OneCareがOutlookのメールフォルダを間違って削除 77
ストーリー by yourCat
MS製品はver.3から 部門より
MS製品はver.3から 部門より
中立的な文章が書けそうもないのでAC曰く、
ITmediaの記事より。セキュリティ製品のOneCareがOutlookで感染メールを見つけると、フォルダを丸ごと消してしまうことがあるという。サポートフォーラムには多数の事例が報告されている。
メール上にウイルスを検出すると、それが含まれているメールボックス・ファイルを隔離してしまい、場合によってはインデックスを削除してしまうために復旧が非常に困難になる。ウイルスを自動削除ではなく隔離するよう設定していて起きてしまったのはちょっと痛い。OneCareはつい先日、英Virus BulletinやAV-Comparativesのアンチウイルス・ソフト検証で駄目出しされたばかりで、近頃いいところがない。
アンチウイルス・ソフトの誤作動は深刻なダメージになることがある。「ウイルスバスターの定義ファイル更新で、CPU使用率が100%」になったこともあったし、最近でも「Norton AntiVirus、Wikiをウイルスと誤認して全削除」したり。アンチウイルス・ソフト対策もしなくちゃいけない?
雑談したいんじゃなくて状況と対策が知りたい人は (スコア:5, 参考になる)
もっとも、直後のコメント [microsoft.com]にあるように、必ず回復できるわけではないらしいので事前に対応するのに越したことはない模様。
#ちゃんとリンク先のスレッドの中身読んでいる人はほとんど居ないんだろうな……
困ったちゃんが増えるんだよなー (スコア:4, おもしろおかしい)
# まずOutlook止めろとはもうずっと前から言ってる
そんでもって「こういう事があると困るからGmailを使う」
いや、待てコラおっさん。
社外秘のメールとか顧客情報とか外部に転送すんなハゲ
監査入ったら一発アウトだろ……
Re:困ったちゃんが増えるんだよなー (スコア:1, おもしろおかしい)
Re:困ったちゃんが増えるんだよなー (スコア:1)
そもそも、秘匿性についてまったく考慮されていないシステムであるE-mailで社外秘情報を送ること自体、
間違ってるでしょう。
最低でも暗号化。
Re:困ったちゃんが増えるんだよなー (スコア:0, 参考になる)
Microsoftのおかげで生み出された魑魅魍魎の市場
現場で言われたら困るだろうというのは同意
Re:困ったちゃんが増えるんだよなー (スコア:0, おもしろおかしい)
Re:困ったちゃんが増えるんだよなー (スコア:0, 余計なもの)
誰がやっても変わらん。
LinuxだろうがMacだろうがデファクトになって一般人が使うようになったら魑魅魍魎。
Re:困ったちゃんが増えるんだよなー (スコア:0)
ActiveXコントロールについて軽く調べた。
・IE for Macでも動作する
・IE7では実装されているがデフォルト無効
・Windows XP SP2でのActiveXコントロールのダウンロード・インストールはデフォルトでブロック
-- A.C., nothing more, nothing less.
Re:困ったちゃんが増えるんだよなー (スコア:1)
#楽しんでいるのは私では無いことを一々書いておく予防。
Re:困ったちゃんが増えるんだよなー (スコア:1, 興味深い)
アンチウィルスソフトを入れりゃいい、という考えも問題でしょうが。UNIX系OSはその手法は取っていないわけですが、不備ってわけでもない。
アンチウィルスはその仕組み上、OSに手を入れているわけですから複雑化に輪をかけ、へたをするとOSの動作にダメージ、最悪新しい穴を作ってしまいます(OSに差込口が用意されているなら、かなりマシ)。この方向からのアプローチは危険、最後の手段としたい。
(OSレベルで制限をきつくしているものにSELinuxがありますね。権限を細分化しています)
まず、アプリケーションはユーザの意図しない動作をしないこと、他プログラムから妨害されないこと(一時ファイルの乗っ取り等)。これはバグですから、発見されしだい早急な修正をするしかないです。
いわゆる「バカよけ」機能、ユーザが(何を考えてかは問わない)ファイルを全削除するのを止めるなど、これもアンチウィルスソフトみたいなものでカバーするのはどうかと。制限された環境、たとえばGoogleが提供しているウェブブラウザ上のアプリケーション、のようなものを使うとか。最近は仮想マシンも手軽になってきたので、その方面で何か出てくるかも。
-- A.C., nothing more, nothing less.
