2019年09月17日に初出の投稿

Last modified: 2019-09-17

添付画像

会社の幾つかのメール・アカウントに届いていたスパムだ。送信元メール・アドレスは、いちおうスロバキアの ccTLD になっているが、こんなもんは何の参考にもならない。パターンは大昔からあるパーソナル・データの詐取や生存メール・アドレスの確認といった用途のもので、もちろん返信した時刻も《その時刻は会社や自宅にいる可能性がある》という意味での参考になる。よって、こんなものに返信すること自体が危険であり、事実上は返信していることにもなりうる「開封確認」機能などメール・ソフトで有効にしてはいけないし、HTML メール形式でメールを表示するのもよくない(もちろん、古典的なやりかたではあるが、ウェブ・ビーコンと呼ばれる 1x1 ピクセルの透明 GIF へのクエリ文字列が追加されたリンクが埋め込んであって、HTML メールが開封されると画像へのアクセス・ログから、事実上の開封確認と同じことになる)。

HTML メールに JavaScript のコードを仕込んでも動かないという話は、ご存知の方もいると思う。昨今は GMail を始めとしてブラウザを使ったウェブ・メール・アプリケーションが普及していて、そういうアプリケーションは JavaScript で UI を制御している事例が大半を占めているのだが、だからといってメールに仕込まれた JavaScript を動作させると、受信したメールを開いた時点で一巻の終わりである。よって、そのようなサービスを提供する事業者は、ブラウザで JavaScript を実行させることは必須としていながら、JavaScript の危険性は殆ど訴えないという分裂したスタンスをとっていることが多い。Google などはその典型だ(彼らが JavaScript を使ったリスクについてブログ記事を書いた例などあったろうか)。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook