パスワードを忘れた? アカウント作成
6378 story
インターネット

ウィルス告知サービスのありかた 133

ストーリー by Oliver
ゴミがゴミを誘発 部門より

MSBlast系ワームだけなく、Sobigを筆頭にメールベースのウィルスが猛威をふるっている。基本的にはウィルススキャナのアップデートでウィルス本体へは対処できる。企業ではメールサーバにアンチウィルスフィルタを導入しているところも少なくない。しかし、Sobig等のFrom:に本来の感染者ではない別のアドレスを入れるウィルスの場合、実際には感染していない人のところに「あなたが送信したメールにウィルスを検知しました」なメールが届くことになる。実際に、使用するOSとMUAからして感染しているはずがなく、ウィルス本体はフィルタしていて目にすらしない自分のところにはここ数日だけで数百通ものウィルス感染通知が怒涛のごとく次々と届いている。なかには読めない言語のものすらある。その一方では、初心者はこのように教えてもらうまで感染に気がつかない可能性もある。そこで問いたい:「総合的に考えて、ウィルスの感染通知は発送するべきか、否か?」

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by kamuy (1690) on 2003年08月22日 14時46分 (#383820) ホームページ 日記
    自分のマシンが汚染されているのに気づかない(というか、そもそも汚染されるような)初心者に対して通知したって、その後の処理も出来ずにパニックになるだけでしょう。
    そもそも、最近の不正プログラムの類は、そのほとんどが色んなトコロを詐称しまくる訳ですので、「記述されている内容は全て真である」という前提に立った施策のほとんどは、既に無効化されているようなものですし。

    ところで、実際に汚染されていることに気がつくのは、自動化されたサービスとしての通知、ではなく、知り合いから「おめぇ、ウィルスにやられてんゾ?」という連絡を受けることの方が多いのではないでしょうかね?
    それで改心する人なら程なく対策されましょうし、何度言っても気にしないような輩については、そのアドレスからのメールをフィルタしてしまえば良い訳ですし。

    それ以外のまともに対策を取っている人たちにしてみれば、通知とか何とか言ったって、結局スパムメールでしかありませんしね。
    --
    -+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
    • by Ryo.F (3896) on 2003年08月22日 15時49分 (#383893) 日記
      > 「記述されている内容は全て真である」という前提に立った施策
      > のほとんどは、既に無効化されている

      正しいと思います。すると、

      > 知り合いから「おめぇ、ウィルスにやられてんゾ?」という連絡
      > を受けることの方が多いのではないでしょうかね?

      そういう連絡を受けることは、そう多くないんじゃないですかね。だって例えば、嘘ばかり書いてあるウィルスメールを受け取っても、誰が「ウィルスにやられて」るか解らないのだから。直接IP reachableな知り合いが多ければ話は別ですけど。
      親コメント
  • by Anonymous Coward on 2003年08月22日 15時05分 (#383843)
    この件に限っては、対処は簡単な筈です。 どのvirusがEnvelope Fromを偽り、どのvirusが偽らないかは、 antivirusソフトのパターンファイルを作る際には、ほぼ分かって いるわけですから、パターンファイルにその情報を埋め込み、 Envelope Fromを偽らないvirusに関してだけ、返信を出すように すれば良いわけです。 会社で使っているvirusソフトウェアのベンダには、この要望を 出したのですが、いまだ製品には反映されてない様子。 みなさんも、自分のところで使っているソフトウェアのベンダに この要望を出しませんか? どこかの会社が対応してくれれば、その会社の製品に乗り換えます。 そうなれば、他社も実装しないわけにはいかなくなりますから、 すぐに全社の製品で対応がなされると思うんですが。
    • Re:対処要望ウイルス (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2003年08月22日 15時20分 (#383864)
      アンチウィルスベンダのメールアドレスをFromに仕込むウィルスを
      作ればいいのではないか、とちょっと思った(荒らし:-1)。
      親コメント
  • by pu-shiki (17076) on 2003年08月23日 0時29分 (#384153)
    多分、「誠に勝手ながら、あなたの送ったメールは、宛先に
    届ける前に、ウィルス予防サーバがチェックして自動的に改変
    を加えさせていただきましたのでご了承ください。これにより
    メールの内容はあなたの意図に添わないものになっている場合も
    ございますので、相手に確認を取ることをお勧めします」
    ということを送り主に報告して了承を得る目的で、From
    フィールドの人にメールを送ることを考えたのだと思います。

