ポップアップ広告の禁止
ポップアップ広告の禁止機能は、Webページ内のスクリプトでポップアップウィンドウを出すことを防ぐものだ。SP2の新しいIEがポップアップを防ぐと、IEのウィンドウクライアントエリア上部の“情報通知エリア”に「ポップアップがブロックされました」と通知が出る。これをクリックすることで動作オプションを選択できる仕組みだ。オプションでは、ブロックされたポップアップを表示させたり、そのサイト内でのポップアップを許可するなどの動作を選択できる。
同様のUIは、他のセキュリティ強化項目にも導入されており、セキュリティ上の問題でSP2のIEでは動作しないスクリプトなどがあった場合も、情報通知エリアを通じてユーザーに通知される。このような場面に出くわした場合、もし相手が信頼できるサイトであるならば、情報通知エリアをクリックしてブロックを解除することで、一時的に保護機能を解除できる。
Outlook Expressにも、IEの新機能で紹介したのと同様に、添付ファイルをディスクに保存する際にセキュリティゾーン、即ちファイル“出身地”を属性として記録しておく。加えてHTMLメールに対するセキュリティ強化も図られている。
従来からOutlook Expressは、HTMLメールを表示する際、テキストデータのみを表示するオプションがあった。受信して表示する時、必ずIEのモジュールを利用してメッセージのレンダリングを行っていたため、HTMLに悪意あるスクリプトを潜り込ませていると、Webサイト内のスクリプトと同様、それが実行されてしまう危険性があり、それを避けるために設けられている。
ところが、このオプションはHTMLメール中のプレーンテキストデータセクションのみを表示するもので、HTMLメールに埋め込まれたリンクなどの情報は表示できず、またプレーンテキストデータセクションが付いていないメールの本文を見ることができないなど問題が多く常用しずらい。しかも、HTMLデータセクションにはアクセスできない(添付ファイル扱いだが除外されてしまう)ため、必要な場合にHTMLデータを読み出して表示することもできない。
そこで、SP2からはHTMLデータセクションの内容をリッチテキストコントロールというモジュールで表示可能になっている。リッチテキストコントロールには、HTMLを入力すると文字情報を読み取り、リンクなどを整理してプレーンテキスト内に埋めて表示する機能がある。HTMLメール本来のレイアウトは崩れ、画像も表示することはできないが安全性は高まる。またHTMLメールの本体が添付ファイルとしてアクセス可能なほか、[表示]メニューから[HTML形式のメッセージ]を選ぶと、HTMLメール本来の表示へと瞬時に切り替わる。
ユーザーはオプションダイアログの読み取りタブで、メッセージをテキストで読み取るよう設定しておくことで、本文を抜き出してプレーンテキストにしたメールとして読み取る設定に変更可能だ。
追記:SP2以前よりHTMLメールをテキスト化して読むオプションは用意されていました。誤解を招く内容でしたので、追記しました(8月26日)
また、Webビーコンと呼ばれるテクニックにも対策が打たれた。Webビーコンとは、外部Webサーバの画像などにアクセスするHTMLを含んだメールから、そのメールを開いた電子メールアドレスやホストIPアドレスを特定するテクニックだ。
うっかりWebビーコンを含むメールを開き外部Webサーバにアクセスしてしまうと、そのメールアドレスの有効性、開いたメールに付けられたタイトルへの興味などが自動的に登録されてしまう。画像アクセスのURLとメールアドレスを関連付けているため、アクセスされたURLからアクセス元のメールアドレスを割り出す仕組むだ。一度、Webビーコンに引っかかると、“スパムに反応する有効なメールアドレス”として、以降、集中的なスパムメールを浴びせられる可能性が出てくる。
そこでSP2のOutlook Expressは、外部サーバに置かれた画像をデフォルトでは表示しないよう仕様が変更された。もちろん、外部サーバの画像を利用するメールの中にも、無害なものがある。ユーザーが無害と判断した場合は、IEの“情報通知エリア”と同様に表示される警告部分をクリックし、“画像のダウンロード”を指定することで内容を確認することができる。
Copyright © ITmedia, Inc. All Rights Reserved.