Re:困ったちゃんが増えるんだよなー (スコア:0)
# なんでAnthyは始皇帝氏なんて単語が出るんだろう....
昔、ノートンにやられたな…… (スコア:4, 興味深い)
ノートンは、テキストファイル中にエンコードされたウィルスが存在すると、それ以降をバッサリと切り落とすのでウィルスメール食らうとメールボックスが壊れました。(これはWZのメールボックスも同様)
# ファイルを『消す』ソフトなんだから、間違って消しても怒らない。(その方が精神的に楽)
notice : I ignore an anonymous contribution.
Re:昔、ノートンにやられたな…… (スコア:1, 参考になる)
いろんなAntiVirusを使ってきましたがいまのところNOD32は大丈夫みたいなんだけど、
ADのサーバでは動作しないというバグを抱えてたし。
Re:昔、ノートンにやられたな…… (スコア:1)
ログが復旧できなかったので、
標準のMail(こっちのログは無事だった)に移行して、
プロバイダーのウィルスチェックサービス
(ちょうどいいタイミングで始まった)に加入しました。
ウィルスチェックサービスのおかげで、
ノートン先生にログが消されることはなくなりましたが、
あれは痛かった......
#はっ!プロバイダーの陰謀か?(笑)
率先垂範 (スコア:2, おもしろおかしい)
対策は小まめなバックアップ (スコア:2, すばらしい洞察)
そこそこ大事という程度であれば、外付けHDDにWindowsのバックアップで
1~2日おきにまとめてバックアップしておくだけでもかなり安心感は違います。
手間あまり掛からないし。
Re:対策は小まめなバックアップ (スコア:1)
しかもそれぞれのアプリ毎にデータのexportをするのは大変な作業です。
私のようなど素人にはいろんなアプリが個別に抱えているデータをPowerShellか何かでスクリプトにして自動バックアップなんて不可能ですし。
なにを今更 (スコア:2, すばらしい洞察)
ウィルス対策ソフトは時に重要なファイルを消去、あるいはインターネットに送信(検疫)する時があります。したがっウィルス対策ソフトを使用するときには、慎重にウィルス対策ソフト対策を検討する必要あります。特にウィルスに感染している人や、ウィルス感染リスクが高い人は、より慎重にウィルス対策ソフトを導入するべきでしょう。
#ウィルス対策ソフト対策ソフトは時にウィルス対策ソフトの動作を・・・(続く)
Re:なにを今更 (スコア:0)
「消されても被害が大きくならないように、メールボックスのサイズを自動的に小分けする」
だったので、脱力してそれ以降Beckyを捨ててしまいました。
小分けしても消されたら結局影響出るじゃん!
ただ、他のメーラみてると、だいたい同じ問題あるんですよね。
オプションでもいいので、昔のメーラみたいに1メール1ファイルで管理する方式が欲しいなあ。
Re:なにを今更 (スコア:3, 参考になる)
以下、ヘルプファイルからの引用
んで、本文に… (スコア:1)
Re:なにを今更 (スコア:1, 参考になる)
> オプションでもいいので、昔のメーラみたいに1メール1ファイルで管理する方式が欲しいなあ。
Becky!は確か、その「メールボックスのサイズを自動的に小分けする」サイズを0に設定しておけば、
お望みどおり1メール1ファイルになるはず。
気にするな (スコア:2, すばらしい洞察)
アンチウイルス・ソフト対策 (スコア:1)
ウイルスによっては、アンチウイルスソフト対策しているものがありますね。
まぁ、メールソフトがやるアンチウイルス・ソフト対策とウイルスがやるアンチウイルスソフト対策は、違うんだけども。
やっぱりメールは1通1ファイルがよい (スコア:0)
Re:やっぱりメールは1通1ファイルがよい (スコア:2, 参考になる)
秀丸メールなら、設定を変えれば可能です。
I'm out of my mind, but feel free to leave a comment.
そこでIMAP(Re:やっぱりメールは1通1ファイルがよい) (スコア:2, すばらしい洞察)
やはり Maildir で IMAP over SSL じゃない?
1 メール 1 ファイルなのはともかくとして、
メールクライアントに縛られる事もなくなり
乗り換えや、併用が劇的に楽になるわけで、、、
# そろそろ IMAP 用の fail2ban が欲しい今日この頃、、、orz
uxi
Re:そこでIMAP(Re:やっぱりメールは1通1ファイルがよい) (スコア:1)
ウイルス対策にはウイルスバスターを使用しています.
