2003/10/07 1

メール転送に関わる最近のメール転送に関わる最近のセキュリティ問題セキュリティ問題

2003/10/072003/10/07朝日大学朝日大学

経営学部　情報管理学科経営学部　情報管理学科奥山　徹奥山　徹

okuyama@alice.asahi-u.ac.jpokuyama@alice.asahi-u.ac.jphttp://okuyama.dsl.gr.jp/http://okuyama.dsl.gr.jp/

2003/10/07 2

今日のトピックス今日のトピックス電子メールの基礎電子メールの基礎

電子メールシステム電子メールシステム メールアドレスとメッセージメールアドレスとメッセージ DNSDNS との関係との関係

ウィルスと電子メールウィルスと電子メール

2003/10/07 3

電子メールシステム電子メールシステムMUA(MailMUA(Mail 　　 UserUser 　　 Agent)Agent)MTA(MailMTA(Mail 　　 TransferTransfer 　　 Agent)Agent)DNS(DomainDNS(Domain 　　 NameName 　　 System)System)

MUAMUA MTAMTA

MBMB

MUAMUAMTAMTA

DNSDNSSMTPSMTP SMTPSMTP

POP/IMAP/...POP/IMAP/...mailboxmailbox

2003/10/07 4

MUA(MailMUA(Mail 　　 UserUser　　Agent)Agent)

ユーザアプリケーションユーザアプリケーションメールを読むメールを読むメールを書くメールを書くメールを保存／検索／削除するメールを保存／検索／削除する

UNIXUNIXucbmail, RMAIL, mush, mh, mew, …ucbmail, RMAIL, mush, mh, mew, …

WindowsWindowsOutLook, Netsape Mail, Eudora, PostPet,…OutLook, Netsape Mail, Eudora, PostPet,…

2003/10/07 5

MTA(MailMTA(Mail 　　Transfer Agent)Transfer Agent)

メールの受信メールの受信配信先の決定配信先の決定メールの配信メールの配信

リモートへ、ローカルへ、発信者へリモートへ、ローカルへ、発信者へ（エラー）（エラー）

Store and ForwardStore and Forward

2003/10/07 6

MTA ProgramsMTA Programs

sendmailsendmail http://www.http://www.sendmailsendmail.org/.org/ qmailqmail http://www.http://www.qmailqmail.org/.org/ SMAIL(GNU)SMAIL(GNU) MMDF(Multi-channel Memo Distribution, CSNET)MMDF(Multi-channel Memo Distribution, CSNET) eximexim http://www.http://www.eximexim.org/.org/ VmailVmail http://http://wzvwzv.win..win.tuetue..nlnl//vmailvmail// LSMTPLSMTP http://www.http://www.lsoftlsoft.com/LSMTP.html.com/LSMTP.html PP(X.400)PP(X.400) PostfixPostfix http://www.postfix.org/http://www.postfix.org/

2003/10/07 7

インターネットでのインターネットでのメールの送受信メールの送受信

SMTPSMTP 　－　　－　 SimpleSimple 　　 MailMail 　　 TransferTransfer 　　 ProtocoProtocollRFC821(S)RFC821(S)

TCPTCP のポートのポート 2525 番番ほとんどのほとんどの MTAMTA はは SMTPSMTP の実装を持つの実装を持つ

DNSDNS との連係機能を持つとの連係機能を持つ

2003/10/07 8

SMTPSMTP の様子の様子 ladoga% ladoga% telnet vanessa.dsl.ics.tut.ac.jp 25telnet vanessa.dsl.ics.tut.ac.jp 25 （（ SMTPSMTP への接続）への接続） Trying 133.15.144.8...Trying 133.15.144.8... Connected to vanessa.dsl.ics.tut.ac.jp.Connected to vanessa.dsl.ics.tut.ac.jp. Escape character is '^]'.Escape character is '^]'. 220 vanessa.dsl.ics.tut.ac.jp ESMTP Sendmail 8.9.3/3.7W; Tue, 14 Sep 1220 vanessa.dsl.ics.tut.ac.jp ESMTP Sendmail 8.9.3/3.7W; Tue, 14 Sep 1

