投稿日:2021年01月07日

覚えておくべきHTMLメールのセキュリティについて解説します。

ビジネスメール

HTMLメールは、従来のテキストのみのメールに比べ、文字が脚色されていて読みやすかったり、内容が画像や動画などのおかげでイメージしやすいなどの利点が多いため、今では企業から配信される販促系メールやメルマガなどで広く活用され、身近なものに変わりつつあります。

しかしながら、一昔前はセキュリティが甘かったこともあり、数多くの迷惑メール配信業者の手によって悪用され、「HTMLメールといえば迷惑（スパム）メール」とまで危険視されていたという暗い過去があります。

過去と現在では、HTMLメールを取り巻くセキュリティ事情は大きく変化しています。今回は、このHTMLメールのセキュリティについて深堀をしていきたいと思います。

HTMLメールは安心？

HTMLメールは、Webサイトを作成する際に利用するプログラミング言語でつくられています。つまり、Webサイトと同じような文字の脚色や画像や動画の埋め込みが可能であることから表現の幅が広いメールを作成することができます。

ですが、実はHTMLメールの機能はデザイン性・表現力の高さだけではありません。

まず１つめは、メール本文内に自動的に起動可能な「プログラムの埋め込み」ができること、２つめは本文内にWebページへリンクを張る「URLリンクの本文設置」、３つめは、どのアドレスがいつ頃開封したのかという「開封情報の取得」ができることです。

そして、これら3点のHTMLメールの機能が、悪質なサイトへの誘導やコンピューターウィルスの拡散を目的として迷惑メール業者に悪用されていたという事実があります。

現在では、スパムフィルター、ウイルスソフト、ドメイン認証や通信の暗号化といった、セキュリティ技術の発達により、テキストメールと同等の安全性になっていますが、HTMLメールを安全にかつ効果的に活用するためにも、HTMLメールのリスクとして迷惑メール業者の手口について知っておく必要があります。

HTMLメールにおけるウイルスや悪用の手口について

HTMLメールを取り巻くセキュリティ技術は飛躍的に進歩し、事実上、テキストメールと同等の安全性になったといっても過言ではありません。人々のHTMLメールに対する抵抗感も薄れ、利用も一般的になってきました。

しかしながら、リスクは完全にゼロになったわけではありません。より安全かつ効果的にHTMLメールを活用していくためにも、リスクについては正しく認識をしておく必要があります。そこで、HTMLメールの主なリスク3点について説明していきます。

ウイルスの送信

先に述べたHTMLメールの3つの機能のうちの1つ「プログラムの埋め込み」を悪用した手口が2000年代前半に横行したことがあります。

HTMLメールは、プログラミング言語で作られているため、スクリプトという実行プログラムを埋め込むことができます。当時流行したスクリプトは、JavaScriptというウェブページにて複雑な挙動を可能とするプログラミング言語で作られており、メール本文を開いただけでプログラムを実行することができました。

この仕組みを利用して、一昔前にメール開封した人のパソコンをウイルス感染させるといった手口が横行したのです。しかしながら2008年頃には、Outlook、Thunderbirdをはじめとした大半のメールソフトにて、スクリプトで使用されるJavaScriptがブロックされるようになり、この手口でのウイルス感染のトラブルは聞かなくなりました。

ただ、同じウイルス送信でも、添付ファイルを活用した手口については、HTMLメール本文に直接埋め込むタイプの手口とはまた別の話になります。メール本文内へのプログラムの埋め込みの場合には、メーラーがウイルスの起動プログラムであるJavaScriptそのものの動きをブロックしますが、ファイルそのものにウイルスが仕組まれている添付ファイルの場合はそれが出来ません。

ウイルス添付ファイルの特徴としては、添付ファイルの拡張子（ファイル種類識別用の文字で「.JPG」「.xlsx」など）を偽装してあるものが多いようです。多くのパソコンOSの初期設定が拡張子を「表示しない」となっていることを利用して、プログラム実行ファイルである拡張子「.exe」ファイルを、「.doc」等の文書ファイルを差す拡張子をファイル名の終わりにつけることで二重拡張子の偽装がされています。

これらの添付ファイル悪用の手口に対して、まずはパソコンの設定にて拡張子を表示するようにすること、添付ファイルを開く際には、ウイルス対策ソフトの検疫を通すか、身に覚えのないメールからの添付ファイルは絶対に開かずに削除を行うようにすることが有効です。

