| MozillaZine.jp フォーラム https://forums.mozillazine.jp/ |
|
| Cacheでウイルスが検知されることへの対応方法 https://forums.mozillazine.jp/viewtopic.php?f=3&t=13838 |
ページ 1 / 1 |
| 作成者: | takenaka [ 2013年2月08日(金) 14:00 ] |
| 記事の件名: | Cacheでウイルスが検知されることへの対応方法 |
今回、初めて質問させて頂きます。宜しくお願い致します。 ---- 使用環境 ---- 使用しているThunderbird: Thunderbird 17.0.2 使用している拡張機能・テーマ: なし 使用しているOS,環境: Windows XP Professional SP3 使用しているセキュリティツール(ウィルスチェッカ、ファイアウォールなど): ウイルスバスターCorp.クライアント Windowsファイアウォール InterScan MSS ネットワーク環境: ドメインネットワーク メール環境: 自社のIMAPメールサーバを使用 ---- 質問内容 ---- 起きている現象: 特定のPC1台の下記のローカルフォルダから度々ウイルスが検知されます。 ウイルスは予約検索にて2週間に一度程検出されますが、毎回別のものです。 ウイルスが検知される場所: ・・・\Thunderbird\Profiles\○○○.default\Cache\○\○○ そこで、もしThunderbirdの設定方法でローカルフォルダにCacheを 作成せずに使用する方法があればと考えていますが、そのような方法はあるのでしょうか? なお、メール環境は自社のIMAPメールサーバを使用しており、 これができればローカルフォルダにウイルスが保管されることもないと考えています。 これまでに、Thunderbirdの設定で一時ファイルを残すような設定は全て解除してみましたが、 Cacheにて検出されてしまいます。 <オプション→セキュリティ→迷惑メール> 「迷惑メールであると手動でマークしたときに次の処理を実行する」のチェックを外す 「迷惑メールと判断したメッセージを既読にする」のチェックを外す 「迷惑メール適応フィルタのログを有効にする」のチェックを外す <オプション→セキュリティ→ウイルス対策> 「受信したメッセージは個別の一時ファイルとして保存してからメールボックスに移動させる」のチェックを外す <アカウント設定→サーバ設定> 「終了時に受信トレイを整理(expunge)する」のチェックを外す <アカウント設定→迷惑メール> 「迷惑メールと判断された受信メッセージを次のフォルダへ移動する」のチェックを外す 以上、宜しくお願いいたします。 |
|
| 作成者: | kiki [ 2013年2月08日(金) 15:26 ] |
| 記事の件名: | Re: Cacheでウイルスが検知されることへの対応方法 |
まず、検知されるというウイルスについてです。 キャッシュにウイルスが潜んでいる、その可能性はゼロではありません。 が、特定の PC のみで検知されるという現象から、特定の環境条件が影響している可能 性も、排除できないと感じます。 takenaka さんが書きました: 特定のPC1台の下記のローカルフォルダから度々ウイルスが検知されます。 ウイルスは予約検索にて2週間に一度程検出されますが、毎回別のものです。 1.まず、特定の PC のみで検知されるウイルスが、ウイルスなのかの検証です。 検知したのは、「ウイルスバスターCorp.クライアント」なのか「InterScan MSS」 なのかは不明ですが、 確認してみましょう。 本当にウイルスならば、その悪影響の程度に関係なく、セキュリティ上から、その 侵入経路を明らかにして、その対策を講じて、安全が確認できるまでは、その PC と Thunderbird の使用を、即時禁止すべきです。 企業・団体などの組織内の利用ならば、当然かと思われます。 2.該当 PC 以外に、その検知されたウイルスを含むキャッシュファイルをコピーなど しても、同様に検知されるものなのでしょうか。 他の PC でも Thunderbird を利用すれば、同様にウイルス検知されるのでしょう か。 該当 PC のみで起きている現象のようですので、その環境条件の検証もおこなった ほうがいいように思います。 takenaka さんが書きました: そこで、もしThunderbirdの設定方法でローカルフォルダにCacheを 作成せずに使用する方法があればと考えていますが、そのような方法はあるのでしょうか? オプションの [詳細] > [ネットワークとディスク領域] > [ディスク領域] で、ページキ ャッシュの容量を 0 (ゼロ)とすれば、キャッシュは、ほぼ保管されなくなります。 がしかし、キャッシュを保存しないようにする対処は、ウイルス検知に対するセキュリ ティ対策ではありません。 先にも書いたように、ウイルス検知される原因を突き止めて、その対処をおこなうのが、 先決でしょう。 |
|
| 作成者: | takenaka [ 2013年2月12日(火) 11:45 ] |
| 記事の件名: | Re: Cacheでウイルスが検知されることへの対応方法 |