999 15:02:04 +0900999 15:02:04 +0900 　　　　（サーバからのコネクションメッセージ）（サーバからのコネクションメッセージ） HELO ladoga.dsl.ics.tut.ac.jpHELO ladoga.dsl.ics.tut.ac.jp 　　（サーバへのメッセージ）（サーバへのメッセージ） 250 vanessa.dsl.ics.tut.ac.jp Hello IDENT:okuyama@ladoga.dsl.tutics.tut.a250 vanessa.dsl.ics.tut.ac.jp Hello IDENT:okuyama@ladoga.dsl.tutics.tut.a

c.jp [133.15.144.7], pleased to meet youc.jp [133.15.144.7], pleased to meet you MAIL FROM:okuyama@ladoga.dsl.ics.tut.ac.jpMAIL FROM:okuyama@ladoga.dsl.ics.tut.ac.jp 　　（発信者のアドレス）（発信者のアドレス） 250 okuyama@ladoga.dsl.ics.tut.ac.jp... Sender ok250 okuyama@ladoga.dsl.ics.tut.ac.jp... Sender ok

2003/10/07 9

SMTPSMTP の様子の様子 (2)(2) RCPT TO:okuyama@vanessa.dsl.ics.tut.ac.jpRCPT TO:okuyama@vanessa.dsl.ics.tut.ac.jp 　（受信者のアドレス）　（受信者のアドレス） 250 okuyama@vanessa.dsl.ics.tut.ac.jp... Recipient ok250 okuyama@vanessa.dsl.ics.tut.ac.jp... Recipient ok DATADATA 354 Enter mail, end with "." on a line by itself354 Enter mail, end with "." on a line by itself This is a test mail.This is a test mail. 　　　　（メール本文）（メール本文） .. 　（データの終わりを示す）　（データの終わりを示す） 250 PAA01454 Message accepted for delivery250 PAA01454 Message accepted for delivery QUITQUIT 221 vanessa.dsl.ics.tut.ac.jp closing connection221 vanessa.dsl.ics.tut.ac.jp closing connection Connection closed by foreign host.Connection closed by foreign host.

2003/10/07 10

メールアドレスメールアドレス発信者／受信者情報として利用発信者／受信者情報として利用ユーザ名＠ドメイン名ユーザ名＠ドメイン名

okuyama@ladoga.dsl.ics.tut.ac.jpokuyama@ladoga.dsl.ics.tut.ac.jpその他の形式その他の形式

%-Hack%-Hack Route AddressRoute Address UUCP AddressingUUCP Addressing

2003/10/07 11

%-Hack%-HackRFC1123(S)RFC1123(S)

user%domain@relayuser%domain@relaysender→relay→domainsender→relay→domain relayrelay に届いた時点でに届いた時点で user@domainuser@domain に書きに書き

換え換え

user%domain%relay2@relay1user%domain%relay2@relay1sender→relay1→relay2→domainsender→relay1→relay2→domain

2003/10/07 12

RouteRoute　　 AddressAddress

RFC822(S)RFC822(S)@relay@relay ：： user@domainuser@domainsender→relay→domainsender→relay→domain relayrelay に届いた時点でに届いた時点で user@domainuser@domain に書きに書き

換え換え

@relay1,@relay2:user@domain@relay1,@relay2:user@domainsender→relay1→relay2→domainsender→relay1→relay2→domain

2003/10/07 13

UUCPUUCP 　　AddressingAddressing

domain!userdomain!userrelay!domain!userrelay!domain!user

host!user@domainhost!user@domain の解釈の解釈““host ! user”@domain (Internet like)host ! user”@domain (Internet like)host ! “user@domain” (UUCP like)host ! “user@domain” (UUCP like)

2003/10/07 14

コメント形式アドレスコメント形式アドレスFull Name <user@domain>Full Name <user@domain>user@domain(Full Name)user@domain(Full Name)user(User Name)@domain(Univ. Name)user(User Name)@domain(Univ. Name)

( )( ) のコメントはどこに入ってもよいのコメントはどこに入ってもよい

2003/10/07 15

メッセージの形式メッセージの形式メールヘッダメールヘッダ (header)(header) と本文と本文 (body)(body)

RFC822(S):Standard for the format of arpa internet text messagesRFC822(S):Standard for the format of arpa internet text messages

最初の空白行が区切り最初の空白行が区切り　　　　　　　　　　 From:okuyama@dsl.ics.tut.ac.jpFrom:okuyama@dsl.ics.tut.ac.jp　　　　　　　　　　 To: query@domain.nic.ad.jpTo: query@domain.nic.ad.jp　　　　　　　　　　 Subject: Question for ed.jp domainsSubject: Question for ed.jp domains

←← 　空行（空白もなし）　空行（空白もなし）　　　　　　　　　　 ed.jped.jp ドメインの取得に関する問い合わせドメインの取得に関する問い合わせ

発信者発信者 (Sender, (Sender, 通常一人通常一人 , , 意味上の発信者意味上の発信者 )) と受と受信者信者 (Recipient, (Recipient, 一人または複数人一人または複数人 ))

