ウィルス告知サービスのありかた 133
ストーリー by Oliver
ゴミがゴミを誘発 部門より
ゴミがゴミを誘発 部門より
MSBlast系ワームだけなく、Sobigを筆頭にメールベースのウィルスが猛威をふるっている。基本的にはウィルススキャナのアップデートでウィルス本体へは対処できる。企業ではメールサーバにアンチウィルスフィルタを導入しているところも少なくない。しかし、Sobig等のFrom:に本来の感染者ではない別のアドレスを入れるウィルスの場合、実際には感染していない人のところに「あなたが送信したメールにウィルスを検知しました」なメールが届くことになる。実際に、使用するOSとMUAからして感染しているはずがなく、ウィルス本体はフィルタしていて目にすらしない自分のところにはここ数日だけで数百通ものウィルス感染通知が怒涛のごとく次々と届いている。なかには読めない言語のものすらある。その一方では、初心者はこのように教えてもらうまで感染に気がつかない可能性もある。そこで問いたい:「総合的に考えて、ウィルスの感染通知は発送するべきか、否か?」
不要だと思います。 (スコア:3, 参考になる)
そもそも、最近の不正プログラムの類は、そのほとんどが色んなトコロを詐称しまくる訳ですので、「記述されている内容は全て真である」という前提に立った施策のほとんどは、既に無効化されているようなものですし。
ところで、実際に汚染されていることに気がつくのは、自動化されたサービスとしての通知、ではなく、知り合いから「おめぇ、ウィルスにやられてんゾ?」という連絡を受けることの方が多いのではないでしょうかね?
それで改心する人なら程なく対策されましょうし、何度言っても気にしないような輩については、そのアドレスからのメールをフィルタしてしまえば良い訳ですし。
それ以外のまともに対策を取っている人たちにしてみれば、通知とか何とか言ったって、結局スパムメールでしかありませんしね。
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
Re:不要だと思います。 (スコア:1)
> のほとんどは、既に無効化されている
正しいと思います。すると、
> 知り合いから「おめぇ、ウィルスにやられてんゾ?」という連絡
> を受けることの方が多いのではないでしょうかね?
そういう連絡を受けることは、そう多くないんじゃないですかね。だって例えば、嘘ばかり書いてあるウィルスメールを受け取っても、誰が「ウィルスにやられて」るか解らないのだから。直接IP reachableな知り合いが多ければ話は別ですけど。
Re:不要だと思います。 (スコア:1)
> にはどうしようもない」
それは解ります。
> 「(FROMが本物なら)知り合いから連絡を受けるだろう」
なぜFrom:が本物と解るのでしょうか?さらに言えば、
> 何度言っても気にしないような輩については、そのアドレスから
> のメールをフィルタしてしまえば良い訳ですし。
なんて、どう解釈すればいいのか... 何度も同じ発信者アドレスでウィルスメールを受け取っているとしましょう。それらのメールは、本当にその発信者のPCから送られたものかどうか解りません(「記述されてる内容は全て真である」という前提に立てないから)。こっちが「何度言っても気にしない」としても、その反応は当然かもしれないわけです。なのに、その発信者アドレスをフィルタしてしまえとは...
From:を詐称しないような古き良き(?)ウィルスなら、そういう話で良いのですが、そうでない、という前提を置きながらそういう話になるのは、ちょっとおかしい気がする、と言う程度のものです。
Re:不要だと思います。 (スコア:2, 興味深い)
そんな状況で、本人が書いた本物のメールを知人に送ったりしたならば、そのメールは当然汚染されているでしょう。
汚染されたメールを受け取ったのが「ある程度以上親しい知人」ならば、メールやら電話やらで相手にそのことを伝えるでしょう。
その連絡を受けてすぐにウィルスチェッカの類を買いに行くなどの対策するような人ならば、それで解決することでしょう。
そうではなく、「オレがウィルスなんかに引っかかる訳ないだろう!」というようなことを云っているクセに、毎度毎度送られてくる「本人が書いた本物のメール」が汚染されているような人ならば、取り敢えずその人からのメールは自動的にはローカルに取ってこないようにするとか、特別なフォルダに振り分けるとかのフィルタリングを行って、最新のパターンファイルを明示的にダウンロードして、緊急パッチがあれば適用して、可能な限り慎重に取り扱う、というような自衛手段を執るしかないでしょう。
というようなことが
「自動化されたサービスとしての通知、ではなく、知り合いから「おめぇ、ウィルスにやられてんゾ?」という連絡を受ける…」
に続く行には含まれているとご理解頂きたいのですが、少々分かり辛かったでしょうかね?
