 |
 |
記事検索 |
最新ニュース |
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
Webページのmailtoから意図しない宛先にメール送信してしまう恐れ |
||||||||
|
||||||||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
IPAとJPCERT/CCが運営するJVN(Japan Vender Status Notes)は26日、Webページに記載されたメールアドレスをクリックすることで既定のメールソフトによるメール作成と連動させる仕組み「mailto URL scheme」に、「不適切な解釈」が起こり得ると注意を喚起した。 mailto URL schemeでは、宛先のメールアドレスやメール本文に記載する内容を指定することが可能だ。多くのメールソフトでは、このmailto URL schemeで指定されたフィールドをメールヘッダに設定する機能を持つ。 JVNでは、このmailto URL schemeによってメールヘッダが記入された場合に、いくつかのヘッダ項目については明示的に表示されないことに対して注意を喚起している。例えば、mailto URL schemeによってBCC欄にメールアドレスが指定された場合に、ユーザーは指定されたBCCアドレスに気付かず、意図しない宛先にメールを送ってしまう可能性があるという。 mailto URL schemeを定義した「RFC2368」では、「Security Considerations」セクションにおいて「メールソフトは、mailto URL scheme の記述をもとに作成したメールの全体をユーザーに確認させるべき」「特にヘッダについては宛先だけでなく、その他のヘッダについても明示的に表示すべき」「メール配送に関係するヘッダをmailto URL schemeの記述に基づいて設定することは不適切」との指摘がある。 しかし、JVNでは「いくつかのメールソフトにおいてメール配送に関係するヘッダをmailto URL schemeの記述に基づいて設定したり、設定したヘッダを明示的に表示しないことを確認した」。個別の商品名に関しては言及を避けたが、Edcom、ジャストシステム、オレンジソフト、リムアーツ、サイトー企画といったベンダーの製品に該当するソフトがあるという。 JVNでは、今回の情報について「コンピュータそのものへの直接的な被害はない」とした上で、「ユーザーおよびメールソフト開発者への周知を目的として掲載した」としている。 【お詫びと訂正】 初出時にマイクロソフトの製品にも該当する製品があると記述しておりましたが、マイクロソフトの製品には該当する製品はございませんでした。読者と関係者のみなさまにはご迷惑をお掛けいたしましたこと、お詫び申し上げます。 関連情報 ■URL メールクライアントソフトにおけるmailto URL schemeの不適切な解釈 http://jvn.jp/jp/JVN%23FCAD9BD8/
( 鷹木 創 )
- ページの先頭へ-
|