当然のことなのでしょうが,メールの添付ファイルを開こうとしない限り,
ウイルスバスターはウイルスの存在を教えてくれません.
もちろん,開こうとすれば,ウイルスの存在を教えてくれます.
ですので,タイトルで判断して開かないようなスパムメールにウイルスが付いていても気が付きません.
で,たまにサーバのメールをクライアントにバックアップ取ることがあるわけですが,
そんなときには全ファイル(全メール)をチェックしてくれますので,
スパムメールの中のウイルスに対してごっそりと警告が出てきます.
# 回答になっているのかしら.
Maildirのスキャン (スコア:1)
他にもWindowsローカルでIMAPを走らせると言う荒技もあったりとか、、、
uxi
Re:そこでIMAP(Re:やっぱりメールは1通1ファイルがよい) (スコア:1)
Thunderbird でも Outlook でもそうですが、IMAP の場合でもジャンク/迷惑メールチェックを有効にすると、メールを開いてなくても spam 判定のために本体を落としにいきますから、その際に検出する場合があります。
メジャーなワームとかはサーバ受信時に SpamAssassin なんかを使って spam score や spam flag を付け、SIEVE を利用してサーバ側で振り分けておくとかなり消される事は減りますけれど。
この構成 + Sylpheed では、個別メール (IMAP cache) までしか消されないので比較的安心度は高いです。
Re:やっぱりメールは1通1ファイルがよい (スコア:1)
Windows上ではmbox形式への変換が面倒なのが、難点と言えば難点でしょうか。
前に電信八号からThunderbirdにデータ移行を行ったときは、こんな手順で行いました。
もっとスマートな方法はあるでしょうか?
Re:やっぱりメールは1通1ファイルがよい (スコア:1)
pop over sslとかにそのままでは対応しないとかあったので
最近sylpheedに移りました、
メールボックスの移行は悩みどころ。
LAN内LAN稼働中
Re:やっぱりメールは1通1ファイルがよい (スコア:1)
が、文字化けとかいろんな理由で難航した記憶が・・・。
OE形式がなんだかんだで無難だと思います。
# 今でも電八流なメールの書き方をしているのでID
Re:やっぱりメールは1通1ファイルがよい (スコア:1)
フォルダごと消されたら意味ないっすね。やはりメールは1通1ディスクで。(ぇ
乗り換え直後が危険 (スコア:0)
取り扱い方法が異なるので、既存データが危険になりますね。
うちの場合、NortonInternetSecurityで受信したBecky!データが
KasperskyInternetSecurityに乗り換えたら、Exploit.HTML.Iframe.FileDownloadを検知した
と言って、ファイルを消そうとしてくるしなぁ
Re:お約束(-∞;フレームの元) (スコア:0)
Mozilla Thunderbird では受信メールを一時的に単独ファイルへ (スコア:3, 参考になる)
Thunderbird のメールボックスが丸ごと削除されてしまうトラブルを回避する手段の一つとして、Thunderbird では受信したメールを一時的に単独ファイルへ保存した後にメールボックスへ移動するようにオプション設定で設定することができます。 つまり、単独ファイルへ保存してウイルス対策製品にチェックさせ、その結果残っていれば問題なしなのでメールボックスへ、という考え方です。
でもデフォルトではそのオプションは off です。 Bugzilla 等で確認したわけではありませんが、負荷が結構ある点で off になっている、という話しを見た事はあります。
確かに、そこで安全と言えるのはその瞬間に使用されたパターンファイルにおいてのみでありますから、一旦安全とみなされてメールボックスへ保存された後に新しいパターンファイルでチェックするとウイルスだったなんてシナリオもありますしね。
そもそも「問題があるファイルを削除・隔離」という処理と「N個のデータ(メール)をひとつのファイルへ格納する」という仕様は相性が悪いという事なのかもしれません。 (かといって、個人的にはメール1通=1ファイルというのは嫌いなので悩ましいところです)
Re:セキュリティ製品なんて (スコア:0)
害しかないと言われるセキュリティ製品を、使わないでできる対策方法を教えてください。
Re:セキュリティ製品なんて (スコア:0)
Re:セキュリティ製品なんて (スコア:0, フレームのもと)
