セキュリティ雑感

前編も書き直しました。m(_ _)m

NIMDAの翌年の６月にセキュリティホールmemoMLでこんな議論がありました。

> 　M$なメーラーを使用していても、最新のパッチがインストールされてい
> れば感染しないのでは？
ＭＳのメーラがぼろくそに言われるのは、ＨＴＭＬメールの「プレビューしただけで感染」でしょうか。ニムダの頃は「恐ろしい話」でしたが、今の時点では「恥ずかしい話」ですね。あれだけ言われているのにパッチを当てていなかったということですから。おっしゃる通り、ちゃんとバージョンアップして、パッチも当てていれば、まだセキュリティホールはあるにせよそれほど危険なものではないと私も思います。
>　・・・・M$なメーラーでもOutlook等は「Outlook 2000 SR-1 電子メール セキュリ
>　ティ アップデート」等をインストールしていれば感染する危険性は、他のメーラー
>　より少ないと思います。
「電子メール セキュリティ アップデート」は、「WORM_FBOUND.B」がアンチウイルス各社の対応以前に（正確には当社に届く前に）飛んできたとき、すんでのところで、この機能（実効形式の添付ファイルは受け取らない）で防げたこともあります。
－－－－－－－－－－－－－－－－－－－－－－－－－－
・MIME Content-Type を無視して、filename の拡張子のみで判断する
  （んで、自動的に実行しちゃう）とういのもあります（した）。"hogehoge.mp3.exe" なんて添付ファイルのメールが送られてきたりするわけですね。
>・・・・まだセキュリティホールはあるにせよそれほど危険なものではないと私も思います。
・メールソフト全体でみれば、一番危険な部類に入る
・安全対策（警告等）がとにかく少ない
・ユーザが多いので、一番狙われる（アドレス帳が）
というのが率直なとこです。
－－－－－－－－－－－－－－－－－－－－－－－－－－
私は、下記の由田さんの意見には同意できません。Microsoft 以外のMUA では、仰るのとは逆に、よほどのことがない限り IE プレビュー機能以外の経路からウィルス感染してしまうことはないと思いますが、どうでしょうか。
つまり何がいいたいかというと、「ほかの」MUA に Microsoft 製のMUA と同程度以上、ウィルス感染やバッファオーバフロー、また IE と連携した、*IE 側の*セキュリティホールをついたワームの被害が考えられるか、という質問に置き換えて考えていただければと思います。
私はこの質問には No といいます。IE と連携が深く行えるのはまぁよいとしましょう。焦点としているのは、そこではないです。
焦点とするのは、ウィルス感染などの障害が発生した場合、影響をどの程度直接受けてしまうかという話です。これまでのセキュリティホール含めた障害の履歴およびそのそれぞれの内容を考えると、将来にわたっ
て同じことが繰り返されない保証がないという点が問題です。
つまり、潜在的にリスクがある場合、それをどこまで回避しているかという問題です。

３番目の山本さんぐらい深い洞察で主張されるなら良いのですが、昔の結論だけが一人歩きしてほとんど「都市伝説」と化しているのがとても気になります。

ところで、セキュリティホールmemoMLでの議論ですが、2番目、3番目の方の意見には根拠と言うか、背景があります。2001年から2002年頃は私にとっても暗黒の時代でした。（苦笑）
Windows98が多く、XPはまだ浸透していない。あっちにもこっちにもセキュリティホールで「もう何が出てきても驚かねーぞー！」状態でしたから。

「ActiveX をオフ→ http://www.ipa.go.jp/security/ciadr/browser.html を参照」

は今で言うと「インターネットゾーンを高にしましょう」で、究極の安全策かに見えましたが、あえなくひっくり返ります。のちにMS02-005（2002.2.11）で解消されましたがこのとき（2001/12/26）は

