QUOIT Blog

HTMLメールの是非(2)

この記事は7年以上前の記事です。情報が古い場合がありますのでお気を付け下さい。

前:HTMLメールの是非(1)

HTMLメールは、そのセキュリティの甘さが一般に認識されていないから、まかり通っているのではないか、というお話。

前回一例をあげましたが、他にも危険がいっぱいですよ、という第二回のお話です。

まずはこちらをどうぞ。

ウェブビーコン – Wikipedia

意味がわからない方は飛ばしていいですw

じゃあこのウェブビーコン。今でも通用するもんなのでしょうか。

早速このウェブビーコンを仕込んだメールを作ってみました。

…さすがに公開するわけには行きませんがw

仕組みとしては、
1)HTMLメールのソースにimgタグを入れる
2)imgタグのsrcで読み込んでるのはPHPファイル。
3)PHPは何か悪いことをするw
ってな感じで。

さすがに悪いことをするのはアレなので、アクセスした情報をログファイルに書き出すことにしましたw

これでどうなるとマズイって、アクセスしちゃってたらマズイわけです。

自分の意図しないプログラムにアクセスしちゃってる=悪意のあるコードも実行できる

っていうことですからね。

で、メーラーで確認。

結果から言うと、アクセスできちゃってました。

PHPは見事にログファイルを吐き出し、自分がアクセスした情報が記録されてしまいました。
(IPアドレスはPHPの置いてあるサーバのIPアドレスでしたが)

これ、簡単に怖いこと出来ちゃいますよ。

普通の人はメールのソースなんて見ませんよね。

どうするんですかコレ。

ちなみに、未だにHTMLメールを利用してメルマガを送ってきてるのは、大手だとアマゾンと楽天。

まあ普通に考えて、私は強く思うわけですよ。

アマゾン、楽天は即刻HTMLメールでのメルマガをやめろと。

それとも、大手とされる企業ですから、その危険性を充分にご理解された上で、
マーケティングのために脆弱性を利用されていらっしゃるんでしょうかねえ?

そうだとしたら、犯罪スレスレの行為だと思うんですが、まさか実際やってませんよねえ?

でも、疑われても仕方ないですよ。

そう思われても仕方のない理由がHTMLメールには存在するわけですから。

2 comments for “HTMLメールの是非(2)