2003/10/07 16

ヘッダとエンベロープヘッダとエンベロープ封書に似ている封書に似ているエンベロープエンベロープ (envelope)(envelope)投函した人／届け先投函した人／届け先封書の表書きの送り主／宛先：実際に事務作業を行った人封書の表書きの送り主／宛先：実際に事務作業を行った人配送の際に書き換えられていく配送の際に書き換えられていく

RFC821(S)RFC821(S) ：： SMTP→SMTP→ エンベロープはコマンドで指定エンベロープはコマンドで指定UUCP→UUCP→ エンベロープはエンベロープは rmailrmail のコマンドラインにてのコマンドラインにて指定指定

2003/10/07 17

ヘッダとエンベロープヘッダとエンベロープ(2)(2)

ヘッダヘッダ (header)(header)本文を書いた人／読んで欲しい人本文を書いた人／読んで欲しい人内封された書面の送り主／受信者内封された書面の送り主／受信者基本的に書き換えられない基本的に書き換えられない

ヘッダとエンベロープの送信者／受信者ヘッダとエンベロープの送信者／受信者同じ場合：同じ場合： 個人宛て個人宛て異なる場合：異なる場合： メーリングリストなどメーリングリストなど

2003/10/07 18

ヘッダとエンベロープヘッダとエンベロープ(3)(3)

エンベロープはいつ作られるかエンベロープはいつ作られるか ヘッダから抽出されるヘッダから抽出される

送信する送信する MUAMUA が行うが行う最初に処理を行う最初に処理を行う MTAMTA が行うが行う

エンベロープは配信処理で書き換えられるエンベロープは配信処理で書き換えられる転送転送メーリングリストメーリングリスト

2003/10/07 19

返信に利用するアドレ返信に利用するアドレスス

配信エラー通知の返送（自動）配信エラー通知の返送（自動）エンベロープの発信者エンベロープの発信者Errors-To: Errors-To: ヘッダ（エンベロープの概念がないシステヘッダ（エンベロープの概念がないシステ

ム用）ム用）内容の返信（人が介在）内容の返信（人が介在）

ヘッダの発信者ヘッダの発信者 From:, Reply-To, (To:, Cc:)From:, Reply-To, (To:, Cc:)

2003/10/07 20

メールボックスからメールボックスから MUAMUAへへ

ローカルメールボックス：ローカルメールボックス： UNIXUNIX などなど POP(Post Office Protocol)POP(Post Office Protocol) IMAP(Internet Message Access Protocol)IMAP(Internet Message Access Protocol)

2003/10/07 21

メールを送ってもらうたメールを送ってもらうための設定とめの設定と DNSDNS

インターネットインターネット SMTPSMTP による直接配信→による直接配信→ DNSDNS に配信先を定義に配信先を定義

メール配信時に参照されるメール配信時に参照される DNSDNS レコードレコード AA 　　 RR→RR→ホスト名からホスト名から IPIP アドレスを取得アドレスを取得 MXMX 　　 RR→RR→ メールアドレスから配信先ホスト名を取得メールアドレスから配信先ホスト名を取得 CNAMECNAME 　　 RR→RR→ホストの別名を取得ホストの別名を取得

GenericGeneric なメールアドレスなメールアドレス ホスト名部分を持たないホスト名部分を持たない MXMX 　　 RRRR を利用する→メールはを利用する→メールは MXMX で指定されたホストに送られで指定されたホストに送られ

るる

2003/10/07 22

MXMX を使って障害に備えるを使って障害に備えるメール受信の代行メール受信の代行

foo.tut.ac.jp preference=10, mx=mail1.tut.ac.jpfoo.tut.ac.jp preference=10, mx=mail1.tut.ac.jp preference=50, mx=mail2.tut.ac.jppreference=50, mx=mail2.tut.ac.jp

数字が小さいほど優先度が高い（コスト値）数字が小さいほど優先度が高い（コスト値）送り側は配信に成功するまで順にコストの大きなも送り側は配信に成功するまで順にコストの大きなものへ配信を試みるのへ配信を試みる

mail2mail2 はは mail1mail1 が回復後にが回復後に mail1mail1 に配送に配送mail2mail2 のメールの保存期間に注意のメールの保存期間に注意

2003/10/07 23

送信されたメールの受理送信されたメールの受理

届いたメールを自分宛てとして認識届いたメールを自分宛てとして認識ローカルに配信（受理）ローカルに配信（受理）「送られてきた＝自分宛て」ではない「送られてきた＝自分宛て」ではない