    「あなたは感染しています。とっとと対策しなさい」と送り主に
    文句たれるのが目的だと勘違いしてこの機能を使っている人大杉。

    でも、どちらにせよ自動返信はあまり使わない方がいいと思うなぁ。
  • 2種類 (スコア:2, 参考になる)

    by Anonymouse Coward (13650) on 2003年08月22日 14時15分 (#383785) ホームページ
    あるんです。
    smtp側を監視するのと、pop側を監視するのと。
    前者の場合はsmtp authとかで認証さえしていれば送信元が特定
    できるので、それなりの効果あるでしょ。

    問題は後者ね。こっちだとFrom:が送信者であることを前提に
    してるから、sobigやらklezやらで誤判定しまくってFrom:にある
    アドレスにゴミがいくと。
    この場合はFrom:に告知しない方がいいんじゃないかなと。
    無駄なだけだし。
    Recieved:を見て送信元のISPを特定して通報してやるのがベストか。

    あと、告知サービスではなくて受信者がFrom:にあるアドレスに
    対して文句言ってくることも多々あり。
    その度にいちいち説明返してますけど。
    --


    # ACなのでAC
  • 自動返信 (スコア:2, 参考になる)

    by Anonymous Coward on 2003年08月22日 14時41分 (#383814)
    メールに対して自動返信することを安易に見てる人が多い気がする……
    その手の仕組みが troublesome というのはある意味常識なので、
    その常識が欠如してる人が増えたってことなんでしょうかね。
    最近はエラーメールすら返したくないくらいなんですが、
    これをやると実用上困るので痛し痒し。
    # 昔 vacation(1) で痛い目を見たオヤジなので AC
  • by fusion (555) on 2003年08月22日 15時12分 (#383853)
    各社バラバラのウイルス名を統一するほうが先なんじゃ・・・
    • 公言 (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2003年08月22日 16時01分 (#383903)
      ウィルス制作者は名前をつけるようにと言えば
      制作者本人が名前を付けてくれるでしょう。

      あ!
      台風みたいに号で呼べば....
      ウィルス7号が猛威をふるってます!
      親コメント
      • Re:公言 (スコア:2, 参考になる)

        by Tig3r (17335) on 2003年08月22日 17時23分 (#383962) 日記
        ウィルス製作者の意図した名前をウィルス名として採用することは
        ウィルス製作者に対してある種の名誉を与えることになるために、
        各ウィルスはワクチンメーカーが勝手に(ダサめの?)名前をつけています。。。とサイトには書いてあるよ。
        --
        -- Tig3r on the hedge
        親コメント
    • とくに枝番は統一してほしいですね。 MSBLASTのD ってAの亜種なのか、いわゆるnachiなのかがメーカで異なっていると、困ります。
      親コメント
      • by kei_sun (15123) on 2003年08月22日 19時59分 (#384036) 日記
        nachiに関してはトレンドマイクロがダサかっただけでは。意見には同意します。

        ウィルスの同一性についての基準が各社まちまちだったりすると難しいかも知れませんが、今の状況は面倒臭い。
        親コメント
  • by Takosan (2656) on 2003年08月22日 22時22分 (#384105) ホームページ
    IEとOutlookExpressを使用禁止にしないのだ?
    毎度メールで問題起こすのは決まってOutlookExpressだろ。
    あ、会社の都合でOutlookてのもあるんかな?

    インターネットメールならFreeで優秀なのがいくらでもあるじゃん。

    我社ではOEは使用禁止なのでID
    --
    **たこさん**・・・
  • by 9nu (12793) on 2003年08月22日 23時39分 (#384138)
    ISP(CATVです)がメールサーバーに検出ソフトを
    組み込んだらしく、病気持ちのメールが来ると自動的に削除
    して「ウイルス感染メールを駆除しました」とウイルス名と
    アドレスだけ知るしたメールが届きます。日に何通も、
    同じアドレスから。

    かえって気になるやないかい!