現在当社ではＩＥのセキュリティ設定で「インターネット」ゾーンの「アクティブスクリプト」を「無効」に設定してもらっています。これらの設定で
①「ＨＰを見ただけで知らないうちに感染してしまう」
②「ＨＴＭＬメールを開いたとたんに感染してしまう」
と言うこれまで発見されている悪質なウイルスの大半（私の知ってる範囲では全部）がガード出来ます。　が・・・・まだ穴があるようです。
私のＰＣは当然ＩＥのセキュリティ設定は行っていますが、ある実験プログラムを動かしたらスクリプト（隠れプログラム）が動きました。IE5.5～6.0のHTML+TIME2の機能なんだそうです。
幸いこれを悪用したウイルスはまだ無し。
不幸にもマイクロソフトからの情報はまだ無し。

その後の社内での会話

レジストリをいじる？　確かに実証コードは動かなくなったけど、こんなこと女子社員にまでやらせられないじゃん！
インターネットオプション＞詳細設定＞「Webページのアニメーションを再生する」
のチェックを外んでもいいみたい。
サウンド、ビデオともオフにしとくと良いよね。
こんな細かい設定までほんとにみんなやってくれるかな～。(;^_^A アセアセ…

と言うような時代背景でした。

たしかに会社ではOutlookExpress　じゃなくてOutlookを使ってますからこれの「Outlook 2000 SR-1 電子メール セキュリティアップデート」さえ当てていれば新種ウイルスだって安心していられたんですが。これは今で言う「ウイルス防止機能」です。exeがメールで受けどれないと言うやつ。でも世間一般ではそんなもん浸透していなかったんですね。

OutlookExpress　はダメダメと当時は私も思っていました。次から次にセキュリティホールが明かされることと、諸悪の根源HTMLメールが塞げないのです。Outlookで出来るようになりましたがその方法はレジストリの変更、そんなの出来るうちに入るかい！
当時OutlookExpressでは全然ダメで、やっとOutlookExpress6.0SP1だったかな？　Outlookでも簡単に出来るようになったのはOutlook2003からです。ここまで来てやっと腰をおちつけることが出来るようになりました。

もっとも本当に安心できたのはパッチとウイルス発見日の対応表を作ってからですね。
パッチさえあてれば事実上大丈夫です。あとは漏れなく当てさせるだけ。いやこれが一番難しいのですが。(;^_^A

３番目の方の危惧の全部とは言いませんが、大部分を占めるのは当時のマイクロソフトのメーラはHTMLメールだからです。HTMLメールは送られてきたHTMLコードを受け取ったＰＣのブラウザが解釈して実行します。この「解釈して実行」が問題なんです。このときにセキュリティホールがあると騙されて実行してはいけないもの＝ウイルスプログラムまで実行してしまうと言う訳で。テキスト表示の場合はこの「解釈して実行」と言う処理はありません。ですからまだパッチも出ていないセキュリティホールをウイルス作成者だけが知っていたとしても、テキスト表示であるかぎり隙を突かれることはありません。

> それから文中のＵＲＬをクリックしたり添付ファイルさえ開かなければメール自体を読むことは危険が無いのでしょうか？

一応そうです。
一応と言うのは言葉通りにはその通りなんですが、HTMLメールの場合は「騙しの罠を仕掛けやすい」と言うことがあります。したがって

「HTMLメールではなくテキスト表示で、かつ文中のＵＲＬをクリックしたり添付ファイルさえ開かなければ」

と言いかえた方が安全です。
その範囲でならプレビューなどどうでも良いと私は思います。
但し、それは知っていてもより慎重になさっている方も沢山いらっしゃるでしょうが、それはそれで良いとおもいます。 「必須ではない」と言いたいだけですので。

セキュリティってのはリスク管理です。で、リスク管理と言うのはリスクの程度、発生率を見積もるところから始まります。そして効率的な対策から何層にも重ね塗りしていきますが、かといってリスクゼロなんて考えません。それじゃリスク管理じゃないです。
問題は有効桁数ですね。個人なら99％安全なら100％とみなす、企業なら99.9％安全なら100％とみなす。銀行だ、99.99％安全なら100％とみなすとか。