ちなみに、この添付ファイルの危険性については、HTMLメールだけの問題ではなく、テキストメールでも共通の問題です。メール添付ファイルの扱いについて、常に慎重になる事が必要なのは今でも変わりません。

一度ウイルスに感染してしまったパソコンには様々なリスクが降りかかります。踏み台としてメール送信時にウイルスを一緒に送って他者へウイルスを広めてしまうリスク、パソコン内のブラウザやソフトが正常に機能しなくなってしまうリスク、保存データを削除されてしまうリスクなどがあります。

そして、最も厄介な危険性としてパソコン内に保存されているデータが盗まれてしまうというリスクがあります。このデータを盗む手口は標的型攻撃メールといって、特定の組織や個人を対象に、機密情報や重要な情報を盗み取ることを目的とした、愉快犯とは異なる計画的な攻撃です。機密情報や個人情報を盗まれた企業は大きな損害が出る可能性が高いため、ビジネスシーンでは特に注意が必要です。

近年では、メーラーやメールサービス、スパムフィルター、ウイルス対策ソフトが進化していることもあり、危険性は下がってはいますが、メール添付ファイルのように依然としてリスクが存在しています。そのため、身に覚えのない差出人アドレスからのメールや、怪しい件名のメールは開かないようにする、添付ファイル付きのメールの場合には拡張子を表示するようにしておく、ウイルス対策ソフトの検疫を通す、怪しければそのまま削除するなど、ファイルの参照を慎重に行うようにしましょう。

なりすましメール

なりすましメールとは、悪意ある第三者が有名企業や団体になりすまして送信するメールのことです。
差出人名や件名は一見すると正規のものに見えるため、受信者を油断させたうえで、2つ目のHTMLメールの機能である「URLリンク」を活用して本文内に張り付けたURLリンクをクリックさせ、悪質なサイトへと誘導します。悪質なサイトは、金融機関などのサイトに巧妙に偽装していて、ここでクレジットカードやネットバンクなどの重要な情報を入力させようとしてきます。

このようなメールは「フィッシングメール」と呼ばれ、フィッシング詐欺の代表的な手口となっています。

対策としては、少しでも怪しいと思ったら、まずは受信したメールの送信元を確認します。なりすまされている可能性があるため、パソコンでの受信時には、メールソフトの機能を活用してメールのヘッダ情報を確認するのも手です。ヘッダ情報内には、受信したメールがどのような経路をたどって送信されてきたかの記録が書かれており、本当の差出人名であるエンベロープFromアドレスを確認することもできます。

また、近年では、なりすましメール対策の一環としてSPF（Sender Policy Framework）認証やDKIM（DomainKeys Identified Mail）認証、DMARC（Domain-based Message Authentication, Reporting and Conformance）といった、電子署名やIPアドレス認証を活用し、正規の送信元から送られてきたメールか否かを確認する送信ドメイン認証技術が一般化してきています。

関連記事：なりすましメールに注意！SPF認証とDKIM認証の違いとは

関連記事：受信時の送信ドメイン認証方法｜SPFとDKIMの違いとは

関連記事：SPFとは？その役割とSPFレコードの設定方法を知ろう

開封情報の取得機能の悪用

HTMLメールにはWebビーコンを活用して開封情報を取得できる機能があります。

Webビーコンとは特定の画像データのことで、サーバー上に保存されたこれらの画像ファイルのURLを、HTMLメールの本文内に埋め込みます。埋め込まれた画像は、開封時に表示されますが、1×1のドットなので実際には目で見ても気づきません。しかし、画像データが表示されたということは、その瞬間に画像保存先のサーバーへアクセスしているという事になります。この仕組みを活用し、Webビーコンの画像データが表示された否かで、送信側は「メールが開封されたか否か」を確認することができるようになります。

そのため、メールが開封されたことが確認できると「このアドレスは有効」だと認識されてしまいます。そうすると、受信者のメールアドレスはスパムメールを送信している業者のリストに登録され、迷惑メールが頻繁に届くようになってしまいます。

メーラーの中には、受信したHTMLメールを開封と同時にすべての画像を表示するのではなく、画像表示に許可を必要とするものなどがあります。企業のポリシーとしてすべての画像表示を許可していないという企業もあったりします。

