Outlook Expressのプレビューについて
某掲示板でこういう質問が来ました。
> OEはプレビューオフにしておりますが、これをオンにするのは危険なのでしょうか?
> 基本的にほとんどのメールは文頭だけ見てすぐ削除しますので(ML関係)、プレビューオンだと楽なんです。
> それから文中のURLをクリックしたり添付ファイルさえ開かなければメール自体を読むことは危険が無いのでしょうか?
昔からある議論ですね。
ウイルス関係の個人のサイトには「オフにしましょう」と書いてあるものが多いとおもいます。
ただし、個人サイトではいつ頃書いたコンテンツ? ってのも沢山ありますが、それなりに権威の有りそうなところではトレンドマイクロのサイトにもありました。
「Outlook
Expressでメールを自動的にプレビューさせない」
http://www.trendmicro.com/jp/security/general/winsec/ie-oe/winsec9.htm
その中に
> Internet Explorerのセキュリティホールを利用してメールのプレビューと同時に ウイルスファイルを実行するものがあります。
しかし以前は別な書き方がしてあったように思うのですが、「セキュリティホールが塞がれていない場合にはプレビューによってウイルスが自動起動する場合があります」と言うような。別のページなんでしょうか?
そもそもの発端NIMDA.A
このプレビューオフが言われだしたのは2001年9月のNIMDA.Aからだったと思います。私の勤務先での第一報は2001/09/19 (水) 15:4 私の前任者の緊迫した書き込みから。
①マイクロソフトのサイトは安全が確認されるまで参照するな(感染ページがある)。
②IEの設定でActiveX をオフにしろ。
その直後16:13にわたしから
> W32.Nimda.A@mm は既にノートンで対応済み、各自のPCにも自動配布されています
「安全が確認されるまでプレビューはするな」もあったと思っんですが、何処にも書いてありませんでした。私の勤務先では口コミで伝わったようです。翌日PCの管理セクションから
ただし、亜種や変種がでる可能性が高いので下記の点に注意して下さい。
・心当たりのない添付ファイル付のメールは開かない → 管理課へ連絡!
・件名のないメールは開かない → 管理課へ連絡!
・IEのセキュリティーレベルを適切なものに変更する(ActiveX をオフ)
→ http://www.ipa.go.jp/security/ciadr/browser.html を参照
・IEを5.5SP2に更新する
Nimda.Aが爆発的に広がった理由はMS00-075と言うIISのセキュリティホールを使ってWEBサーバに感染したこととMS01-020「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する」 というセキュリティホールを狙ってメールを受け取って表示した瞬間に感染を広げたことです。
でプレビューオフですが
そうしたウイルスのダイレクトアクション、つまりMIMEのセキュリティホールMS01-020でIEがHTMLメールの本文を表示したときに添付ファイルを勝手に実行してしまうから「本文の表示もいけない!」。これがの理由です。直感的で判りやすいですね~。(苦笑)
言われ始めたNIMDAの時から緊急回避策でしかありません。緊急回避策としてだってMS01-020
の問題を緩和する要素の方が正攻法だと思います。
電子メール メッセージが表示されるセキュリティ ゾーンでファイルのダウンロードが無効になっている場合、この脆弱性が利用されることはありません。
ただし、ファイルのダウンロードが無効となっている設定は、既定の環境では「制限つきサイト」のみとなります。
ただ誰もそこまでは読まずに前述のように反応したのではと。
ところで私の勤務先の掲示板に投げ込まれた「IEの設定でActiveX
をオフにしろ」は何だったんでしょう? ちゃんと根拠があるのか「きっとまたあれだろう!」と言うことだったのか、当社で第一報を投げた人間はおそらく英文セキュリティニュースかなにかで気が付いて速攻で関連情報に目を通し警報を発した訳ですから後者のような気がする。多分今本人に聞いても「忘れたよそんな昔のこと!」でしょうね。(笑)
根本的には
根本的には当時ならIE5.5SP2に更新することでした。
単体のパッチならその半年も前の2001年3月にリリースされているんです。誰も知りませんでしたが。あの当時のマイクロソフトのサイトは「こいつら見せたく無いんじゃないか?」なんて言いたくなるぐらいパッチ情報は探しにくいものでした。フキフキ
"A^^;
このセキュリティホールはその後に大流行したKLEZシリーズでも悪用され、2002年ぐらいまでのメールウイルスはこれの悪用一色と言う感じでした。それで「汎用ウイルス防御策」みたいに思われてしまったんでしょう。
ところが2003年に入って出てきた新種ウイルスではこれの悪用はピタリと止まります。私のメモでは1/7の Lirva.がMS01-020
の脆弱性、そのあとのセキュリティホール狙いは2003/05/24のJAVA_BYTEVER.AでMS03-011
の脆弱性。これは今でも健在ですね。
おっとBugbear.Bは2003年6月5日だったか。こいつはMS01-020を使います。
2003/
8/1のMimail.A はMS03-014狙いですね。でもMimailはフィッシング詐欺を仕掛けるウイルスとしての方が有名です。まあNetsky-Pのように思い出したようにMS01-020も使うやつはありましたが、メインではありません。
なんとなく、Bugbear.Bでウイルスのある時代が終わり、Blasterで新しい時代が始まったような。(苦笑)
| 固定リンク
トラックバック
この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/3000/1724605
この記事へのトラックバック一覧です: Outlook Expressのプレビューについて:
» [sec]HTMLメール [Palm84 Diary]
>そもそも「HTMLを使わない」あるいは「スパム・ウイルスなどのHTMLメールは確認せずに即削除」されてる方には無関係な問題だと思いますけども・・ Outlook(2002以上)/Outlook ... [続きを読む]
受信: 2004.12.11 12:11 午後
コメント
yassy さん毎度。(^o^)
> 見てる人いたらですが...。
いや、ここよりは大勢の方が見ていらっしゃると思います。10倍? 100倍?
> OEだから危険という訳ではなく、
> OEだと【設定によっては】危険になる可能性があるというのが正確なんだと思います。
そうなったのはつい最近のことで、以前はほんとにダメダメだったですね。(苦笑)
投稿 GAN | 2004.10.20 10:43 午後
無茶苦茶勉強になりました。
で、自サイトを見直して激しく耳が痛く...(笑
XP SP2用に書き直さねばと(見てる人いたらですが...。)
OEだから危険という訳ではなく、
OEだと【設定によっては】危険になる可能性があるというのが正確なんだと思います。
他のメーラーでもHTMLの添付ファイルをIEで開いちゃうと、逆にOEよりも危険なのではと。
投稿 yassy | 2004.10.20 02:14 午前