日曜日, 8月 05, 2007

McAfee VirusScanはひどいことをする

 勤務先ではウィルス対策ソフトとしてMcAfee VirusScan Enterprise 8.0i(マカフィー・ウイルススキャン・エンタープライズ←これは検索ワード)の使用が指示されている。
 8月3日、受信メールにW32/Zhelatin.gen!emlというウィルスが検出された。本文中のURLで悪意のあるサイトへ誘導し、アクセスしたPCに悪質なソフトウェアをインストールさせようとするスパムをマカフィーではウィルスメールとして扱っているものである。ダイアログに駆除失敗のメッセージが表示され、「メッセージを削除」というボタンがあったので、てっきりそのウィルスメールだけが削除されるのだと思ってそれをクリックした。その後、メーラーBecky!でスパム用フォルダ(実は私は、統計をとるために、スパムをごみ箱でなくスパム用フォルダに振り分けている)を開いたら、インデックスファイルとメール保管ファイルとの不一致が検出され、修復の操作をしたら、8月1日以降にたまっていたスパムが根こそぎ消えていた。
 メカニズムはこうである。Becky!はメールを「.bmf」という拡張子のファイルに約640kB(デフォルト設定のサイズ)ずつまとめて保管する。VirusScan Enterpriseは、POP通信を監視してウィルスメールを発見して通信をブロックするのではない。メーラーがウィルスメールをファイルに保管しようとした時にディスクへの書き込みをブロックする。Becky!は、私が設定した振り分け条件によってスパムをスパム用フォルダに振り分け、その配下のメール保管ファイルに、受信したスパムを追加し、ディスクに書き込もうとした。VirusScanは、その時にウィルスを検出し、駆除に失敗したからと、メール保管ファイルを丸ごとウィルス隔離用フォルダへ移動してしまったのである。
 事件はそれだけに終わらなかった。当日は金曜日で、ハードディスクの全スキャンのタイマー起動を設定していた日だった。スパムの統計をとるために、7月に受信したスパムをサブフォルダに格納していたが、そこにこのウィルスが検出された。7月からばらまかれていたこの種のスパムが見逃されており、8月3日の全スキャンで検出されたのだろう。全スキャンが終わった後、そのサブフォルダでもインデックスファイルとメール保管ファイルとの不一致が検出され、修復の操作をしたら、保管していたスパムが200通余り減っていた。200通余りのスパムをまとめたメール保管ファイルがウィルス隔離用フォルダへ移動されてしまったのである。
 私は、スパムを98%以上の確率でスパム用フォルダに自動振り分けする設定をしていた。だから、ウィルスメールもうまくスパム用フォルダに振り分けられ、ウィルスメールの巻き添えで消えてしまったのはスパムだけで済んだ。しかし、ウィルスメールが受信箱に入ってしまった場合、そこに入っていた多くの重要なメールが巻き添えになっていただろう。ほかの社員からウィルス対策担当にたくさんの苦情が舞い込んでいたのではないかと思う。
 ほかにもVirusScan Enterpriseには不満がある。私が自宅で使っているトレンドマイクロのウイルスバスターに比べて、メールの受信が遅い。ディスクの全スキャンに、ウイルスバスターよりもCPUリソースをたくさん食って、しかも何倍もの時間がかかる。古いメールのフォルダを削除する前には、あるメールフォルダ内のファイルの検査が無限ループして、ディスクの全スキャンがいつまでたっても終わらなかった。ほかのウィルス対策ソフトでは起こらない誤検知が、あるフリーウェアのアーカイブファイルと、あるウェブサイトへのアクセスで起こったこともある。
 私は、シマンテックのNorton AntiVirusも使ったことがある。つまり、メジャーな三つのウィルス対策ソフトの使用経験がある。その中でウイルスバスターが最も使いやすいと思う。だから人にはウイルスバスターを勧めているのだが、今後はさらに「マカフィーだけは選ぶな」とも言うつもりである。

(8月6日追記)
 8月2日に受信し、3日にはディスクの全スキャンで見逃されていたスパムが新たにW32/Zhelatin.gen!emlウィルスとして検出された。悪意のあるサイトのURLがウィルスパターンとして追加されているようである。
 これがきっかけで、ほかのメールを巻き添えで消すことなく処置する方法を工夫できた。ウィルスアラートの「メッセージを削除」ボタンは決してクリックせず、「ウィンドウを閉じる」ボタンをクリックしてアラートを黙殺する。ディスクアクセスがVirusScanによってブロックされるのでWindowsが「フォルダにアクセスできません」というアラートを出すが、気にせずに「OK」をクリックする。それから、いったんVirusScanの動作を停止させた上で、メーラーを操作してスパムを完全に(ごみ箱にも残さないように)削除すればよい。要は、VirusScanに処置させずに自分で処置すれば、ほかのメールを消さずにすむ。
 それにしても、ユーザーフレンドリーでないことはなはだしいウィルス対策ソフトではある。

(8月9日追記)
 8月6日追記で書いたことは間違いだったとわかった。受信したメールが即刻W32/Zhelatin.gen!emlウィルスと判定された場合は、ウィルスアラートが出た時点で時すでに遅し。もうメール保管ファイルがウィルス隔離用フォルダへ移動されてしまっており、ほかのメールが巻き添えで消えてしまっている。PCに熟達していれば復活させることはできるが、ウィルスファイルが隔離されたフォルダからファイルを選び出して元の位置へ戻すという危険な操作が必要。万人向けの安全確実な復活手順を説明することはとてもじゃないができない。
 お勧めできる安全確実な対処策はただ一つ。問題点だらけのVirusScanを捨ててほかのウィルス対策ソフトに乗り換えることである。

(関連記事)
マカフィーのサポートはひどいことを言った

4 件のコメント:

Kawamata さんのコメント...

こんにちは。いつも拝読しております。

ウイルス、ワーム本体を保存するのが目的でない(すなわち、添付ファイルは不要でヘッダや本文だけ保存すればよい)のであれば、「添付ファイルを別ファイルに分離保存」をチェックすることで、自衛(?)する方法もあるのではないでしょうか?

deo さんのコメント...

kawamataさん、こんにちは。いつもご購読ありがとうございます。
 W32/Zhelatin.gen!emlウィルスは、メール本文に書かれた悪意のあるサイトのURLをウィルスパターンと扱うものなので、Becky!で添付ファイルの分離保存をしているかどうかとは関係ないのです。

Kawamata さんのコメント...

あぁ、そうでしたか。W32/Zhelatin.gen!emlの特性まで知らずにコメントしてしまい、失礼致しました。

deo さんのコメント...

 いえいえ。(^^)
 8月6日追記の部分を今日7日にちょっと書き直しました。ほかのメールを巻き添えにせずにW32/Zhelatin.gen!emlのメールを消すにはVirusScanの動作を止める必要があることがわかりました。
 私が会社のウィルス対策担当よりも早く社内に対処法の通達を出したんですよ。私はセキュリティポリシー担当なんですけど。