以前は、上記のような3点のHTMLメールの便利な機能を悪用してスパムメールを送信する業者が増えたために、被害が拡大しました。そのため、「HTMLメール=スパムメール」という認識が広がってしまったという背景があります。

リスクに対するセキュリティ

上述のとおり、近年ではスパムフィルター、ウイルスソフト、ドメイン認証や通信の暗号化といった、セキュリティ技術の発達により、テキストメールと同等の安全性になっていますが、迷惑メールの手口でも見てきたとおり、リスクは確実に存在するため、各々がしっかりとしたセキュリティ意識と対策を行う必要があります。

ここでは、HTMLメールを安全にかつ効果的に活用するために必要な最低限の対策について触れていきます。

パソコンの定期アップデート

パソコンの中のOSやソフトウェアには、時間の経過とともに「セキュリティーホール（ぜい弱性）」と呼ばれる欠陥や問題点が発見されることがあります。ハッカーや悪意をもった第三者は、こういった点を突いて攻撃をしかけてきます。そのため、セキュリティーホールをそのままにして利用しているとウイルス感染や不正操作などによりデータの損失、最悪の場合には個人情報を含む重要情報の漏えいといった被害にあう恐れがあり、とても危険です。

セキュリティーホールが見つかると、OS開発企業やセキュリティ対策ソフトの開発企業から修正プログラムが随時公開されますので、ウイルスに感染しないためにも、定期的にプログラムの更新をしておく必要があります。

パソコンのOSの定期アップデート、インストールされている場合には各種ミドルウェアのアップデート、そしてセキュリティ対策ソフトのアップデートは欠かさず行うようにしましょう。

また、Wi-Fiルーターなどのパソコンに接続する機器についてもファームウェアと呼ばれる制御のためのソフトウェアが入っていますので、これらも攻撃の入り口として使われることがあります。こちらも欠かさずにアップデートを行い、最新の状態を保てるようにしましょう。

怪しいメールは開かずに削除

こちらは受信者1人1人がちょっとしたことで実践できる基本中の基本の対策です。

信頼できる送信者の場合は、HTMLメールを送信する際にセキュリティ面を考慮し、きちんと措置をとっているケースもあるため、過度に心配する必要はないと思いますが、中にはそうではない送信元もあります。そのため、届いたメールはかたっぱしから開封するのではなく、まずは件名や差出人名のチェックを欠かさずに行いましょう。その上で少しでも怪しいと思ったメールについては迷惑メールフォルダへ振り分けるか、即時に削除を行うことが重要です。

上述したとおり、HTMLメールの場合には開封したタイミングで「開封した」という情報が相手に渡る可能性もありますので、開封そのものにも慎重になる必要があります。また、テキストメールと同様に、添付ファイル付きのメールにも注意が必要です。知らない送信元の添付ファイルはもちろんのこと、セキュリティソフトを活用して開く前に添付ファイルの検疫などを行うようにしましょう。

ビジネスにおけるHTMLメールの受信環境

HTMLメールが広く使われ始めた中でも、つい最近までビジネス上のやりとりでは文章のみで構成される「テキストメール」が主流でした。

しかしながら、楽天やAmazon、GoogleにてHTMLメールが積極的に活用されるなど、大企業がHTMLメールを使うことが普通になったこともあり、企業におけるHTMLメールへの警戒心も薄れてきました。

企業向けビジネスアプリケーション群であるGoogleが提供する「G Suite」にはGmailが搭載されていて、社内および社外にてHTMLメールが標準である「Gmail」が利用される機会が増えてきています。「Gmail」などの大手企業が提供するメールサービスはセキュリティ対策がしっかりとなされているためHTMLメールの利用でも安全ではありますが、過去の経緯から一部企業の受信環境では、HTMLメールに対して厳しい対策を講じている企業もあります。

迷惑メールボックスに振り分けられる

受信側のメーラーでの設定によっては、HTMLメールが勝手に迷惑メールとして振り分けられてしまい、相手にメールが届かない可能性があります（企業や業界の文化によるところもあります）。

そのような場合、本当に重要な事項を伝えるため、無理にHTMLメールを使わずにテキストメールで送るのも手です。しかしながら、上述したとおり、大企業でもHTMLメールを主軸に利用する風潮があります。一概にHTMLメールというだけで受信が出来なくなることは減っていき、これからは代わりに「いかに迷惑メールと間違われないようにするか」が重要視されていくことになります。