べつに他の手段はいくらでもあると思うぞ。
まずはウイルスがどんなもので、それぞれがどれくらい危険なのか正しく知っておくことだな。
残念ながら20年以上その手の製品は1度も使っていませんが、変なファイルは拾ってこないのでWindowsが感染したことはありません。時々Webにあるツールでチェックしても感染している様子は見つかりません。
メールなんて見てればウイルスかspamかどうかぐらいわかる。
闇雲に効果があるのかないのかよくわからないセキュリティ対策ソフト入れるだけより、どこから感染するのが多いのか一覧でもつく
「変なファイルは拾ってこない」と言っても、受信メールだけではない (スコア:3, 興味深い)
私もそう考えていた時期がありました。
でも、未修正の脆弱性を狙ったワームにファイルをドロップされてあっさりとワームに進入・感染を許してしまいました。
ま、あるテストをやる際にファイアウォールの設定を甘く変更したまま戻し忘れたという人為的なミスが原因でしたが、受信メールにばかり注目してもダメだと考えを改める機会になりました。
「変なファイルは拾ってこない」と言っても、受信メールだけでなく Web を見るために Webブラウザが取得するありとあらゆるコンテンツデータを自分でチェックするのは大変ですしね。 いまさらテキストベースのブラウザに戻るのも嫌だし、私自身はウイルス対策製品は必須だという考えです。
ウィルス対策製品も頼りにならない(T T) (スコア:2, すばらしい洞察)
うちもやられた記憶が、、、(- -;;;)
でもまぁ、逆に言えば、穴さえなければ、たいして恐くはないってのも事実なわけですよ、、、
結局、我々エンドユーザーには後手はあっても先手はないわけで、
穴と変化の早い亜種や未知の virus には AntiVirus はほとんど無力と来てる。
実際、人様の PC が AntiVirus 入ってても、
未登録の亜種に端から感染して行く様を目の当りにした者としては、
AntiVirus も気休めの1つに過ぎないって事を痛感してるわけで、、、
# 何で HKLM/.../Run とか lmhosts 等の明らかに怪しい変化を見逃すかね?(- -#)
そう云う意味では、私個人としての対策は、
セキュリティパッチの適用以外はほぼあきらめてると言うか、、、orz
とりあえず、レジストリの自動起動関連の項目や実行中のプロセス一覧から
不明な登録ファイルを洗い出すだけでも、
感染の兆候検出には十分な効果があるわけで、、、
MS 及び各ベンダーは正規ファイルのフィンガープリント一覧くらいは提供すべきじゃないのかと、、、
# MS 製 .exe とか .dll でさえ署名付いてないファイル多いですよねぇ?
あとは、、、
例えば、国の機関としてセキュリティ対策の部署作って、
国内感染ノードへの攻撃を行い、強制的に機能停止と警告を提示する権限を法律で整備するとか、、、
# んで運営資金は、有償の復旧サービスで賄うとか、、、(をぃ、、、
セキュリティ対策を所詮一企業に頼りきってる現状を考えると、
国全体としてのセキュリティ底上げって意味でも
そのくらい極端な方策が有っても良いのではないかって気も、、、
uxi
Re:署名にも問題がないわけではない (スコア:1)
>ファイルサイズ、ハッシュ、ファイル名の一覧
は官報か何かで確認するのですか?そうではなく、ウェブで確認するのなら、(1)インターネットアクセスが必要です。そのサイト自体が改竄されていたり、間違ったサイトに誘導されていないかを確かめるために、SSL は必要です。SSLですから当然(2)公開鍵暗号の処理は必要ですし、(3)CRLの確認を含む、証明書の正当性確認は必要です。もちろん、(4)ハッシュもしっかりローカルでの計算が必要です。
翻ってコード署名とは、(4)プログラムのハッシュを計算し、(2)公開鍵暗号での署名と、その署名に使用した(3)
証明書の正当性を確認する。このときにCRL確認等のため(1)インターネットアクセスが必要になる。
というものですから、実際には同じことを、より合理的なフレームでやっているのに過ぎません。
>極端な話、公的機関に発行ファイルの提出を義務付けて、その公的機関が識別情報を公開。誰でも自由な方法でファイルの改ざんを検知できるようになると理想的。
全くもってこれを実現しているのが、PKIとコード署名というものです。
Re:「変なファイルは拾ってこない」と言っても、受信メールだけではない (スコア:1, 興味深い)
最大限の予防措置を取ったことを主張することにある.
そういう意味では必須なんだよな.
