米国のプライバシー保護団体プライバシ・ファウンデーション,は2001年2月5日,JavaScriptを悪用してHTMLメールを盗聴する手法「email wiretapping」についての警告を出した。このJavaScriptを埋め込んだHTMLメールを受信したユーザーが,他のユーザーにメッセージを転送すると,盗聴者にその内容が伝わってしまうというもの。スクリプトがメッセージの内容を外部のWebサーバーに送りつけてしまう。例えば,企業間取引などのメッセージに悪用されると,外部の企業などに機密情報が漏えいしてしまう危険がある。また,メール・アドレスなどの個人情報の漏えいにもつながる。

被害の対象となるのは,JavaScriptの設定が有効になっているメール・ソフトのユーザー。マイクロソフトのOutlook2000やOutlook Express5,ネットスケープのNetscape6などのメール・ソフトは,標準でこの設定が有効になっている。EudoraやAOL6.0などのメール・ソフトはJavaScriptが標準で無効に設定されているので危険は少ないという。ただし,受信者がJavaScriptの設定を無効にしても,転送されるメッセージ中のJavaScriptはそのまま残るため,転送先で情報が漏れてしまう可能性がある。(T.N)