自分宛てではないと判断した場合自分宛てではないと判断した場合転送先をさがす転送先をさがす

受理するアドレスの設定受理するアドレスの設定sendmail(CF): ACCEPTsendmail(CF): ACCEPT ＿＿ ADDRSADDRS に定義に定義

2003/10/07 24

受信設定のまとめ受信設定のまとめ

相手に送り先を教える相手に送り先を教えるMXMX レコードを定義レコードを定義

自分宛てだと解釈する自分宛てだと解釈するローカルへの配信（受理）ローカルへの配信（受理）

個別に設定が必要個別に設定が必要

2003/10/07 25

メールは配信の設定メールは配信の設定

配信方法のバリエーション配信方法のバリエーション DNSDNS のの MXMX参照による配信→参照による配信→ MXMX を参照するを参照する MTAMTA のの準備準備

ホスト名のみによる配送ホスト名のみによる配送 固定ルールによる配信→固定ルールによる配信→ DNSDNS を参照する必要性の検を参照する必要性の検討討

2003/10/07 26

DNSDNS のの MXMX を参照する場合を参照する場合

MXMX を参照するを参照する MTAMTA sendmail.mx : librisolv.asendmail.mx : librisolv.a をリンクをリンク OSOS付属のものより、最新のソースからコンパイル付属のものより、最新のソースからコンパイル

したほうが良い→したほうが良い→ sendmail-8.9.3sendmail-8.9.3MXMX参照用参照用 sendmail.cf(CF)sendmail.cf(CF)

MXMX＿＿ SENDMAIL=yes→SENDMAIL=yes→ アドレスの補完アドレスの補完

2003/10/07 27

固定ルールによる配信固定ルールによる配信

sendmail.cfsendmail.cf に固定ルールを書くに固定ルールを書く CF : STATICCF : STATIC＿＿ ROUTEROUTE＿＿ FILEFILE

ファイアウォールの中などで固定ルールを参照ファイアウォールの中などで固定ルールを参照して配信したい場合は、これを設定するして配信したい場合は、これを設定する

2003/10/07 28

配信の動作確認配信の動作確認

アドレスの解釈が正しいかアドレスの解釈が正しいか sendmail -bv sendmail -bv あるいは あるいは sendmail -bt sendmail -bt の の /parse/parseMXMX が正常に検索できているかが正常に検索できているか sendmail -bt sendmail -bt で で /mx /mx コマンドコマンド実際に送ることができるか実際に送ることができるか sendmail -vsendmail -v

2003/10/07 29

メールサーバの設定メールサーバの設定メールサーバのアプリケーションプログラムであメールサーバのアプリケーションプログラムであ

る、る、 sendmail sendmail は通常パッケージからインストールは通常パッケージからインストールされるので、それを使えば良いされるので、それを使えば良い

最新版は最新版は 8.12.68.12.6である。もし、最新版でなければ、である。もし、最新版でなければ、ftp://ftp.sendmail.org/pub/sendmail/ftp://ftp.sendmail.org/pub/sendmail/

から入手できるから入手できる他のアプリケーション他のアプリケーション (qmail, postfix, etc.)(qmail, postfix, etc.) が利用が利用

したければそれをインストールする必要があるしたければそれをインストールする必要がある最近では、最近では、 sendmailsendmail よりより postfixpostfix を使う傾向にあるを使う傾向にある

2003/10/07 30

メールサーバの設定メールサーバの設定 (2)(2)必要に応じて、必要に応じて、 POPPOPやや IMAPIMAP などのなどの MDAMDA

のサーバプログラムをインストールするのサーバプログラムをインストールする設定が終わったら、一通りテストしてみ設定が終わったら、一通りテストしてみ

るる

2003/10/07 31

コンピュータウイルスとコンピュータウイルスとは？は？

コンピュータウイルスとは、プログラムにコンピュータウイルスとは、プログラムに寄生する極めて小さなプログラムであり、寄生する極めて小さなプログラムであり、自分自身を勝手に他のプログラムファイル自分自身を勝手に他のプログラムファイルにコピーする事により増殖し、コンピューにコピーする事により増殖し、コンピュータウイルス自身にあらかじめ用意されていタウイルス自身にあらかじめ用意されていた内容により予期されない動作を起こす事た内容により予期されない動作を起こす事を目的とした特異なプログラムですを目的とした特異なプログラムです

