするのは避ける、 というのが、一般的にとられる基本的な態度です。 兎に角、Wordのような文書のファイルを添付して送ることの危険性は最大限に高いということです。 さて、HTML形式やリッチテキスト形式でメールを書くことも、メールの内部形式では、 添付ファイルを送るのと近いことを行っており、この方法もできれば推奨されません。 (2)しかし、HTML形式やリッチテキスト形式でメールを書くことは、 受信文書の可読性の高さから、とても便利な面があります。 そこで、次の問題は、 もし、知らず知らずのうちに、ウィルスを添付ファイルとして含んでしまった場合、 HTML形式メールとリッチテキスト形式メールのどちらがリスクが小さくてすむかという点です。 そこで、まず怖いのは、いわゆる「HTMLウィルス」だと思います。 具体的には、メールソフトのHTMLビューアの問題になりますが、 HTML形式による、凝ったメールが増えてきており、 Webブラウザの方は、HTMLウィルスへ対応するためにセキュリティを厳しくしつつあり、 ある種のActiveXはデフォルトで実行されないように設定されています。 しかし、メールソフトでHTMLファイルを開く場合には、 ビューアによるチェックは一般的に甘くなりがちです。 その場合、HTMLファイルに書き込まれたスクリプトが自動的に実行され、 パソコンのディスクが勝手に操作されてしまう可能性があります。 http://www.onsystems.co.jp/SecurityHole-HTMLView.html http://www.internetclub.ne.jp/TECH/Ztoday/1999/990802.html http://www.internetclub.ne.jp/TECH/Ztoday/1999/990508.html 一方、RTFファイル、すなわちリッチテキストファイル化すれば、 テキスト以外の書式やスタイル情報も保存できます。 しかし、そもそもリッチテキストで伝えられる書式やスタイルは、 限られた文字種、下線、表などの低レベルの飾り情報に限定され、 高級なWordやExcelなどのマクロウィルスのコードは保存できません。 元来、リッチテキストは、メモ帳では、可読性の悪い命令埋め込みのテキスト文書として表示されるだけです。 かといってWordのような高級な書式やスタイル情報を伝えることはできません。 あくまでも、ワードパッドレベルの文書情報を伝えることを目的にしています。 したがって、リッチテキストに潜むウィルスと報告されているものでも、 実体は、Word文書のままで、拡張子だけを.rtfに直したもののようです。 http://ns.jcsa.or.jp/JpNews1999.html このことから、最近では、どんな拡張子であろうと、すべてウィルスチェックの対象とする というのが常識になっています。 長々と書いてしまいましたが、結論としては、 >現在はワードファイルを添付しておりますが、 >果たしてそこにウイルスが混入する危険性に比べるとどうなのでしょうか？ 一般に、メジャーなアプリケーションである、ワードファイルを添付することに比べ、 リッチテキスト形式のメールにウィルスが混入する危険性は低い。 しかし、ウィルスに感染したHTML形式やリッチテキスト形式のメールが外部からもたらされる 危険性はなくならないので、さらにその防御体制を続ける必要がある。 その場合、現在では、HTMLウィルスの方が危険性の度合いは高い。 とはいえ、今後、いつ、高度なウィルスがリッチテキストファイルに埋め込まれ、 それが広まるようになるか余談は許されない状況ではあります。 さて、余談ですが、リッチテキストやHTML形式ファイルを利用する場合の問題点は、 むしろ次のような点にあるとわたしは考えています。 ・書式情報などのために、メールの物理的サイズが大きくなり、 送受信に要する時間やネットワークの負荷が増大すること。 ・日報メールは日夜溜まっていき、保存するサーバ側のディスク容量を圧迫すること。 ・リッチテキストファイルは、メーカ間、OS間、メールソフト間で、 互換性がないという欠点があること。 したがって、将来、テンプレートファイルの管理が面倒になる可能性もあります。

こんにちは、honiyonです。 　危険性という点について比較考察です。 　◇HTMLとMS-Worの危険性について 　　前述の私の意見の通り、危険性という面では五分五分と判断できます。 　◇使用方法による危険性の違い 　　・ケース１：添付ファイルとして扱う場合 　　　　　メール本文や、ファイル名からファイルの内容が安全と判断して 　　　　から添付ファイルを開くことが出来ます。 　　　　　アヤシイ！と判断したら添付ファイルを開かなければいけない。 　　・ケース２：メールクリック時に開く場合(HTMLファイルを自動的に開く場合) 　　　　　メールのタイトルから内容の安全を判断し、メールを読まなければ 　　　　ならない。 　上記から判断するには、個人的にケース１の方が危険性が低いと判断できます。 「この添付ファイルは安全だ」と判断するための材料が豊富だからです。　ケース ２では、判断材料はタイトルだけで、タイトルから内容を判断するのは難しいと 思われます。　例として「こんにちは」「広告メールです」等というタイトルの 場合、ついついクリックしてしまうでしょう。　クリックしたら自動的に添付フ ァイル(HTMLファイル)が開いてしまいます。 　本件において、最も怖いのは社内からのウイルス送受信ではなく、外部からの ケースです。　外部からのメールを用いたイタズラ・ウイルス感染に、私が貧弱 になると指摘したのはこのような理由です。 　余談ですが、私はアヤシイと思っても、ついついテキスト本文は読みたくなり ます(^^;　テキスト本文を確認せず、「未読」マークのついたままそのメールを ゴミ箱行きにするのはちょっと勇気がいるでしょう。 　参考になれば幸いです（．．