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
Re:不要だと思います。 (スコア:1)
> そうではなく、「オレがウィルスなんかに引っかかる訳ないだろ
> う!」というようなことを云っているクセに、毎度毎度送られてく
> る「本人が書いた本物のメール」が汚染されているような人
そんな人居ますかね?居ないとも言えないけど... 居るんだろうな、やっぱり。
Re:不要だと思います。 (スコア:1)
思えば、昨日の日記 [srad.jp]に書きましたけど、ちょっと違うけど、似たような人は私のそばにも居ました。あまり幸せでないかも(笑)。
対処要望を出す (スコア:3, 興味深い)
Re:対処要望ウイルス (スコア:2, おもしろおかしい)
作ればいいのではないか、とちょっと思った(荒らし:-1)。
Re:対処要望を出す (スコア:2, 興味深い)
ここで重要なのは、常に偽るか/常に偽らないか ではなく、偽ることが
あるかないか、ではないでしょうか。
ともなれば、偽ることがあるという対処でいいのではないかと思います。
# ちなみに、私も元コメントに同意ですね。
# 要望出してみようかしら…インフラ整備の部署に。
Re:対処要望を出す (スコア:1)
ウィルスに寄生する事を専門とするウィルスって、昔はあったけど、
言われてみれば最近は見ませんね…。
多分、亜種って形でアドホックに対応するって程度の頭しか、ウィルス
作者には無いからなのでしょうけど…。
Re:無駄だと思う (スコア:2, 興味深い)
同意ですね。
実際に送信者に送られたとしても、単純にそのウィルスが消費するトラフィックは倍になるわけですから……。
昨今のウィルスメールに関する問題点は、
複数経路を使って大量に自己複製するので、感染の広がりが速いこと、
そのおかげでSPAMと同様、無駄なトラフィックが大量に
発生する、というものですから、そもそも管理者や受信者以外に
通知する必要はないかと考えます。
#一応ベンダー関連者ですが、あくまで私個人の見解として
お願いします(汗)。
いちいち通知して来やがる理由 (スコア:3, すばらしい洞察)
届ける前に、ウィルス予防サーバがチェックして自動的に改変
を加えさせていただきましたのでご了承ください。これにより
メールの内容はあなたの意図に添わないものになっている場合も
ございますので、相手に確認を取ることをお勧めします」
ということを送り主に報告して了承を得る目的で、From
フィールドの人にメールを送ることを考えたのだと思います。
「あなたは感染しています。とっとと対策しなさい」と送り主に
文句たれるのが目的だと勘違いしてこの機能を使っている人大杉。
でも、どちらにせよ自動返信はあまり使わない方がいいと思うなぁ。
2種類 (スコア:2, 参考になる)
smtp側を監視するのと、pop側を監視するのと。
前者の場合はsmtp authとかで認証さえしていれば送信元が特定
できるので、それなりの効果あるでしょ。
問題は後者ね。こっちだとFrom:が送信者であることを前提に
してるから、sobigやらklezやらで誤判定しまくってFrom:にある
アドレスにゴミがいくと。
この場合はFrom:に告知しない方がいいんじゃないかなと。
無駄なだけだし。
Recieved:を見て送信元のISPを特定して通報してやるのがベストか。
あと、告知サービスではなくて受信者がFrom:にあるアドレスに
対して文句言ってくることも多々あり。
その度にいちいち説明返してますけど。
# ACなのでAC
Re:2種類 (スコア:2, 興味深い)
私もウィルスを受け取ったら、RecievedヘッダからISPを割り出して
ISPのお客様窓口等にヘッダを付けて連絡しています。
「以下ヘッダのウィルス付きメールを受信しました。調査しました所
ウィルスはXXXであり、RecievedヘッダおよびMessage-idから御社より
送信されているものと思われます。
お手数ですが、御社にて送信者を割り出し送信者に対しウィルス対策等を
指示して頂きますようお願い致します。」て感じで投げてます。
故意に発信されたウィルスでなければ、Recievedヘッダをねつ造
されるかはウィルスの特性に寄りますよね。
それはTrendMicroやSymantecの情報を見ればわかる話なので、間違える