# それと,都合のよいところだけ抜いてこないことだな.
Re:セキュリティ製品なんて (スコア:1, すばらしい洞察)
Re:セキュリティ製品なんて (スコア:0)
検出さえできれば十分。あとは自分でやるから余計な事しないで欲しい。
Re:セキュリティ製品なんて (スコア:0)
#スキャンのたびにeicarが引っ掛かってうるさかったけど、例外フォルダ設定するのが面倒だったからファイル暗号化ですり抜けたAC
Re:セキュリティ製品なんて (スコア:1, おもしろおかしい)
昔(古き良き江戸時代)は1つでも間違えるとアンチウィルスソフトが自体が切腹したものです。
…日本製ではない? え、ハラキリ? いやそれはいやー。
-- A.C., nothing more, nothing less.
スパムとウィルスは同じなのだろうか? (スコア:1, 興味深い)
.MACの方が圧倒的に判別にしても防御にしてもレベルが上です。(維持コストが高めですがw)
ユーザと環境のレベル差ハッキリ出てると思います。
Macではメールを開いた程度で感染するようなものではないので
ヘッダ表示ボタンを取り付けて簡単に表示できるようにし、ヘッダ部分をコピペして
SPAM@MAC.COM送ってやれば自動削除として処理され、
メール自身こなかった(存在しなかった)ことになります。
IPS側ではWindowsユーザが大多数ですから、不審なメールを開くってのは命とりですよね
そういうのはメールの件名のところSPAMの文字を入れて分けやすくしてくれる程度
送ってくる奴をどうするかってのには消極的です。背景には中身は見れないっては
あるからでしょうけど
#変なバイアスを欠ける気はないが、添付程度で感染するOSやら仕組みって問題ありかと思いますね
#そこでです、Windowsは誤操作が多いですし、アプリケーションが動いてしまう敷居が低すぎるので
#動いてしまう条件を減らす対策が必要なのかと思います。
#たとえば、WEB上で.EXEを禁止する。サーバー側で無条件に削除可能です。
#添付で圧縮された中身を確認する機能だけ付ければ可視性も上がるでしょうし
#自動で感染したり誤操作で広がるのはある程度防げると思います
#とりあえず今の対処方法では間違って消されたりすることは避けようもないとですし
#根本的に構造を変えなければいつまでも同じ事に繰り返しから抜ける事は出来ないでしょう
#永遠に
Re:スパムとウィルスは同じなのだろうか? (スコア:1, すばらしい洞察)
>そういうのはメールの件名のところSPAMの文字を入れて分けやすくしてくれる程度
>送ってくる奴をどうするかってのには消極的です。背景には中身は見れないっては
>あるからでしょうけど
どうしても誤検知というものはあります。spamでもウィルスでも。
誤検知された場合にユーザの知らないところで削除していたら、
誤検知にすら気づかずにいるわけです。
以前に何処かで、このようにして正当なメールが数%失われている
という報告がありました。
結局、最終的に判断できるのは人間です。
>#変なバイアスを欠ける気はないが、添付程度で感染するOSやら仕組みって問題ありかと思いますね
「バイアスを欠ける気はない」と前置きしつつ、バイアスのかかった
意見を書くのも問題ありかと思います。
今時のWindowsや、Outlookは添付程度で感染はしません。
添付されたマルウェアをユーザが実行したら感染するんです。
これはWindowsに限らず、MacでもLinuxでも変りません。
>#そこでです、Windowsは誤操作が多いですし、アプリケーションが動いてしまう敷居が低すぎるので
>#動いてしまう条件を減らす対策が必要なのかと思います。
そこでです、Windows Vista ですよ。
UACによって「ユーザが意図しないアプリケーションの起動防止」
「管理者以外がシステムに影響を与える改変を防止」なんかが
施されていますよね。
>#たとえば、WEB上で.EXEを禁止する。サーバー側で無条件に削除可能です。
>#添付で圧縮された中身を確認する機能だけ付ければ可視性も上がるでしょうし
>#自動で感染したり誤操作で広がるのはある程度防げると思います
Webサーバが実行ファイル(.EXE)を禁止するだけでは問題の一部しか
解消できません。
Java, Flash, JavaScript, ActiveX, ....etc と、いくらでも別の
選択肢がありますので。
>#根本的に構造を変えなければいつまでも同じ事に繰り返しから抜ける事は出来ないでしょう
>#永遠に
基本的に、「Windowsだから」「Linuxは関係ない」「Macは安全」という
人々がいる限り永遠にこの状況は改善できないでしょうね。
また、誤検知が多発するようになると、ユーザはアンチウイルスを
信用しなくなります。
なんらかの用途で入手したファイルを開こうとしたらウイルスが
検知されても、例えば信頼が置けそうな入手元だった場合には
警告を無視して開いてしまうようになるかもしれません。