ご回答頂きありがとうございます。 1.これまでのものは全て「ウイルスバスターCorp.クライアント」の方で検知しており、結果は 隔離となっています。 現在対処としては、Thunderbirdの使用は禁止させており、これまでのメールの付属情報 からこのようなメール自体を弾くことができないか解析を進めています。 2.該当のPC以外で検知されるかどうかは、確認していなかったですが、 一度、環境条件の検証として行うか検討してみます。 キャッシュを保管しない方法としてこのような設定があるとは知りませんでした。 教えて頂きありがとうございます。 仰るように、まずはウイルス検知される原因を突き止めを先決に進めて参ります。 |
|
| 作成者: | kiki [ 2013年2月12日(火) 21:29 ] |
| 記事の件名: | Re: Cacheでウイルスが検知されることへの対応方法 |
【補足です】 takenaka さんが書きました: 1.これまでのものは全て「ウイルスバスターCorp.クライアント」の方で検知しており、結果は 隔離となっています。 トレンドマイクロ社のサポートに、詳細について、確認されるのをお勧めします。 例えば、 ・それは、ウイルスなのか、マルウエアなのか、スパイウエアなのか、スクリプトなのか、 何なのか ・どういった危険性や、有害性があるのか ・それが、なぜ検知されて、隔離されるのか ・具体的な対処は何なのか ・そもそも Thunderbird や、そのキャッシュにきちんと対応しているのか などです takenaka さんが書きました: 現在対処としては、Thunderbirdの使用は禁止させており、これまでのメールの付属情報 からこのようなメール自体を弾くことができないか解析を進めています。 メールに問題のあることから、ウイルスが検知されるのならば、同じ社内 IMAP サーバを 利用されている他の PC や社員の方々のところでも、同様に、ウイルス検知されないとお かしいと感じます。 もっと云えば、社内のサーバシステムのところで、ウイルスが検知されていないというこ とにもなりかねません。 キャッシュ処理で、ウイルス検知される該当メッセージが判明したら、それを他の PC で、 社内 IMAP サーバを介して、送受信させてみたら何かわかるでしょう。 他の PC で利用している、メールクライアントでも同様です。 つまり、問題が Thunderbird で起きているからといって、必ずしもその問題とは限らない 可能性もあるということです。 Thunderbird を利用している PC だけが、その特定条件になるのならば、Thunderbird の キャッシュを検知する側の問題も、あるかも知れないということです。 takenaka さんが書きました: 2.該当のPC以外で検知されるかどうかは、確認していなかったですが、 一度、環境条件の検証として行うか検討してみます。 一般的に、Thunderbird に限らず、多くのメールクライアント側では、メッセージの送受 信や、その表示などに、広くキャッシュが利用されています。 一方、セキュリティ対策ソフト類は、メッセージ送受信の際にポート監視(スキャン)や、 キャッシュ時監視(スキャン)、メッセージ保管時監視(スキャン)などをおこないます。 単なる想像ですが、キャッシュとしてデータを生成・利用する際に、ウイルスが検知され、 メッセージ自体に対しては、ウイルスが検知されないとしたら、「ウイルスバスターCorp. クライアント」が、Thunderbird そのものか、Thunderbird のキャッシュ処理に、対応し ていないのではと思われます。 そのあたりも、きちんと確認・検証されたほうがいいと感じます。 |
|
| 作成者: | 偶然的通行人 [ 2013年2月13日(水) 08:52 ] |
| 記事の件名: | Re: Cacheでウイルスが検知されることへの対応方法 |
遅ればせですが、横から失礼します。 takenaka さんが書きました: 仰るように、まずはウイルス検知される原因を突き止めを先決に進めて参ります。 原因究明の一助になればってことで、いくつか......。 十分ご存知のこともあろうかと思いますし、kiki さんのアドバイスと若干重複する部分もありますが、話の流れとして一通り書きます。くどい点があったらごめんなさい。 (以下、便宜的に「ディスクキャッシュ」という表現を使います。念のため末尾の【注記】もご参照ください。) 【プロファイル配下の Cache フォルダとは】 Thunderbird のプロファイル配下に作られる Cache フォルダは、Thunderbird 的には「ページキャッシュ」あるいは「ディスクキャッシュ」と呼ばれるもので、Web アクセス(http / https での通信)をともなう場合に生成・利用されるようです。 典型例としては、リモートコンテンツを許可した HTML メールを HTML 形式で表示したとき、フィードコンテンツを Web ページ形式で表示したとき、などです。 常時 [添付をインラインで表示] にしている場合も、添付ファイルの種類とそれに対するユーザーの操作によっては Cache が生成されるケースはあるかもしれません。 今回は該当しないようですが、ある種のアドオンを導入していると、メール本文に記されたリンク先の Web ページを、Thunderbird 内でブラウザのように開くことができますが、このようなケースでも利用されると思います。 この利点は、上記のケースで一度表示したことのあるコンテンツをオフラインでも表示できること、頻繁なメッセージの切り替えに際しての表示の高速化 ―― といったあたりでしょうか。 