JVN(JP Vendor Status Notes)は、株式会社ビジネス・アーキテクツの太田良典氏の報告を受けて、mailto URL schemeの不適切な解釈についての報告を行った。JVNは、有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)と独立行政法人情報処理推進機構(IPA)が共同で運営するサイトで、国内で開発されたソフトウェアを中心として、脆弱性対応状況を公開している。
報告によれば、以下のようなHTMLが記述されたmailtoのリンク(mailto URL scheme)をクリックすると、あて先(foobar@example.comに加えて、Bccのfoo@xyz.com)と件名(申し込み)、本文(製品を申し込みます)が記述された状態でメール・ソフトウェアが起動する。
メールのあて先:<A HREF="mailto:foobar@example.com?bcc=foo@xyz.com&subject=申し込み&body=製品を申し込みます">foobar@example.com</A>
|
メール・ソフトウェアの多くは、あて先や件名などのすべての情報が確認可能な状態で起動し、ユーザーが「送信ボタン」をクリックした時点で送信を行うようになっている。ところが、一部のメール・ソフトウェアには、FromやCc、Bccなどの情報を表示しない、もしくは設定によって表示を隠すことができる。このようなメール・ソフトウェアを利用している場合、上記のようなmailto
URLをクリックすると、ユーザーが意図しない相手に送信されてしまう危険がある。
mailto URL schemeに関するRFC(Request for Comments:インターネットに関する技術の標準に関して公表される文書)
2368では、FromやBccをmailto URLに含めないことが推奨されている。
・JP Vender Status Notes(JVN#FCAD9BD8 メールクライアントソフトにおける mailto URL scheme の不適切な解釈)
http://jvn.jp/jp/JVN%23FCAD9BD8/index.html
DA Labで調べた限り、・Outlook Express 6.00.2900.2180(Windows XP SP2)、Outlook 2003、鶴亀メール
Ver.3.63、Becky! Internet Mail version 2.20.04、Thunderbird 1.0.4では、BCCが記述されていることが確認できる状態でメール・ソフトウェアが起動した。EdMaxフリー版(Ver2.85.5F)では、BCCのアイコンの色が変わるものの、BCCが記述されていることは一見すると確認できない状態であった。ただしEdMaxフリー版も最新のVer.2.85.6Fでは、CcやBccがmailto
URLに記述されていても、それらを無視するように仕様変更されている。
メールアドレスを不正に取得するなどの目的で、あて先に偽の企業のアドレスを記述し、BCCに本来の送信先(情報を摂取するためのアドレス)を記述する、といったmailto
URLが記述されることも懸念される。送信前にCc、Bccのフィールドを必ず確認の上、送信ボタンをクリックする必要があるだろう。
|