    一応ヘッダーもチェックいれるんですが、ウチのISP
    対応悪いですからねぇ。私だけ外してくれるように頼んでみる
    かしらん。
    --
    犬が犬であるように、猫でありたい
  • 二重災害 (スコア:1, 参考になる)

    by Anonymous Coward on 2003年08月22日 14時30分 (#383806)
    せっかくメールサーバ上でウィルスチェックしているのに、次のようなケースでは、ただしい添付ファイルの形をしなくなるため、有効にチェックが働かず、ウィルスが手元までたどり着いてしまいます。

    • From: に私のメールアドレスを使われた
    • To: で指定された相手が mailbox full だった
    • それを受け取ったサーバがMIMEを解釈せず、添付ウィルスを 含む全文を From: に返してきた
    もっとも、受け取ったエラーメールも添付ファイルの形式をなしていないので、明示的にそこから添付ファイル部分を切り離さない限りは安全といえば安全ではありますが…。
    • Re:二重災害 (スコア:2, 参考になる)

      by vbsnbk (13976) on 2003年08月22日 14時48分 (#383826) 日記
      >添付ウィルスを 含む全文を
       たまにありますね、そういうの。MailBoxFullだけじゃなくてもなりますけど。
       実は仕事でAntiVirus組込型の多機能F/Wを作ってるのですが、
      最初に開発したバージョンプではSMTP/POPのProxyで、おのおの
      MIMEを解釈して添付ファイルだけScanする仕様にしていたら、
      納入先のお客さんに「ウィルスが素通りじゃねーかこの野郎!!」と
      クレーム付けられまして……(苦笑)
       よくよく話を聞いてみれば、まさに上のような状況で返ってきたものに、
      ご丁寧にもクライアント上のAntiVirusが反応してくれていたというオチ。
       次のバージョンから、効率落ちるのには目をつぶって、
      全文を丸ごとスキャンエンジンに喰わせる仕様に変えちゃいましたねぇ。
      親コメント
  • by IKEDA Kenji (4659) on 2003年08月22日 14時47分 (#383825)
    いや、あの、本当にそれは、From: のアドレスに返すの? Envelope sender ではなく?
  • by Technical Type (3408) on 2003年08月22日 15時10分 (#383851)
    ウイルスを検知したPCにて、アンチウイルスソフトがPC所有者と管理者宛てにメールするのは賛成。
    メールで送られてきたウイルスの、 From: にメールを送るのは反対。
  • by Anonymous Coward on 2003年08月22日 15時15分 (#383855)
    そもそも字が読めない人間がパソコン使ってるって言うのがヘンだと思うんだけどさ。
  • by snd (14690) on 2003年08月22日 16時24分 (#383920)
    ワーム/ウィルスの種類、Header情報等を見て、知合いのPCが感染している可能性があると思ったときだけ、お知らせメールを書くことにしています
    あんまり親しくない人から来たやつとか、From詐称してて誰から来たかよく分からんやつとかは無視。
    そういう人も結構多いんではないかと思ってみたり。
  • by kdservice (13999) on 2003年08月22日 17時37分 (#383978) 日記
    よくMLなんかを購読していると、この手の通知が数十通にも連なって削除しなくてはならない事がある。
    幸い、sobigの通知は購読しているMLには流れていないですが…。

    少なくとも、

    (1)[hoge-ML:xxxxx] your account (ウィルス名)
    (2)[hoge-ML:xxxxx] InterScanメッセージ:受信者へ。ウイルスが検出されたか、または添付ファイルブロックの条件に一致しました。
    (3)[hoge-ML:xxxxx] Virus Alert
    (4)[hoge-ML:xxxxx] Virus Alert - InterScan for Lotus Notes --> your account (ウィルス名)
    (5)[hoge-ML:xxxxx] 受信者へのレポート

    と5種類のレポートで、数十通流れて来ました。AirHなどで受信する際などイライラ物です。
    ML系には流さないような工夫も是非入れてほしいものです。

    ちなみにウィルスによる被害ではなくウィルス報告のトラフィックによって(だと思う)VCppML [catnet.ne.jp]は停止に追い込まれましたTT
  • by Anonymous Coward on 2003年08月22日 21時54分 (#384092)
    メールアドレス十個くらい持っているのですけど、
    一つだけ、Webで公開して(つまり、自分のWebSiteに載せて)
    います。

    で、昨日10通、今日10通ほど波のように、どど、どどぉっと
    時を同じくして公開してるアドレスにだけVirus付きのメールが
    やって来ました。

    差出人は当然別々ですが、IPアドレス同じだし....