IPA(IPA( 情報処理振興事業協会情報処理振興事業協会 )) のページよりのページよりhttp://www.ipa.g.jp/security/http://www.ipa.g.jp/security/

2003/10/07 32

コンピュータウイルスの定コンピュータウイルスの定義義

11 ） ） 自己伝染機能自己伝染機能 自らの機能によって他のプログラムに自らをコピーし又はシステム自らの機能によって他のプログラムに自らをコピーし又はシステム

機能を利用して自らを他のシステムにコピーすることにより、 他の機能を利用して自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能システムに伝染する機能

22 ） ） 潜伏機能潜伏機能 発病するための特定時刻、一定時間、処理回数等の条件を記憶させ発病するための特定時刻、一定時間、処理回数等の条件を記憶させ

て、条件が満たされるまで症状を出さない機能て、条件が満たされるまで症状を出さない機能

33 ） ） 発病機能発病機能 プログラムやデータ等のファイルの破壊を行ったり、コンピュータプログラムやデータ等のファイルの破壊を行ったり、コンピュータ

に異常な動作をさせる等の機能に異常な動作をさせる等の機能

通商産業省の「コンピュータウイルス対策基準」より通商産業省の「コンピュータウイルス対策基準」より

2003/10/07 33

ウイルス今昔物語ウイルス今昔物語 昔のウイルス昔のウイルス

FDFD などの外部媒体を経由する場合が多く、自己伝製瀬にはなどの外部媒体を経由する場合が多く、自己伝製瀬にはそれほど高くなかったそれほど高くなかった

時には破壊的なウイルスが蔓延することがあったが、多く時には破壊的なウイルスが蔓延することがあったが、多くは自己顕示的なものであったは自己顕示的なものであった

今のウイルス今のウイルス 電子メールや電子メールや WEBWEBなど、利用可能な伝染媒体を駆使するなど、利用可能な伝染媒体を駆使するワームタイプ（自己伝染性の強いもの）が主流となっているワームタイプ（自己伝染性の強いもの）が主流となっている

ファイルを実行すくことで伝染するものにとどまらず、スファイルを実行すくことで伝染するものにとどまらず、スクリプトタイプのように、各種アプリケーションの問題点クリプトタイプのように、各種アプリケーションの問題点を突くような、複合型ウイルスとなっている（を突くような、複合型ウイルスとなっている（ NimdaNimda ななど）ど）

破壊活動や破壊活動や DDoSDDoS攻撃など悪質なものが多くなってきている攻撃など悪質なものが多くなってきている

2003/10/07 34

ウイルス被害の届け出件数ウイルス被害の届け出件数(2002)(2002)

2035220352件件

0

500

1000

1500

2000

2500

届け出件数

2002 1年 月 2002 3年 月 2002 5年 月 2002 7年 月 2002 9年 月 2002 11年 月

年月

2002年ウイルス届出状況

2003/10/07 35

ウイルス被害の届け出件数ウイルス被害の届け出件数(2003)(2003)

1074110741件件

0

500

1000

1500

2000

2500

届け出件数

2003 1年 月 2003 2年 月 2003 3年 月 2003 4年 月 2003 5年 月 2003 6年 月 2003 7年 月 2003 8年 月

年月

2003年ウイルス届出状況

2003/10/07 36

ウイルス被害の届け出件数ウイルス被害の届け出件数(1990(1990～～ 2003)2003)

0

5000

10000

15000

20000

25000

1990 1993 1996 1999 2002

届け出数

19901990 はは 44月～月～ 1212月月20032003 はは 11月～ 月～ 88月月

2003/10/07 37

20032003年年 88月の状況月の状況IPAIPA のの 20032003年年 88月の被害届け出状況による月の被害届け出状況による (http://www.ipa.go.jp/security/txt/2003/09outline.html)(http://www.ipa.go.jp/security/txt/2003/09outline.html)

被害届け出件数：被害届け出件数： 2,0142,014件（今年度最悪）件（今年度最悪） 相談件数：相談件数： 3,0653,065件件 感染実害率：感染実害率： 21.4%21.4% （（ 2222ヶ月ぶりにヶ月ぶりに 20%20%超）超） 届出ウイルスの種類：届出ウイルスの種類： 3636 種類種類 新種ウイルス新種ウイルス ：： W32/MSBlaster, W32/Mimail, W32/WelcW32/MSBlaster, W32/Mimail, W32/Welc

hi, W32/Antinnyhi, W32/Antinny Windows/DOSWindows/DOS系：系： 1,879 1,879 、マクロウイルス及びスクリプ、マクロウイルス及びスクリプ

