- 一般的に、メールを単に開いただけでは「大きなセキュリティリスク」は考えにくいです。
- ただ、セキュリティやプライバシーの問題が全くないわけではないので、件名で迷惑メールだと気付いたときには開かずに削除した方が無難です。
1. メール見ただけでセキュリティ上リスクを心配する必要はない?
ヤフーメール宛に不審なメールが届きました。
タイトルだけで怪しいメールかとは思いましたが、いったん開きました。
本文を読むといかにも迷惑メールと確定したので削除しました。
もちろん本文にあるリンクはクリックしていません。
「メール見ただけでセキュリティ上リスクを心配する必要はない」と考えてよいでしょうか?
まず、怪しいメールに気づき、すぐに対処したのは良い判断です。
- リンクをクリックしなかった
- メールをすぐに削除した
一般的に、メールを単に開いただけでは大きなセキュリティリスクはありません。
2. サンドボックスとゼロデイ脆弱性
では、メールを開いただけでマルウェアに感染する恐れは全くないの?
「絶対ない」とは言い切れませんが、「非常にまれ」です。
スマートフォンのメールアプリでは、メールを単に開くだけで感染するリスクが非常に低いです。
理由は、iOSやAndroidなどの基本システムは、セキュリティを重視した設計になっていて、アプリケーション間の分離(サンドボックス)が実装されているからです。
ただし、もちろん完璧なシステムはありません。
見落としなどで設計通りにプログラムできていないこと(バグ)があり、それが「未知の脆弱性」となります。
実際に、過去にはメールデータを読み込む処理内部の不具合で、不正なデータの細工がされたメールを読み込むと、メールアプリが終了してしまうこともありました1。
ただし、これもメールアプリを混乱させるだけで、なんでも乗っ取れるわけではありません。
ゲームの「バグ技」みたいなものなんだね。
2-1. 脆弱性とアップデート
悪い人はそのような「穴」を見つけ出して、悪用しようとしています。
しかし、メーカー側も不具合が明らかになると、すみやかに修正のアップデートをします。
メールアプリや基本システムが修正されれば、同じ攻撃は効かなくなります。
3. トラッキングピクセルによる情報収集
じゃあ、メールを開いても問題ないの?
全く問題がないわけではありません。
セキュリティ脅威ではないですが、プライバシーの観点からも注意が必要だからです。
というのも、一部のメールには、メールが開封されたことを送信者が知るために、画像が含めることがあります。
特に、小さな透明な画像を「トラッキングピクセル」といいます。
つまり、メールを開くと「このメールは開封された(読んだ人がいる)」という情報が迷惑メールの送信者に伝わる可能性があるのです。
すると、より迷惑メールの標的になりやすくなるかもしれません。
「トラッキングピクセル」は、通常1×1ピクセルサイズの非常に小さな透明な画像ファイルです。
肉眼では見えないほど小さいため、メールの受信者は気づきません。
3-1. トラッキングピクセルの動作原理
「トラッキングピクセル」は外部サーバーに保存されています。
そこで、メールを開いて画像を表示するタイミングで、サーバーにアクセスしてから読み込むことになります。
送信者は、サーバーへのアクセスを分析すると、メールが開封された日時などを知ることができるのです。
3-2. トラッキングピクセルのプライバシー侵害の問題
トラッキングピクセルで収集される情報は、ウェブサイトにアクセスしたときに収集される情報と同じです。
したがって、それだけでとりわけ危険があるわけではありません。
どちらかというと、これらの情報収集は「個人の行動を追跡する」というよりは、大量に送信したメールがどの程度 反応があったかなどを分析するのに用いられるものだからです。
しかし、プライバシーの観点から問題視されることがあります。
EUなど一部の国や地域では、トラッキングピクセルなどによるユーザーの同意なしの情報収集を制限する規制があります。
3-3. トラッキングピクセルを拒否するには?
トラッキングピクセルが動作しないように、多くのメールアプリでは許可するまで画像を表示しない設定のものも多いです。
(補足)
- 脆弱性の影響を受けると、メールアプリを開こうとしても即座に終了してしまい、起動することができません – iPhoneやiPadのメールアプリが動かなくなる恐れ。利用者は最新版iOSへの更新を(JVN#96551318)2018年11月05日
