仕事でHTMLメールはダメ?どうしてHTMLメールは危険といわれるのか

2023年03月05日

画像


メールには大きく分けて、テキストメール・HTMLメールの2種類があります。


一昔前はHTMLメールは危険と言われ長らく敬遠されてきましたが、最近ではSNSや通販サイトのメルマガでもHTMLメールを見かけるようになりました。ここでは何故、HTMLメールが危険なのか、そして今は安全になったかを少しまとめてみます。


そもそもテキストメールとHTMLメールの違いとは?


メールには2種類あることをお話ししましたが、まず違いについてです。


テキストメールはその名の通り、文字だけのメールのことです。文字を大きくすることもできませんし、色をつけることもできません。できることは改行することぐらいです。


一方、HTMLメールは文字の色や大きさも変更できますし、画像を挿入することもできます。ちなみにWebサイトもHTMLで作られています。あくまで理論上ですがHTMLメールを使えばWebサイトでできることは、すべてメールの中でできるということになります。


便利さでいえば圧倒的にHTMLメールが優れています。


何故、HTMLメールが危険といわれるのか


HTMLメールが便利であることは先ほど説明したとおりです。

では何故、HTMLメールが危険であるのか?それは便利すぎることです。



1.ウィルスに感染する可能性がある



HTMLメールでは任意のスクリプトを実行することができます。

メールを開いただけでウィルスに感染したなどと言われることがありますが、これは主にメールを開いたとたんに書かれているHTMLが実行されウィルスが開かれてしまったことによるものです。



2.行動が追跡される可能性がある



HTMLメールでは外部のサーバーから画像などの情報を取得することができます。

画像を取得するということは相手のサーバーにアクセスするということです。

もちろん、相手が信頼できる方であれば問題はありません。ただし悪意のある相手だった場合には、あなた自身で画像を取得するためにアクセスしたことで送ったメールが開かれたという証拠を得ることができます。


悪意のある相手にメールを見ているということが知られ、意図せぬ形で利用される恐れがあります。ちなみにこの方法はWebビーコンと呼ばれています。



3.詐欺に利用されることがある



テキストメールでは文字しか送ることができません。そのため送ったURLは文字としてそのまま記載されます。

URLをクリックすることでアクセスすることもできますが、これはあくまでメールソフトの機能であり、メール本文自体にそのような機能があるわけではありません。


対してHTMLメールはWebサイトのようにリンクを設定することができます。例えば通販サイトでは「購入履歴」と書かれたボタンを押すと購入履歴が記載されたページにアクセスすることができます。


では悪意のある人間はこれをHTMLメールでどう利用するのでしょう?


それは実際に存在する通販サイト等のURLを表示しておき、そこをクリックすると巧妙に作られた偽サイトに誘導することに利用します。


URLをクリックするとそのURLにアクセスできると思いがちですが、HTMLメールでは見出しとリンク先は別に指定できますので簡単に信じてはいけません。


HTMLメールを送ることによるリスクとは?


HTMLメールには危険が多くあることをご説明しました。

では受信する側ではなく送信する側にはどのようなリスクがあるのでしょうか?


それは、ずばりHTMLメールを読んでもらえないリスクです。


特に会社などの場合には、HTMLメールを開かないような設定にしていることもあります。


メールソフトによってはHTMLメールをテキストメール形式で表示する設定もありますが、その場合にはもちろんメールの装飾や画像を見ることはできません。


また相手がHTMLメール自体は表示する設定にしている場合でも上記に解説したWebビーコン等、防ぐ目的で外部のサーバーにアクセスしないように設定されている場合もあります。この場合には画像のみが表示されないなど不自然な形となります。


飾りやデザインとして画像を使っている場合には、そこまで問題はありませんが、メールの本文に関連する重要な意味を持つ画像の場合には相手にメールと意味を理解してもらえない可能性もあり注意が必要です。


そのため、ビジネスなど重要なメールでは今でもテキストメールが多く使われています。


でもHTMLメールも最近は多く使われているよね?


海外の大手SNSからのメールなどで利用がされ始め、最近では国内の通販サイトなどでも多数利用されている印象です。

正直、普及した理由はわかりません。今でもHTMLメールによる問題は解決できていません。


ただ、恐らく危険性よりも便利さが勝ったということだと思います。

たしかにHTMLメールはぱっと見でもわかりやすく、文字だけのメールより関心をひきやすいですし、特に広告や宣伝を目的としたメルマガ等であれば成果が出やすいということもあるでしょう。


最近ではウィルス対策をなども進み従来よりリスクが減っているということはあるかもしれませんが、

今でもリスクは完全には払しょくできないため、HTMLメールは送る時も、受け取る時も少し考えてみるとよいかもしれません。