「HTMLメール=スパム」という判定が成立しなくなった昨今

Share on FacebookTweet about this on TwitterShare on LinkedInShare on Google+

【これは約 9 分の記事です】

私は以前、「冒頭の挨拶が『はじめまして』メールはスパム判定されやすい」という記事を書きました。

何故そうなるかは、ブログを参照

マナーとしてメールの挨拶文は「はじめまして」ではなく「お世話になっております」を使おう、という考え方
http://www.maruoka-digital.jp/blogcontent/3608113245/

その時、私は「HTMLメールもおそらくスパム判定されやすいだろう」と思っていました。

ところが、自分に届いたメールで、スパム判定されたメールとそうでないメールとを単純に数比較すると

あれ?意外とスパム判定されたメールの、HTMLである比率、通常メールよりも少ないぞ?

となりました。

以前は「HTMLメール=スパム」だった

HTMLメールはセキュリティ上の問題を多く含んでいて、システム管理者やネットワーク技術に多少詳しい方からは嫌われています。理由は

  • インターネット上に保存した画像を参照するように仕込んだHTMLメールで、受信者の行動の取得ができる
    この仕組を「Webビーコン」と呼びます
  • ウイルスの動きをするスクリプトを仕込むことが容易
  • エラーが発生していなくても、全てのメールクライアントで同じ表示が再現される保証がない

特にWebビーコンは個人情報の取扱い上非常に問題で、例えば

という画像を見せるHTML文をHTMLメールに仕組んでいると、そのメールを開いて画像を見た時点で、

  • その識別子が割り当てられた人物が
  • いつ
  • どこで

メールを開いたか、本人の同意なく情報が取得できます。

組織の情報セキュリティ管理者が、上記のような問題があることを認識している場合は、以下のような指示を会社メールに対して出します。

  • HTMLメールをプレーンテキスト(文字だけの情報)で表示する設定にする
  • プレビュー機能を無効にする
  • 自分たちから送信するメールは、相手が望まない限りHTMLメールで送らない

基本的にHTMLメール形式は、送信者が受信者の情報を取得するという、送信者都合で送られるので、

HTMLメール=スパム

と考えて外れませんでした。また、HTMLメールを使うかどうかで、相手の情報リテラシーを知ることもできました。まともな取引先はHTMLメールは受信者側のセキュリティ上問題があることを知っているはずなので、HTMLメールで初めてのメールを送ってくる業者はリテラシーの低い業者と判断できました。

「HTMLメール=スパム」が成立しなくなった理由

しかし、最近(2017年11月現在)のメールボックスを確認すると、必ずしも「HTMLメール=スパム」が成立しなくなっています。

理由としては、以下のものが挙げられます。

  • スパム送信業者の中で「HTMLメールはスパム判定される」が周知され、彼らがHTMLメールを積極的に使わなくなった
  • AmazonやGoogleがHTMLメールを積極的に使うので、スパム判定されないメールにHTMLメールが増えた
  • スマートフォンのメーラーの初期設定がHTMLメール。Gmailに至っては変更もできない

「まともな取引先はHTMLメールを使わない」が周知されるようになったため、スパム業者はHTMLメールを使わなくなりました。

一方で、頻繁にメールを送信するAmazonや、Gmailを運営するGoogleは、HTMLメールを大量に送信してきます。それらのHTMLメールはスパム判定されませんし、仮にスパム判定されていたら、ほとんどの受信者はスパム判定解除するでしょう。

メールサーバやメーラーのアンチスパム機能は今まで届いたメールの傾向からスパムかどうか判定します。スパムでないHTMLメールが圧倒的に多ければ、HTMLメールかどうかはもはやSPAM判定の材料になりません。