事は殆ど無いかと思います。
今のところ4社に対応願いをしましたが、どこも(遅い早いは
ありますが)ちゃんと対応して頂けました。
一人だけ、ISPが通知しても5~6通ほどウィルスを投下した人が
居たので再度ISPに「悪意が感じられますので利用停止等含め、
厳重な対処をお願いします」と連絡したら即ウィルスがやみました。
と言うことで、別に間違った処理では無いと思っています。
Re:2種類 (スコア:1)
最近ハングルや中国語のこの手の通知が来て面倒です。
いや、なにもISP側の言葉で書いてやる必要は無いとは思うのですが
きちんと相手の言葉で書いてやらないと対応しなさそうだし。
自動返信 (スコア:2, 参考になる)
その手の仕組みが troublesome というのはある意味常識なので、
その常識が欠如してる人が増えたってことなんでしょうかね。
最近はエラーメールすら返したくないくらいなんですが、
これをやると実用上困るので痛し痒し。
# 昔 vacation(1) で痛い目を見たオヤジなので AC
Re:関連する童謡 (おふとぴ: スコア -50 ぐらい) (スコア:1, 参考になる)
白やぎさんたら読まずに食べた
だったような。
#あと、奇数/偶数節で白黒反転してください(^^;
それもいいけど (スコア:2, 興味深い)
公言 (スコア:1, おもしろおかしい)
制作者本人が名前を付けてくれるでしょう。
あ!
台風みたいに号で呼べば....
ウィルス7号が猛威をふるってます!
Re:公言 (スコア:2, 参考になる)
ウィルス製作者に対してある種の名誉を与えることになるために、
各ウィルスはワクチンメーカーが勝手に(ダサめの?)名前をつけています。。。とサイトには書いてあるよ。
-- Tig3r on the hedge
Re:公言 (スコア:1)
それはそれで喜ぶ作者がいそう。
Re:それもいいけど (スコア:1)
Re:それもいいけど (スコア:1)
ウィルスの同一性についての基準が各社まちまちだったりすると難しいかも知れませんが、今の状況は面倒臭い。
なんでいつまでも (スコア:2, 興味深い)
毎度メールで問題起こすのは決まってOutlookExpressだろ。
あ、会社の都合でOutlookてのもあるんかな?
インターネットメールならFreeで優秀なのがいくらでもあるじゃん。
我社ではOEは使用禁止なのでID
**たこさん**・・・
ISPが邪魔です (スコア:2, 興味深い)
組み込んだらしく、病気持ちのメールが来ると自動的に削除
して「ウイルス感染メールを駆除しました」とウイルス名と
アドレスだけ知るしたメールが届きます。日に何通も、
同じアドレスから。
かえって気になるやないかい!
一応ヘッダーもチェックいれるんですが、ウチのISP
対応悪いですからねぇ。私だけ外してくれるように頼んでみる
かしらん。
犬が犬であるように、猫でありたい
二重災害 (スコア:1, 参考になる)
- From: に私のメールアドレスを使われた
- To: で指定された相手が mailbox full だった
- それを受け取ったサーバがMIMEを解釈せず、添付ウィルスを
含む全文を From: に返してきた
もっとも、受け取ったエラーメールも添付ファイルの形式をなしていないので、明示的にそこから添付ファイル部分を切り離さない限りは安全といえば安全ではありますが…。Re:二重災害 (スコア:2, 参考になる)
たまにありますね、そういうの。MailBoxFullだけじゃなくてもなりますけど。
実は仕事でAntiVirus組込型の多機能F/Wを作ってるのですが、
最初に開発したバージョンプではSMTP/POPのProxyで、おのおの
MIMEを解釈して添付ファイルだけScanする仕様にしていたら、
納入先のお客さんに「ウィルスが素通りじゃねーかこの野郎!!」と
クレーム付けられまして……(苦笑)
よくよく話を聞いてみれば、まさに上のような状況で返ってきたものに、
ご丁寧にもクライアント上のAntiVirusが反応してくれていたというオチ。
次のバージョンから、効率落ちるのには目をつぶって、
全文を丸ごとスキャンエンジンに喰わせる仕様に変えちゃいましたねぇ。
Re:二重災害 (スコア:1)
それがですね、F/Wを組み込むハードの仕様が恐ろしく低い&要求される機能が