ト系：ト系： 134134 、、 MacMac系及び系及び UNIXUNIX系：系： 1111 一番届出の多かったウイルス一番届出の多かったウイルス W32/SobigW32/Sobig 感染経路：メールにより感染したケースが最も多い（届出感染経路：メールにより感染したケースが最も多い（届出件数の件数の 78.278.2％の割合を占める、不明・その他が増加してい％の割合を占める、不明・その他が増加していることも注目）ることも注目）

2003/10/07 38

W32/MSBlasterW32/MSBlaster

被害が拡大した要因は、

・ Windows XP/2000 などは購入したままの状態で影響を受けるセキュリティホールがあった

・ そのセキュリティホールを修正する等の予防策がとられなかった

などが挙げられる。

2003/10/07 39

感染を防ぐには感染を防ぐには11 ）最新のウイルス定義ファイルに更新し、ワクチンソフ ）最新のウイルス定義ファイルに更新し、ワクチンソフ

トを活用することトを活用すること22 ）メールの添付ファイルは、開く前にウイルス検査を行 ）メールの添付ファイルは、開く前にウイルス検査を行 うことうこと

33 ）ダウンロードしたファイルは、使用する前にウイルス ）ダウンロードしたファイルは、使用する前にウイルス 検査を行うこと検査を行うこと

44 ）アプリケーションのセキュリティ機能を活用すること）アプリケーションのセキュリティ機能を活用すること55 ）セキュリティパッチをあてること）セキュリティパッチをあてること66）ウイルス感染の兆候を見逃さないこと）ウイルス感染の兆候を見逃さないこと77 ）ウイルス感染被害からの復旧のためデータのバック ）ウイルス感染被害からの復旧のためデータのバック

アップを行うことアップを行うこと

2003/10/07 40

ウイルス感染の種類ウイルス感染の種類

ブートセクタ型ウイルスブートセクタ型ウイルスファイル感染型ウイルスファイル感染型ウイルスマクロ型ウイルスマクロ型ウイルス

MS-WORDMS-WORDマクロウイルスマクロウイルス MS-EXCELMS-EXCELマクロウイルスマクロウイルス

スクリプト型ウイルススクリプト型ウイルス VBVBスクリプトウイルススクリプトウイルス JAVAJAVA ウイルスウイルス

2003/10/07 41

メールの添付ファイルに関メールの添付ファイルに関する注意する注意

11 ） 見知らぬ相手先から届いた添付ファイル付き） 見知らぬ相手先から届いた添付ファイル付きのメールは厳重注意するのメールは厳重注意する

22 ） 添付ファイルの見た目に惑わされない） 添付ファイルの見た目に惑わされない33 ） 知り合いから届いたどことなく変な添付ファ） 知り合いから届いたどことなく変な添付ファ

イル付きのメールは疑ってかかるイル付きのメールは疑ってかかる44 ） メールの本文でまかなえるようなものをテキ） メールの本文でまかなえるようなものをテキ

スト形式等のファイルで添付しないスト形式等のファイルで添付しない55 ） 各メーラー特有の添付ファイルの取り扱いに） 各メーラー特有の添付ファイルの取り扱いに注意する注意する

2003/10/07 42

メールの添付ファイルに関メールの添付ファイルに関する注意（１）する注意（１）

11 ） 見知らぬ相手先から届いた添付ファイ） 見知らぬ相手先から届いた添付ファイル付きのメールは厳重注意するル付きのメールは厳重注意する　　見知らぬ相手先から送信されたメールの添付見知らぬ相手先から送信されたメールの添付ファイルについては、安全を確認することが難ファイルについては、安全を確認することが難しく、また、ほとんどのケースが自分に必要なしく、また、ほとんどのケースが自分に必要ないものであるので、無条件に削除することが望いものであるので、無条件に削除することが望ましい。ましい。

2003/10/07 43

メールの添付ファイルに関メールの添付ファイルに関する注意（２）する注意（２）

22 ） 添付ファイルの見た目に惑わされない） 添付ファイルの見た目に惑わされない　テキストファイル（拡張子「　テキストファイル（拡張子「 .txt.txt」）や画像ファイ」）や画像ファイル（拡張子 「ル（拡張子 「 .jpg.jpg」）などの、ウイルスに感染するこ」）などの、ウイルスに感染することのないファイルに見せかけた添付ファイルを送りつとのないファイルに見せかけた添付ファイルを送りつけるウイルスが発見されており、注意が必要である。けるウイルスが発見されており、注意が必要である。　添付ファイルは、見た目に惑わされず、プロパティ　添付ファイルは、見た目に惑わされず、プロパティで拡張子を表示するなどによりファイル形式を確認し、で拡張子を表示するなどによりファイル形式を確認し、ファイルを実行するアプリケーションを把握するととファイルを実行するアプリケーションを把握するとともに、自分に必要なものかどうかを判断したうえで使もに、自分に必要なものかどうかを判断したうえで使用するべきである。用するべきである。

