緊急告知:テストウイルス送信サービス

緊急告知【重要】(2005/06/30)

本記事を既にお読みになった皆様へ御連絡致します。残念なことに'www.declude.com'のサイトにはセキュリティ上の問題があることがわかっております。実は同脆弱性を知ったのは6/28の14:00頃なのですが、本日まで皆様に御報告しなかったこと慙愧に耐えません。大変に申し訳なく存じます。

脆弱性があるのだと知った直後にIPAに報告したものの、不受理となりました。主として日本の利用者が使うことがないであろうサイトのWebの脆弱性は取り扱い対象外であるからです。

既に'www.declude.com'には、私のほうからつたない英語で脆弱性のレポートをメールにて報告済みですが、現段階ではまだ脆弱性が修正されておりません。

予想される最悪の脅威は次のようなものです。同サイトになりすまし、無害なウイルスを送付すると偽ってバックドアや有害なスクリプトやバイナリープログラムなどをメールで配信される行為、もしくはダウンロードさせられてしまう行為などが考えられます。

本日記をお読みになられている読者の皆さんの大部分はそのような危険性に陥る、または、騙されることがないかとは存じますが、念のために御報告、ないし、申し上げます。対処法は以下の通りです。

同サイトにアクセスすることをおやめ下さい。IEのユーザならば、念のために同サイトを制限付きサイトゾーンに登録しておくことを是非に、お勧め致します。

6/28には、まことに申し訳ない記事を日記に書いてしまいました。重ねてお詫び申し上げます。なお、今私がこの記事を書いていること自体、不正アクセス禁止法関連に抵触するかどうか私にはわかりかねます。脆弱性そのものは書いていませんので該当せず、とは思いたいところですが忸怩たるものがあります。民法的に問題があるのかもしれません。私にはわかりかねます。

以下の記事は何が起きていたのかを記すために抹消せず取り消しだけをかけておくことと致します。'www.declude.com'の評判を貶めるために行っているのでなく、利用者の皆さん、当日記の読者の皆さんに降りかかるかもしれない危険性、あるいは蓋然性を放置するわけにはいかないと決心した次第です。記事を書いたこと、かなり後悔しておりますが、いたしかたありません。我が身かわいさゆえの身勝手な行動でないことだけは信じて頂きたくお願い申し上げますとともに改めまして深くお詫び申し上げます。

なお、最後に、本脆弱性を匿名でお教えくださった方に感謝申し上げます。

以上、6/30 21:39 追記

無害なテスト用ウイルスを色々なヴァリエーションで送ってくれる

使っているアンチウイルスソフト製品のウイルス検知・通知の「癖」を把握しておくことは意味のあることかも知れません。電子メールで無害なテスト用のウイルスを送信してくれるサービスとして今回は、DECLUDEのTest Virus Sender を御紹介してみます。テスト用に無害なウイルスとして設計されていることで著名なeicar.comを、これでもかこれでもかとヴァリエーションをつけて送信してくれるのです。例えば、Tests for detection of the Partial (Fragmented) Vulnerability (all mailserver AV programs need to catch this).とかね♪。あなたの使っているアンチウイルスソフトアンチウイルスサービス(サーバ側)に意外な弱点があるかも・・・ですよ?

効能

There are lots of different ways that attachments can be sent through E-mail. Because of this, we have a number of different choices for sending the eicar.com file. Your anti-virus software should catch them all (except 'eicarprescan' and 'eicarclsid', which do not have to get caught). If your virus scanner does not detect some of these files, it may allow some viruses through!

DECLUDE - Test Virus Senderより。

意訳するとこんな感じでしょうか。『電子メールで添付ファイルが送られる方法はたくさんあります。それゆえ、the eicar.com file を 送信する方法をいくつか私達は選びました。あなたがお使いのアンチウイルスソフトウェアはこれらを全て検知しなければいけません。(但し例外があります。'eicarprescan'と'eicarclsid'です。これらは検知される必要はありません。)もしもあなたのウイルススキャナーがこれらのファイルのいくつかを検知できないようならば、ウイルススキャナーはウイルスの通過を見過ごしてしまいます!』

実際にやってみた

意外とビックリ。ウイルスとしてどのタイミングで検知するのか(あるいはしなかったりするのか)演習になって非常に面白かったりしました。ヒューリスティックとやらで検知したのを見たのは生まれて初めてだったり。お使いのアンチウイルス製品では統一的な検知・通知処理をなさっているでしょうか?また、メールサーバ側やISP側のアンチウイルスサービスの挙動はどうでしょうか?

職場などでの標準的な端末におけるウイルス検知の挙動はどうでしょうか?事前に各自に配布してある運用ガイドの説明と一致していますか?初心者が勘違いすることはありませんか?

っていうか手元では『電子メールスキャンとしては』貫通したのがあって焦っていますが(汗)まぁ実行しようとしたら警告はそりゃ出るのですがね(汗)いいのかなぁ?と皆様を煽ってみたりするテスト。

IPA

framesetなのねん>https://isec.ipa.go.jp/inq/menu/index.jsp