2014年04月03日 (木) [長年日記]
_ ウィルスすりぬけ
spamメイルに混じってウィルスが来ることはたまにあるけど,だいたいはプロバイダ側のウィルス検出で消されている.それでも抜けてくるのはNOD32で検出できている.……と思っていたら,NOD32での検出ができていないことに気がついた.
もともと,プロバイダを変えてからはメイルもPOP3Sで取るようにしている.そもそも暗号化のためのSSL通信なので,ウィルスチェックのためとはいえ中身を覗くのは難しいはず.NOD32ではルート証明書をインストールしているようだけど,以前それやったらFirefoxでいちいち「証明書が違う」警告が出まくって使い物にならず,やめてしまった.そのためメイル受信時のウィルスチェックは機能していないだろうと思っていた.その代わり,メイラがメイルをローカルストレージに保存するとき,普通のファイル保存と同じ仕組みでNOD32のチェックがかかるはず,仮にウィルスメイルが来ても保存時にわかるだろうと思っていた.これがダメだった.
ここんところの怪しいZIPファイル付きメイルについて,いつ検出されるか調べた結果次のようになった.
- メイル受信時 → スルー
- メイル閲覧時 → スルー
- 添付ファイル保存時 → スルー
- 添付ファイルを開く → スルー
- 添付ファイルをアーカイバで展開して保存 → 検出
- メイラの保存ディレクトリを手動スキャン → スルー
- 添付ファイルをコンテキストメニューでチェック → 検出
NOD32の設定は,すべてのファイル拡張子が対象,アーカイブファイルの中も対象,ヒューリスティック等の方法も全部有効にしている.ただ気になったのは,上の結果からMIMEエンコードをやれてないのではという気もしている.以前のPOP3で受信していた頃はメイラで読み込んだときにすぐ警告が出たから,MIMEだろうが大丈夫だと思うんだけど,メイラの保存ディレクトリの手動スキャンですらひっかからないというのがどうにも気になる.もしかして何か設定抜けているのか?
もうひとつ気になることがある.明らかに怪しいメイルが4月に入ったぐらいから突然増えだした.NOD32のニュースリリースで,ネットバンキングとWebサイト改ざんのトロイの木馬が活発になっているとあり,まさにこれ.ただ,それらの添付ファイルを手動チェックしても,ウィルスではないと判断されることが多かった.そして数時間後のパターンファイル更新でやっと検出される.ウィルスの変化にパターンの更新がおいついていないような感じに思える.NOD32には,パターンで判断できなくてもヒューリスティック機能で防ぐのがウリだったはずだが,それが回避されるようになったのかなぁ.
とりあえず,どうしても添付ファイルを開かなければならない場合は,いったん一時ファイル置き場に保存,全部NOD32で手動チェック,それから展開,という工程を必ずふんでいる.でも,パターン更新までの数時間でも検出できないのが増えてくるとあまり意味がない.これにメイラやアーカイバの知らない脆弱性が組み合わされたり,信頼している送信元から知らずに仕込まれてたりすると,こちらが注意しててもやられるかもしれない.おそろしや.