2003/10/07 44

メールの添付ファイルに関メールの添付ファイルに関する注意（３）する注意（３）

33 ） 知り合いから届いたどことなく変な添付ファイル） 知り合いから届いたどことなく変な添付ファイル付きのメールは疑ってかかる付きのメールは疑ってかかる　メールを送信するタイプのウイルスが激増しており、知り　メールを送信するタイプのウイルスが激増しており、知り合いから送信された添付ファイル付きのメールは、送信者の合いから送信された添付ファイル付きのメールは、送信者の知らない間にウイルスが送信している可能性が ある。巧妙知らない間にウイルスが送信している可能性が ある。巧妙に添付ファイルを開かせるような心理をついてくるので、こに添付ファイルを開かせるような心理をついてくるので、このような知り合いからのメールこそウイルスの疑いを持ってのような知り合いからのメールこそウイルスの疑いを持って接する必要がある。接する必要がある。　メールに付帯の情報（メール本文等）もウイルスが作成 　メールに付帯の情報（メール本文等）もウイルスが作成 している可能性があるため、これらの情報も信用せず、 例している可能性があるため、これらの情報も信用せず、 例えば先方に問い合わせるなどにより安全を確認して から使えば先方に問い合わせるなどにより安全を確認して から使用するべきである。用するべきである。

2003/10/07 45

メールの添付ファイルに関メールの添付ファイルに関する注意（４）する注意（４）

44 ） メールの本文でまかなえるようなものをテキス 形式等） メールの本文でまかなえるようなものをテキス 形式等のファイルで添付しないのファイルで添付しない　　受信者にウイルス検査の作業負担を生じさせることに なり、ま　　受信者にウイルス検査の作業負担を生じさせることに なり、また、検査を行ったとしても不安感を完全にぬぐいさることはできなた、検査を行ったとしても不安感を完全にぬぐいさることはできないので、添付ファイル付きのメール送信は避ける。いので、添付ファイル付きのメール送信は避ける。　必要にせまられ添付ファイル付きでメールを送信する場合には、　必要にせまられ添付ファイル付きでメールを送信する場合には、当該ファイルのウイルス検査を行ってから実 施するようにし、あわ当該ファイルのウイルス検査を行ってから実 施するようにし、あわせてメールに付帯の情報（メール 本文等）以外で、添付ファイルをせてメールに付帯の情報（メール 本文等）以外で、添付ファイルを付けた旨とその内容を事前に先方に伝えるような配慮が望ましい。付けた旨とその内容を事前に先方に伝えるような配慮が望ましい。　一方、このようにして届けられたものでも、受信者はウイルス検　一方、このようにして届けられたものでも、受信者はウイルス検査後使用するという用心深さが必要である。査後使用するという用心深さが必要である。

2003/10/07 46

メールの添付ファイルに関メールの添付ファイルに関する注意（５）する注意（５）

55 ） 各メーラー特有の添付ファイルの取り扱いに） 各メーラー特有の添付ファイルの取り扱いに注意する注意する　メーラーの設定、メーラーの特殊性などの添付ファ　メーラーの設定、メーラーの特殊性などの添付ファイルの取り扱いに関連する事項をよく把握して使用すイルの取り扱いに関連する事項をよく把握して使用することが重要である。ることが重要である。　例えば、一部のメーラーでは、受信時に添付ファイ　例えば、一部のメーラーでは、受信時に添付ファイルをあらかじめ指定されたフォルダに自動的に展開しルをあらかじめ指定されたフォルダに自動的に展開しファイル保存する。このようなメーラーを使用していファイル保存する。このようなメーラーを使用している場合は、ウイルス検出などでメール本文ごと添付る場合は、ウイルス検出などでメール本文ごと添付ファイルを削除した時に、保存されている複製も忘れファイルを削除した時に、保存されている複製も忘れずに削除されるような設定にする必要がある。ずに削除されるような設定にする必要がある。