多すぎる、という理由から、その件では全てのメールトラフィックを
いちいちScanする、というのが現実的では無かったのですよ。
Scanエンジンの仕様上、ストリームを直接Scan出来なくて
一旦tmpファイルに落とす必要もありましたしね。
#ちなみにその次のバージョンでは大幅にハードスペックが
あったんで、実用になったんですがね。
止めてくれ (スコア:1)
総合的に考えて (スコア:1)
メールで送られてきたウイルスの、 From: にメールを送るのは反対。
いっそわからなかったら使うなって言いたい。 (スコア:1, おもしろおかしい)
Re:いっそわからなかったら使うなって言いたい。 (スコア:1, おもしろおかしい)
Re:いっそわからなかったら使うなって言いたい。 (スコア:1)
#でも周囲を巻き込むのは勘弁
Re:いっそわからなかったら使うなって言いたい。 (スコア:1, 興味深い)
話を聞いたら、「え?知らないヒトからのメールでも添付ファイルをダブルクリックするのは常識でしょ」と来たもんだ。
#さすがにAC
Re:いっそわからなかったら使うなって言いたい。 (スコア:1)
Re:いっそわからなかったら使うなって言いたい。 (スコア:1)
#…その会社を辞めた後になら…
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
Re:いっそわからなかったら使うなって言いたい。 (スコア:1)
Windowsのユーザが多くて、ヴィールスの作者にとって魅力的だから。みんながWindowsをつかうのをやめてLinuxにしたとすると、今度はLinuxがターゲットになるだけで、本質的な解決になりません。
unixenはクラッカーにとって魅力的な、いたずらするために使いやすい道具が標準装備だったりするので、ターゲットになった暁にはWindowsよりヒドいことになるかも。
Re:いっそわからなかったら使うなって言いたい。 (スコア:1)
俺はinstall直後ぐらいしかrootでは入らないけど。
個人用のPCでWindows XPを普通にセットアップすると、
最初のユーザ=管理者という設定で、
これは爆発時のダメージが大きいわな。
私の場合 (スコア:1)
あんまり親しくない人から来たやつとか、From詐称してて誰から来たかよく分からんやつとかは無視。
そういう人も結構多いんではないかと思ってみたり。
ML認識とかないのか (スコア:1)
幸い、sobigの通知は購読しているMLには流れていないですが…。
少なくとも、
(1)[hoge-ML:xxxxx] your account (ウィルス名)
(2)[hoge-ML:xxxxx] InterScanメッセージ:受信者へ。ウイルスが検出されたか、または添付ファイルブロックの条件に一致しました。
(3)[hoge-ML:xxxxx] Virus Alert
(4)[hoge-ML:xxxxx] Virus Alert - InterScan for Lotus Notes --> your account (ウィルス名)
(5)[hoge-ML:xxxxx] 受信者へのレポート
と5種類のレポートで、数十通流れて来ました。AirHなどで受信する際などイライラ物です。
ML系には流さないような工夫も是非入れてほしいものです。
ちなみにウィルスによる被害ではなくウィルス報告のトラフィックによって(だと思う)VCppML [catnet.ne.jp]は停止に追い込まれましたTT
Re:ML認識とかないのか (スコア:1)
そういうのが流れてきているのなら、ML ドライバ側の問題もあるのではないかと。
個人情報の流出(オフとぴ) (スコア:1, 興味深い)
一つだけ、Webで公開して(つまり、自分のWebSiteに載せて)
います。
で、昨日10通、今日10通ほど波のように、どど、どどぉっと
時を同じくして公開してるアドレスにだけVirus付きのメールが
やって来ました。
差出人は当然別々ですが、IPアドレス同じだし....
で、VirusがPC内のキャッシュされたHTMLファイルからアドレス
を収集して、そのアドレスを騙ってメールを送信しているとすると...
感染者の趣向が分かりませんか?大体ですけど...
つまり、From:できたメールアドレスを、検索エンジンで検索して
ヒットしたページを感染者は見た...という事で...