迷惑メールボックスに振り分けられてしまったという事は、なにか迷惑メールと間違われるような行動を取っていないか？と、送信方法について振り返りを行う必要があります。こちらの方法については以下に参考記事を掲載しますので、参考にしてみてください。

関連記事：迷惑メール判定されないために知っておくべき知識！

そもそもHTMLメールが受信できない

企業によってはHTMLメール自体を送信できないよう設定していたり、HTMLメールを受信してもテキストメールに変換して表示するようにしているということもあります。その場合には、綺麗にデザインしたHTMLもレイアウトが崩れたり、画像が正しく表示されなかったりします。

こういった場合を想定して、HTMLメール送信の際には、メール配信サービスなどの「マルチパートメール」機能を利用して、テキスト形式のメールも送れるようにしておくのも手です。

また、上述のとおり、近年の風潮ですと、HTMLメールに対しての警戒は良い意味で以前に比べて解かれつつあります。こういったそもそも受信ができないという機会は減っていくことと思いますが、迷惑メールとの誤認対策をしっかりと行ったうえで、念のため、マルチパートメールにてテキスト形式でのメールも同時に送信できるよう準備をしておくと良いと思います。

マルチパートについては下記にて詳しくご紹介しています。

関連記事：顧客の受信環境に応じて最適なメール形式で表示

HTMLメールの活用方法

HTMLメールは、セキュリティ上でのリスクは確かに0ではありませんが、それを補うだけの利点は多くあります。画像や動画、文字の装飾が利用でき、Webサイトへの誘導もできるという点は、受信者の視覚に興味をもって訴えられ、態度変容を促すきっかけとして、非常に効果的です。

今回は、安心・安全にHTMLメールを活用してもらうために、あえてHTMLメールのセキュリティに関するリスクについて触れてきましたが、最後に、HTMLメールのプラス側面である効果的な活用方法について、紹介したいと思います。

メールマーケティング

メールマーケティングとは、メールを活用してお客様にアプローチをするマーケティング施策です。

メールマーケティングの目的は「態度変容を起こすこと」です。態度変容とは、受け取り手がメールを読んだことをきっかけに資料請求や購買などのアクションを起こすことを意味します。

HTMLメールでは、画像や動画、文字装飾など、訴えたい情報を瞬時に受信者へ伝えられることと、URLリンクを本文内に貼り付けることができため、メールを読んだことをきっかけに、さらに詳細な情報が含まれたWebサイトや資料ダウンロードといった先のアクションへスムーズに導くことができます。このようにHTMLメールは、メールマーケティングの目的に非常に合った特性を持っているため、その効果を高めることができます。

メルマガ

続いてはメルマガです。メルマガはメールマーケティングの一部ではありますが、目的というかゴールが少し異なります。メルマガの目的は「情報を届けること」に特化をしています。
そもそも、メルマガ登録者全体に同じコンテンツを一斉配信するという特性もあり、送信先は質というよりも量が重要で、より多くの読者に対してメールを送り続け、自社への興味関心の薄い読者をふるいにかけつつ、長期的に関係性を築くことが出来た読者を自社や自社サービスのファンにさせる効果があります。
より多くの読者を長期的に惹きつける必要があるので、読みたくなるような文章であり、綺麗なデザインである必要性も出てきます。こちらもHTMLメールの機能をフルに活用することで効果的に送信をすることができるようになります。

関連記事：読み手を動かすメルマガの作り方

関連記事：メルマガの作り方を6つのステップで解説

まとめ

「HTMLメール=スパムメール」という認識自体は変化し、今ではメルマガやメールマーケティングで活用されているとおり、デザイン性が高く、情報をキャッチしやすく、読者にアクションを起こさせやすい内容の優れたHTMLメールが増えています。

ただ、HTMLメールには便利な機能が備わっている反面、安全性が向上したとはいえセキュリティ上の問題や危険性を含んでいるのも事実です。メールを送信・受信する際には、HTMLメールのメリットだけでなく、危険性も把握しておきましょう。そうすることで、送信側が、本来のHTMLメールの姿である読者へと情報を届けやすいメール作成の工夫に専念ができます。