NEWS （05/05/27　16:45）

JP Vendor Status Notesのページ

　IPAとJPCERT/CCが共同運営する脆弱性情報サイト“JP Vendor Status Notes”は26日、意図しない宛先へメールを送ってしまう問題が一部メールソフトに存在することを公表した。これを受け、同問題に対応した「Becky! Internet Mail」「EdMax」などのバージョンアップ版や、「Shuriken Pro」用の修正パッチが、26～27日にかけて次々に公開されている。

　同問題は、メール作成画面でCc/Bcc欄を表示しないメールソフトを標準のメールソフトにしている場合、Cc/Bccが指定された“mailto:”リンクをクリックしてメール作成すると、知らない間にユーザーが意図しない宛先へメール送信してしまう恐れがあるというもの。

　対応策はメールソフトにより異なり、たとえば「Becky! Internet Mail」最新版のv2.21.02では“mailto:”リンクに含まれるBccを無視し、「EdMax」v3.06と「EdMaxフリー版」v2.85.6FではCc/Bccともに無視する。

　「Shuriken Pro」v3/4では、パッチを適用すると、メール作成画面でBcc欄などを表示しない“簡略表示”モードにしている場合でも、“mailto:”リンクにCc/Bccが含まれていればCc/Bcc欄を強制表示するようになる。

　「Outlook Express」や「MS Outlook」は、Cc/Bccが含まれていればメール作成画面でCc/Bcc欄が表示されるため、この問題の影響を受けない。また「鶴亀メール」は、3月23日公開のv4.13で対応済み。自分が使用しているメールソフトの対策版が公開されているか確認し、用意されていれば速やかにアップデートを行い、なければCc/Bcc欄は常に表示するように設定するなどの対策をとろう。

【18:25 追記】

　また（株）ジャストシステムによると、同社のホームページで配布されている「Shuriken Pro」v4 体験版については、今回公開されたパッチを適用済みであるとのこと。

□JP Vendor Status Notes
http://jvn.jp/jp/JVN%23FCAD9BD8/
□EdMax セキュリティホール
http://www.edcom.jp/edmax/edmsec.html
□サポート：アップデート：インターネット・携帯電話（「Shuriken Pro」用修正パッチのダウンロードページ）
http://www3.justsystem.co.jp/download/update/01_net.html
□秀まるおのホームページ－鶴亀メールでのmailto:プロトコルに関係した脆弱性について
http://hide.maruo.co.jp/security/tksec20050526.html

（石川 敬峰）