公開日:2005/05/26 最終更新日:2015/10/21

JVN#FCAD9BD8
メールクライアントソフトにおける mailto URL scheme の不適切な解釈

概要


mailto URL scheme は、ウェブページにおいてメールアドレスを記載するために使われます。mailto URL scheme を用いて宛先メールアドレスやメール本文に記載する内容を指定することにより、メールのテンプレートを提供することができます。多くのメールクライアントでは、mailto URL scheme により指定されたフィールドをメールヘッダに設定する機能を持っています。

mailto URL scheme については RFC2368 で定義されていますが、この文書の "Security Considerations" セクションにおいて、以下のような指摘がなされています。

  • メールクライアントは、mailto URL scheme の記述をもとに作成したメールの全体をユーザに確認させるべきである
    • とくにヘッダについては宛先だけでなく、その他のヘッダについても明示的に表示すべきである
    • メール配送に関係するヘッダを mailto URL scheme の記述に基づいて設定することは不適切である

    • 一方、いくつかのメールクライアント実装では、メール配送に関係するヘッダを mailto URL scheme の記述に基づいて設定したり、設定したヘッダを明示的に表示しないことが確認されています。

      JVN では製品開発者との調整のうえ、ユーザおよびメールクライアント開発者への周知を目的として、この問題を掲載しています。

    影響を受けるシステム

    • mailto URL scheme を解釈するメールクライアント

    詳細情報

    想定される影響

    ユーザが意図しない宛先にメールが送られる可能性があります。

    対策方法

    ベンダ情報

    ベンダ ステータス ステータス
    最終更新日
    ベンダの告知ページ
    Edcom 該当製品あり 2005/05/26
    アライドテレシス株式会社 該当製品あり 2005/06/20
    オレンジソフト 該当製品あり 2005/06/27 オレンジソフト の告知ページ
    サイトー企画 該当製品あり 2005/05/27
    サイボウズ 該当製品あり 2005/06/27
    ジャストシステム 該当製品あり 2005/05/26
    マイクロソフト 該当製品無し 2005/05/26
    リコー 該当製品無し 2005/06/21
    リムアーツ 該当製品あり 2005/05/26
    富士通株式会社 該当製品無し 2015/10/13
    富士電機システムズ 該当製品無し 2005/06/22
    日本電気 該当製品無し 2005/06/13

    参考情報

    1. IETF
      RFC2368: The mailto URL scheme

    JPCERT/CCからの補足情報

    JPCERT/CCによる脆弱性分析結果

    謝辞

    本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
    下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
    報告者: 株式会社ビジネス・アーキテクツ 太田 良典氏

    関連文書

    JPCERT 緊急報告
    JPCERT REPORT
    CERT Advisory
    CPNI Advisory
    TRnotes
    CVE
    JVN iPedia

    更新履歴

    2005/05/27
    ベンダ情報:有限会社サイトー企画の提供情報を更新しました。
    2005/05/27
    Edcomの JVN#FCAD9BD8への対応が更新されました。
    2005/05/27
    ジャストシステムの JVN#FCAD9BD8への対応が更新されました。
    2005/05/27
    マイクロソフトの JVN#FCAD9BD8への対応が更新されました。
    2005/05/27
    オレンジソフトの JVN#FCAD9BD8への対応が更新されました。
    2005/05/27
    リムアーツの JVN#FCAD9BD8への対応が更新されました。
    2005/05/27
    サイトー企画の JVN#FCAD9BD8への対応が更新されました。
    2005/06/13
    日本電気の JVN#FCAD9BD8への対応が更新されました。
    2005/06/14
    ベンダ情報:アライドテレシス株式会社の情報を追加しました。<br>ベンダ情報:日本電気の情報を追加しました。
    2005/06/14
    アライドテレシス株式会社の JVN#FCAD9BD8への対応が更新されました。
    2005/06/20
    ベンダ情報: アライドテレシス株式会社の情報を更新しました。
    2005/06/20
    アライドテレシス株式会社の JVN#FCAD9BD8への対応が更新されました。
    2005/06/21
    ベンダ情報:リコーの情報を追加しました。
    2005/06/21
    リコーの JVN#FCAD9BD8への対応が更新されました。
    2005/06/22
    ベンダ情報:富士電機システムズの情報を追加しました。
    2005/06/22
    富士電機システムズの JVN#FCAD9BD8への対応が更新されました。
    2005/06/27
    ベンダ情報:オレンジソフトの情報を更新しました。
    2005/06/27
    オレンジソフトの JVN#FCAD9BD8への対応が更新されました。
    2005/06/27
    サイボウズの JVN#FCAD9BD8への対応が更新されました。
    2005/06/28
    ベンダ情報:サイボウズの情報を追加しました。
    2005/08/25
    ベンダ情報:富士通の情報を追加しました。
    2005/08/25
    富士通の JVN#FCAD9BD8への対応が更新されました。
    2005/10/04
    ベンダ情報:富士通の情報を更新しました。
    2005/10/04
    富士通の JVN#FCAD9BD8への対応が更新されました。
    2015/10/21
    富士通株式会社のベンダステータスが更新されました