しかし「ディスクキャッシュ」は、プレーンテキスト形式はもちろん、リモートコンテンツを含まずメッセージソースだけで全てを表示できる HTML 形式の電子メールに対しては、生成も再利用もされません。 【Cache 内を定期スキャンしたときに検出される想定シナリオ】 ・リモートコンテンツを含んだメッセージを受信した段階では、それに対応するキャッシュは生成されません。 ・ウィルス対策ソフトがリアルタイムにそのメッセージソースを検査しても、そこに不正なコードが含まれていなければ、ウィルスとして検知はされません。 ・しかし受信後に、リモートコンテンツを許可してそのメッセージを表示すると、そのメッセージ内に指定された要素が Web アクセスを通じて読み込まれます。 ・ウィルス対策ソフトが、Thunderbird の Web アクセスに対応していなければ、その段階で適正なチェックがおこなわれない可能性は考えられます。 ・Thunderbird が Web アクセスを通じて読み込んだコンテンツに不正なコードが含まれていたとして、それはそのまま Cache フォルダ内にキャッシュファイルとして保存されます。 ・その後、ディスク内の定期的なファイル検査をおこなったとき、Cache フォルダ内のファイルがはじめてウィルスとして検出される可能性はありえます。 上記はあくまで仮説です。本当のところは具体的に調べてみないとわかりません。 いうまでもないことですが、キャッシュは、元になるデータを Thunderbird が読み込んだ結果として生成・保存され、そして再利用されるものです。 「ディスクキャッシュ」を無効化してウィルス対策ソフトの定期的なファイル検査を回避しただけでは、不正なコードを含むコンテンツへのアクセスとロードを遮断することにはなりません。 もっとも、問題のデータがどういうものかわからないので、読み込んだだけで被害をもたらすものかどうかは不明です。Thunderbird もそれなりに安全対策はとっていますから、何らかのプログラムやスクリプトを安易に自動実行するようなことはないはずですが、攻撃は日々巧妙化していますし、万全とは言い切れないので油断は禁物です。 加えて、ウィルス対策ソフトの誤検知である可能性も考えられるのであれば、今後のためにもそのあたりの確認をきちんとしておいたほうがいいと思います。 この方面の対処としては、検出・隔離されたデータをもとに、ウィルス対策ソフトベンダーのサポートに相談してみてください。 【Cache の無効化】 kiki さんからアドバイスのあった方法でも同等の効果は得られますが、次の方法で「ディスクキャッシュ」それ自体を明示的に無効化することも可能です。 (1)メニューバーの [ツール] -> [オプション] または アプリメニューの [オプション] -> [オプション] から開くオプショ設定ウィンドウの、[詳細] -> [一般] -> [高度な設定] にある [設定エディタ] ボタンを押す。 (2)注意書きが表示されるので、よく読んでから [細心の注意を払って使用する] を押す。 (3)詳細設定画面(about:config)が表示されるので、[検索] 欄に browser.cache.disk.enable と入力する。 (4)下の項目ペインに設定名 browser.cache.disk.enable がリストアップされる。初期値は true 。 (5)この項目名をダブルクリックするか、右クリックから [切り替え] で false に変更する(太字になる)。 (6)そのまま詳細設定画面を閉じる。 (7)念のため、Thunderbird を再起動する。 (注)プレーンテキスト形式主体の電子メールの運用なら、「ディスクキャッシュ」を無効化しても問題はないはずです。 しかし、リモートコンテンツを含む HTML メールを多用し、しばしばオフラインで利用するなどの運用条件であれば、これを無効化することで利便性が著しく低下する可能性はあります。 なお、「ディスクキャッシュ」を無効化しても、Thunderbird の稼動中は「メモリキャッシュ」が常に働いています(メモリキャッシュの無効化は非推奨)。 【注記】 「ディスクキャッシュ」の本来の意味は、"ハードディスクの読み書きの効率化のために利用されるメモリ上のキャッシュ領域" のことです。 Firefox や Thunderbird に関して俗にいわれる「ディスクキャッシュ」は、"ハードディスク(SSD 、RAM ディスク含む)に保存される Web データのキャッシュ" といった意味で、原則として Firefox や Thunderbird の次回以降の起動において再利用可能な形で保持されるものを指しています。 類義語としては「メモリキャッシュ」があり、これは文字通り "メモリ(RAM)に一時的に保存される Web データのキャッシュ" という意味です。データの読み書きは高速ですが、Firefox や Thunderbird の稼動中だけ有効で、終了とともにメモリ上のキャッシュデータは消えるため、次回以降の再利用はできません。(そのため、「ディスクキャッシュ」の存在意義があるわけですが...。) 以上、ぼくが経験的に把握した事柄ですが、参考になれば...。的外れなことを書いていたらすみません。 |
|
| ページ 1 / 1 | All times are UTC + 9 hours |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|