    で、VirusがPC内のキャッシュされたHTMLファイルからアドレス
    を収集して、そのアドレスを騙ってメールを送信しているとすると...
    感染者の趣向が分かりませんか?大体ですけど...

    つまり、From:できたメールアドレスを、検索エンジンで検索して
    ヒットしたページを感染者は見た...という事で...

    結果:
    90%で同一の系統のページ。
    具体的には、From:が、
    ****{at}plover.com
    perl5-porters{at}perl.org
    *****{at}ActiveState.com
    modules{at}perl.org
    だったりする。
    これは顕著な例で、検索するまでも無かった。
    例外は、
    webmaster{at}freegaypix.com
    おいおいまじかよっ!

    分かってしまったこと。

    感染者はPerl関係のページばかり見てた。
    ゲイかもしれない...

    個人は特定できないけど、ちょっと恥ずかしいね...

    感染してるよ!って教えたくても、IPアドレスだけじゃねぇ...

    #五年以上VirusScannerなんて使ったことないけど、
    #一度も感染したことが無い...なぜにヒッカカルかなぁ。
  • メールにてユーザに通知する必要は無いと思っています。 メールにて通知してちゃんと気にしてくれるユーザは増えましたが、気にしないユーザがまだまだいます。わざわざその見極めもしなければならないのであれば、管理コストは下がらない。

    かと言って全部管理者宛にメールが来られてもちょっと困った事になる訳で難しいですね。とは言えユーザの対応能力にばらつきがある現状では、とりあえず管理者にのみ通知してもらって、管理者が対応を考えるのが一番良い気がしています。この場合特にメールである必要も無く、syslogでもtrapでも良いですね。

    余談ですが、この情報を元にClientよりの通信を遮蔽してしまうフィルタをルータなんかに設定し、対処PCの処置を完了後元に戻す、なんて事をやっています。

  • 危機一髪 (スコア:1, 参考になる)

    by Anonymous Coward on 2003年08月23日 0時56分 (#384168)
    こんな事件も起きてますね。 [mainichi.co.jp]
    企業に於けるWindowsのあり方を再認識した方がいいと思いますね。
    IEとOEの使用禁止を含めて行うかWindowsの意外システムを採用する方が安全だと思いますが
  • パソコンを守る (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2003年08月23日 1時20分 (#384174)
    マイロクソフト [microsoft.com]

    手順 1: インターネット ファイアウォールを使う
    内部で感染したPCを持ち込まれ繁殖に成功しました。

    手順 2: コンピュータを更新する
    Windows Updateがあぼんしました。

    手順 3: 最新のウイルス対策ソフトウェアを使う
    更新が遅れて繁殖に成功しました。

    『Blaster ワーム』 緊急対策用無償 CD について [microsoft.com]
    セキュリティ対策ベンダー各社より提供される CD は、マイクロソフトより配布を行うものではなく、それぞれのベンダーにて配布の方法が検討されています。大手家電量販店など店頭配布や Web サイトからの受付などにより行われる予定です。
    へぇー へぇー へぇー、ゲイツ様は何もしないのですか?

    Q.何か手はあるのですか?
    ゲイツです。自動転送を停止するだけでウイルスなんて回避できるのです。

    Q.それってゲーツ様の対応で一般の人はどうするのですか?
    あーごめんごめん。 ここ [microsoft.com]に書いてあるから読んだ通りにすればバッチリだよ。
    へぇー (-1 へぇ)
  • by minz (3213) on 2003年08月23日 1時53分 (#384188) ホームページ 日記
    正しく「メールの送信元が正しく感染しているのが受け手から判断できるなら」通知してもかまわないとは思いますが、どうせできないので無条件破棄
    のみで十分だと思いますけどね。
    --
    みんつ
typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...