さらに、スマートフォンのユーザーが送ったり受信したりするメールがHTMLメールが主流になると、もうHTMLメールで送信することは普通のことになってしまいます。

HTMLメールのセキュリティ上の問題はどうなったか

「HTMLメール=スパム」が成立しなくなった理由は、「悪貨が良貨を駆逐する」という原理での説明になります。そのままではセキュリティ上の問題は何一つ解決されていません。先程あげた問題がどう対応されているかを書いていきます。

  • インターネット上に保存した画像を参照するように仕込んだHTMLメールで、受信者の行動の取得ができる
    この仕組を「Webビーコン」と呼びます

初期状態で画像を表示しなければ、この問題は解決されます。Gmailは、HTMLメールをHTML形式のまま表示しますが、画像が受信者の許可なく表示されることはありません。

  • ウイルスの動きをするスクリプトを仕込むことが容易

根本的には解決されていません。モグラ叩き的にプロバイダやユーザー側のアンチウイルス機能を使って対応することになります。

  • エラーが発生していなくても、全てのメールクライアントで同じ表示が再現される保証がない

これも、根本的には解決されていません。ただ、スマートフォンの場合には使用されるメールクライアントは受信者が意図的に選択しない限りデフォルトのものが使われます。そう使うほうが圧倒的に多いので、結果的にほとんどのメールクライアントで同じように表示されます。

受信者の挙動を把握したい業者はLINEなどのSNSを使う

メールでのWebビーコンは、昔ほどは意味がなくなりました。

では、「誰が、いつ、どこで」受信したかを送信者が知りたい場合はどうするか

一つは、

  • メールに、ユーザー識別子を含んだリンクを掲載し、それをクリックしてもらうように仕向ける

です。

例えば、

http://www.example.com/hogehoge?id=受信者個別の識別子

みたいなリンクを用意し、「詳細はこちら」とすればそのリンクをクリックした時点で「誰が、いつ、どこで」受信したかわかります。

これは受信者自身がリンクをクリックした上での情報取得なので、そのことについてのアナウンスが何らかのかたちであれば問題ありません。

もう一つは

  • LINEなどのSNSを利用し、メールを使わない

です。LINEには既読状態がわかる機能がありますし、Facebookのグループにもあります。(「どこで」の取得はできませんが)

受信者の行動補足、メールは駄目でLINEは良いの?という疑問が起きるかもしれませんが、LINEは一つの企業のサービスを、利用規約に基づき、同意の上で利用しているので、提供サービスとしては問題はありません。

もちろん、心情的には別です。私はLINEの既読機能が嫌いなので、自分からは積極的に使いません。が、LINEがそういうサービスとして、利用者に同意を得た上で提供しているのであれば、法的に不備ない契約である以上、問題はないのです。

ただし、経営判断として、受信者の行動補足を廃止する可能性はあります。実際にmixiは、足あと機能を廃止しました。それが正しい判断だったかどうかはわかりませんが。

HTMLメールを拒否する理由は何一つ解決していない

話が横道にそれましたが、HTMLメールは、それ自体が理由でスパム判定されることはなくなりました。が、HTMLメールがもっている問題は何一つ解決されていません。

HTMLメールを快く思わず、それで相手の情報リテラシーを推測する人達がいる、ということは考慮したほうが良いかと思います。

もちろん、私もHTMLメールを受信したくないですし、送信したくもないです。HTMLメールで送信してくる相手は「ああ、そういう人なのか」と判断します。

ただスマートフォンのGmailを使うと、HTMLメールを避けるすべはありません。なので、私は別のメールクライアントアプリでもメールを送受信できるようにしています。

佐藤英治
情報処理安全確保支援士第5338号。ネットワークスペシャリスト。防災士。東北大学大学情報科学研究科第2期生。1994年からインターネットに携わる。システムベンダーの総務社内SEとして、社内システムの構築運用や従業員教育に関与。2015年情報セキュリティ専門法人「まるおかディジタル株式会社」を設立し現在に至る。研修では基本的に着物でお話させていただいております。
Share on FacebookTweet about this on TwitterShare on LinkedInShare on Google+