2003/10/07 47

検証：検証： NimdaNimda に見る新世代ウイに見る新世代ウイルスの類型ルスの類型

NimdaNimda 全方向ウイルス：これまでのウイルスが持っ全方向ウイルス：これまでのウイルスが持っ

ていた感染拡大機能を併せ持つていた感染拡大機能を併せ持つ サーバ、メール両方を介しての自動侵入機能サーバ、メール両方を介しての自動侵入機能

IISIIS のサーバのバグをつくのサーバのバグをつくIEIE のブラウザのバグをつくのブラウザのバグをつく当然当然 OutlookOutlook を使ったメールを介しても媒介するを使ったメールを介しても媒介する

特定ブラウザを通じての感染機能特定ブラウザを通じての感染機能

2003/10/07 48

検証：検証： NimdaNimda に見る新世代ウイに見る新世代ウイルスの類型（具体的な内容）ルスの類型（具体的な内容）

このウイルスは、セキュリティホールを悪用したウこのウイルスは、セキュリティホールを悪用したウイルスで、イルスで、 Windows95/98/ME/NT/ 2000Windows95/98/ME/NT/ 2000 で動作すで動作する。る。 マイクロソフト社の マイクロソフト社の Internet Information Server (IIS) Internet Information Server (IIS) のセキュリティのセキュリティホールのあるシス テムに侵入するとホームページを改ざんするホールのあるシス テムに侵入するとホームページを改ざんする

セキュリティホールのあるセキュリティホールのある InternetExplorerInternetExplorer で改ざんされたホームペーで改ざんされたホームページを見るとウイル スに感染するジを見るとウイル スに感染する

クライアントが感染すると、クライアントが感染すると、 OutlookOutlook のアドレス帳に登録されているのアドレス帳に登録されているアドレス等にウイルス を添付したメールを送信するアドレス等にウイルス を添付したメールを送信する

添付ファイル名は添付ファイル名は readme.exereadme.exe であるである そのウイルス付メールを受け取ると、そのウイルス付メールを受け取ると、 OutlookOutlook ではメールを開いただではメールを開いただけ で、け で、 OutlookExpressOutlookExpress ではプレビューしただけでも感染することがあではプレビューしただけでも感染することがあるる

2003/10/07 49

検証：検証： Klaz Klaz 毎月毎月 66日に発病し日に発病しCC ドライブのファイルを削除すドライブのファイルを削除するる

このウイルスは、このウイルスは、 InternetExplorerInternetExplorer の既知のセキュリの既知のセキュリティホールを悪用したウイ ルスで、メールの添付ファティホールを悪用したウイ ルスで、メールの添付ファイルを介して感染を拡げるイルを介して感染を拡げる

このウイルスは、メールを開くだけで感染する可能性このウイルスは、メールを開くだけで感染する可能性があるがある

Outlook ExpressOutlook Express ではプレビューしただけで感染する場ではプレビューしただけで感染する場合もある合もある

感染しても自覚症状やウイルスメール送付先からの連感染しても自覚症状やウイルスメール送付先からの連絡がな いなど感染兆候がないので、発病するまで気が絡がな いなど感染兆候がないので、発病するまで気がつかないケース が多々あるつかないケース が多々ある

発病すると：毎月発病すると：毎月 66日に発病し、日に発病し、 CC ドライブのファイドライブのファイルを削除するルを削除する

2003/10/07 50

検証：検証： W32/MSBlasterW32/MSBlaster の脅威の脅威

根本的な問題：根本的な問題： WindowsNT/2000/XPWindowsNT/2000/XP に元から内在してに元から内在している問題点を突いた（他にも別のバグがある可能性がいる問題点を突いた（他にも別のバグがある可能性が…）…）

IPAIPA の観測ではの観測では 33分位で感染→最短では分位で感染→最短では 33秒で感染した秒で感染した 対策情報をブラウズするとか対策情報をブラウズするとか Windows UpdateWindows Update をダウンをダウン

ロードしようとすると感染するロードしようとすると感染する 対策情報そのものが対策情報そのものが WebWeb での公開を中心としているこでの公開を中心としているこ

とを逆手にとっているとを逆手にとっている OSOS が再起動を繰り返すという最悪の状況に陥るが再起動を繰り返すという最悪の状況に陥る

2003/10/07 51

まとめまとめ

メールは現在の必須情報交換網（インメールは現在の必須情報交換網（インターネットと携帯電話を合わせると、ターネットと携帯電話を合わせると、普及率は実に普及率は実に 77割以上と推定される）割以上と推定される）

それだけに問題点も多いそれだけに問題点も多い ウィルス伝播ウィルス伝播 SPAMSPAM メールメール いやがらせメールいやがらせメール

正しく使いましょう正しく使いましょう