結果:
90%で同一の系統のページ。
具体的には、From:が、
****{at}plover.com
perl5-porters{at}perl.org
*****{at}ActiveState.com
modules{at}perl.org
だったりする。
これは顕著な例で、検索するまでも無かった。
例外は、
webmaster{at}freegaypix.com
おいおいまじかよっ!
分かってしまったこと。
感染者はPerl関係のページばかり見てた。
ゲイかもしれない...
個人は特定できないけど、ちょっと恥ずかしいね...
感染してるよ!って教えたくても、IPアドレスだけじゃねぇ...
#五年以上VirusScannerなんて使ったことないけど、
#一度も感染したことが無い...なぜにヒッカカルかなぁ。
system管理者にのみ通知してくれれば良い (スコア:1)
メールにてユーザに通知する必要は無いと思っています。 メールにて通知してちゃんと気にしてくれるユーザは増えましたが、気にしないユーザがまだまだいます。わざわざその見極めもしなければならないのであれば、管理コストは下がらない。
かと言って全部管理者宛にメールが来られてもちょっと困った事になる訳で難しいですね。とは言えユーザの対応能力にばらつきがある現状では、とりあえず管理者にのみ通知してもらって、管理者が対応を考えるのが一番良い気がしています。この場合特にメールである必要も無く、syslogでもtrapでも良いですね。
余談ですが、この情報を元にClientよりの通信を遮蔽してしまうフィルタをルータなんかに設定し、対処PCの処置を完了後元に戻す、なんて事をやっています。
危機一髪 (スコア:1, 参考になる)
企業に於けるWindowsのあり方を再認識した方がいいと思いますね。
IEとOEの使用禁止を含めて行うかWindowsの意外システムを採用する方が安全だと思いますが
パソコンを守る (スコア:1, おもしろおかしい)
手順 1: インターネット ファイアウォールを使う
内部で感染したPCを持ち込まれ繁殖に成功しました。
手順 2: コンピュータを更新する
Windows Updateがあぼんしました。
手順 3: 最新のウイルス対策ソフトウェアを使う
更新が遅れて繁殖に成功しました。
『Blaster ワーム』 緊急対策用無償 CD について [microsoft.com]
セキュリティ対策ベンダー各社より提供される CD は、マイクロソフトより配布を行うものではなく、それぞれのベンダーにて配布の方法が検討されています。大手家電量販店など店頭配布や Web サイトからの受付などにより行われる予定です。
へぇー へぇー へぇー、ゲイツ様は何もしないのですか?
Q.何か手はあるのですか?
ゲイツです。自動転送を停止するだけでウイルスなんて回避できるのです。
Q.それってゲーツ様の対応で一般の人はどうするのですか?
あーごめんごめん。 ここ [microsoft.com]に書いてあるから読んだ通りにすればバッチリだよ。
へぇー (-1 へぇ)
そりゃあ (スコア:1)
のみで十分だと思いますけどね。
みんつ
Re:私なら (スコア:1)
「嫌なら見るな」
で通ると思うんです。
でも、それが強制的に送られてくるもの(ここで
はMAIL)である場合は嫌でも送られて来るんだか
ら、わざわざフィルタしないといけないとかいう
のは面倒だなぁと・・・
もちろん送られてくる側の対処法としてはそれで
いいとは思うのですが(できるんなら)、送られ
る人全員にその労力を強いるくらいなら止めてほ
しいと思います。
というか、だからこそこの是非を検討してるわけ
だけど 笑
taka4
Re:私なら (スコア:1)
IPの時点で、rfc3514 [google.co.jp]をつかって通知するとか......
#Obsoleteされちゃったもんなあ。
~スラド長距離ドライブ部参加者募集中 [srad.jp]~
WEBメールの併用(Re:私なら (スコア:1)
同じく回線が太くないヒトなのですが、普段使ってるMUAで見る前にWEBメールで見て、
ウイルス関連の不要なメールは手当たりしだいに消してたりするので、ちょっと楽です。
でも、残った(ウイルス関連以外の)メールが2通だけだったりするので、ちょっと鬱です。
(あれ?「スコアの+1ボーナスを使わない」なんて項目が!今までありましたっけ。)
オフトピ(Re:WEBメールの併用(Re:私なら (スコア:1)
#うーむ、奥が深い。