HTML形式メールとリッチテキスト形式メールは、 ともに、見栄えの良い文書を受信者にもそのままの形で見せたいという要求から出た方式ですが、 送られる文書の内部形式は異なっていますので、区別された方がよろしいと思います。 まず、HTML形式メールについて。 たとえば、Outlookなどのメールソフトでは、HTML形式メールを指定すると、 文字飾りなどの付いた見栄えの良いオリジナル文書を、 HTMLでタグ付けされた通常のプレーンテキスト化し、 それをquated-printableタイプのマルチパート部として本文に付加して送信します。 そして、もし受信側メールソフトがHTML形式を受容できれば、 そのマルチパート部をブラウザなどに通して見栄えよく表示します。 さて、ウィルスが混入する可能性があるとすれば、 そもそもHTML文書にはスクリプト言語が記述できるので、 悪さをするスクリプトを途中で埋め込まれるかもしれないという点です。 この方法で広がったウィルスの代表例が、Romeo&Julietです。 現在、それほどの被害報告は出ていないようですが、 より強力なウィルスを生むスクリプトが作成されないとも限らないので、 見知らぬ人からのHTML形式メールに対してはそれなりに注意が必要です。 しかし、信頼できる人が信頼できるパソコン上で、信頼できるメールソフトで、 新たにHTMLメール化したメールであれば、しかもイントラネットなどで、 通信経路上にも特に問題がなければ、ことさら恐れる必要はないと思います。 次に、リッチテキスト形式メールについて。 こちらの場合は、メールソフトで、リッチテキスト形式を指定すると、 見栄えの良いオリジナル文書は、Base64などの方式で符号化され、 添付ファイル化された上で、メール本文に添付されて送信されます。 したがって、ウィルス混入の危険性は、HTML形式メール以上に考えておかなければなりません。 しかし、HTML形式メールと同様に、 信頼できる人が信頼できるパソコン上で、信頼できるメールソフトで リッチテキスト形式化しているのであれば、特に問題はないと考えられます。 ところで、HTML形式メールや、リッチテキスト形式メールが一般に敬遠されるのは、 ウィルスの可能性という面と同時に、 皆が同じメールソフト環境を有しているとは限らないということも理由に入っていると思います。 したがって、職場や学校などのように、ある程度共通のメール環境が整っているところであれば、 また、送受信に際して、ウィルスチェックや暗号化などの手間を惜しまない習慣ができているところならば、 それほど、HTML形式やリッチテキスト形式メールを、特殊なものとして避ける必要はないと思います。 ということは、今おやりになっている、 「テキスト形式メールにワードで作成した日報ファイルを添付し送信している」手順に、 添付前にウィルスチェックを施す工程を一つ加え、 それを当面続けながら、ウィルスへの注意を皆に呼びかけるのが肝要かと思います。 そして、いずれ、時期を見てHTML形式のメールに切り替えていくのがよろしいのではないかと思います。 最後は余計なおせっかいになってしまいましたが、 一つの参考意見としてお聞きき下されば幸いです。

こんにちは、honiyonです。 　HTMLファイルも危険な理由に回答します。 　HTMLファイルには、スクリプト等を利用して悪意あるコードを埋め込む事がで きます。　そして最も多い(?)(個人的にメジャー)なのがブラウザクラッシャー です。　ウインドウを沢山開いて、ＰＣを不安定にさせます。　 　社内のＰＣ全部が HTMLを標準で開いておくようにすると、外部からこのよう なファイルが送られてきた場合、大変な事になりますね。 　また定かではありませんが、スクリプトを利用して実行ファイルを自動的に実行 する方法もあるらしく、それが本当ならばHTMLを利用してウイルスを感染させる 事も出来ます。 　もし LAN,WANで接続された環境であればファイルサーバーを設置し、そこに 報告書を蓄積するようにしてみはどうでしょうか？　目的な合うか分かりません が..(^^;

こんにちは、honiyonです。 　HTMLファイルを添付するのではなく、Outlookで表示させるよう設定するという 事でしょうか？　 　HTMLファイル自体にウイルスが混入することはないですが、HTMLを引き金とする 事は十分に出来ます。　それを標準で表示させるようにしておくと、外部からのウ イルスメールや、悪意あるHTMLファイル(OSをクラッシュさせるようJAVAを仕込 んでみたり等)に対して非常に貧弱になります。 (危険なHTMLかもしれないのに、 目でチェックする前に開いてしまうので) 　添付して送信するのであれば、危険性は MS-Wordファイルの添付と同じくらいで す。 　社内のセキュリティを最優先に考えるのであれば、Outlookの使用を廃止し、 日報をテキストベースでする事です。　Outlookはたま～に巨大なセキュリティホ ールを出すので、"個人的に"怖くてお勧めできません。 　MS-Wordもマクロウイルスの感染源となる可能性があります。 HTMLは先ほど申 した通り、引き金となる可能性があります。 　だからといって、テキストベースオンリーというのも不便ですよね。　なので、 日報のファイル名の法則を制定し、その命名規則に反したものは絶対に開かない 事を習慣付け、その上で HTMLやMS-Wordの日報を"添付ファイル"として送信する ようにする事をお勧めします。 　更に予防策としてウイルスチェックソフト(AntiVirus, VirusScan等)を全ＰＣ に導入してください。 　参考になれば幸いです。

（1）社外へのメールはテキスト形式にしたほうがいいと思いますが、合意があるのなら社内だけでＨＴＭＬ形式を使っても問題はないと思います。 社外へＨＴＭＬメールを出すと、たぶん会社の信用を落とします。 （2）ウィルスに関しては、現在のワードの添付ファイルのほうが余程怖いと思います。マクロウィルスはもちろんですし、結果として添付ファイルを開くことに馴れっこになるのも怖いですね。