2007-07-18

メールに対する正しいウィルススキャンの方法とは?

えーと最近の fw とか anti-spy とかそういう系統のことは何も考えていません。あとサーバ側で動作するアンチウィルスのことも考えてません。とりあえず MUA 限定。

メールについてウィルススキャンするタイミングって、

  1. 受信時
  2. 送信時
  3. メールボックス操作時
  4. メールをプレビュー、あるいは開くとき
  5. 添付ファイルを開くとき

くらいかなと思う。

で、いま個人的にいちばん問題だなと感じているのは 3 のメールボックスを操作した瞬間のスキャン。多くのメールソフトでメールボックスは「1フォルダ
1ファイル方式」であり、つまりフォルダが数百MB とか GB クラスのオーダーに達している場合、メールボックスの操作をするたびにそれだけの巨大なファイルを常にスキャンしている状態になるはずである1

それって使いものになるの?

普通に考えてただでさえ重たい巨大なファイルの操作なのに、そこにウィルススキャンが常に割り込んでくるという状態で、果たしてメールソフトをまともに使えるのだろうか? というか、実際に全然使いものにならなかったんで、メールボックスの入っているフォルダをリアルタイムスキャンの除外対象にしたところ、信じられないくらいに軽くなったんだけど、

この対処ってやっちゃダメ?

なのかどうかがイマイチ判断できないのが困ったところ。

上のリストで「メールボックスの操作」を、「メールをプレビュー、あるいは開くとき」とわざわざ分けているのは、メールボックスの操作には例えばフィルタによってメールを自動的に振り分けるとか迷惑メールを判定してジャンクフォルダに振り分けるなどの操作も含まれるからであり、またこれはユーザーが毎回手で操作するものではないので、「うっかり感染」の可能性の低い動作だと思うからである。可能性が低いと思っているからリアルタイムスキャンの対象から外したわけだけど、これを外しちゃった場合にどこまで影響が出るのかイマイチつかめていないので不安だ、というのがこのエントリの趣旨なわけ2

基本的にメールとウィルスの関係は

  1. メールソフトそのものの脆弱性を利用したウィルス
  2. 添付ファイルにウィルスを付加して他のアプリから感染
  3. URLハンドラ周りの脆弱性を利用したウィルス

の3パターンだと思うんだけど、恐らく上の対処をした場合、1 のメールソフトそのものの脆弱性によるウィルス感染を防ぐことが難しくなると思う。

ただし、その場合も「受信時とメールボックスへの保存時の間」でスキャンを掛けてくれれば問題ないような気がするんだな。要するにアンチウィルスソフトがメールソフトのプラグインのような形で動作するか、あるいは pop proxy として動作していれば、超巨大なメールボックスファイルを毎回相手にしなくても安全性を確保できるんじゃないかと。

だから、メールソフトのプラグインや pop proxy, smtp proxy として動作するアンチウィルスソフトであれば、メールボックスのファイルを他のアプリの使うファイルと同じようにリアルタイムスキャンしておかなくても、安全性はあまり損なわれないと言えるかなと思うんだけど、どうだろう?

どうでしょうか?

教えてエロい人!

というか、重いのとは別に「1フォルダ : 1ファイル方式」のメールボックスに対してリアルタイムスキャンを掛けるのって、

誤作動した場合のダメージがでかすぎる

と思う。それだけ考えてもメールボックスファイルそのものへのリアルタイムスキャンは外した方がいいように思うんだけど、どうでしょうか。いやね、メールソフト以外でも開くかもしれないじゃんという反論はすぐに自分でも思いつきましたよ。でもねぇ、現実に全然まともな速度で動かないんだもの。多くのメールソフトの実装が「1フォルダ
1ファイル方式」なんだから、こういう工夫ってアンチウィルスソフト側で考えるべきことじゃないの? なんでユーザーが悩まなきゃいけないんだ。
  1. 基本的にウィルススキャンてのはファイルの I/O に対して行われるから。 

  2. もちろん影響範囲がメールソフトの作りによって変わるのは分かってるんだけど。 

窓から投げ捨てても大丈夫なのか

ドイツ男性、窓からパソコン落下もおとがめ無し | ワールド | Reuters

警察のスポークスマンは「誰にでもそう感じた経験があるのでは」と語り、パソコンを投げ落とした男性の気持ちに共感を示した。

いやーだからってなぁ…。

あとお約束だけど OS とアプリは何使ってたの?

About

例によって個人のなんちゃらです

Recent Posts

Categories

Tool 日々 Web Biz Net Apple MS ことば News Unix howto Food PHP Movie Edu Community Book Security Text TV Perl Ruby Music Pdoc 生き方 RDoc ViewCVS CVS Rsync Disk Mail FreeBSD Cygwin PDF Photo Zebedee Debian OSX Comic Cron Sysadmin Font Analog iCal Sunbird DNS Linux Wiki Emacs Thunderbird Sitecopy Terminal Drawing tDiary AppleScript Life Money Omni PukiWiki Xen XREA Zsh Screen CASL Firefox Fink zsh haXe Ecmascript PATH_INFO SQLite PEAR Lighttpd FastCGI Subversion au prototype.js jsUnit Apache Trac Template Java Rhino Mochikit Feed Bloglines CSS del.icio.us SBS qwikWeb gettext Ajax JSDoc Rails HTML CHM EPWING NDTP EB IE CLI ck ThinkPad Toy WSH RFC readline rlwrap ImageMagick epeg Frenzy sysprep Ubuntu MeCab DTP ERD DBMS eclipse Eclipse Awk RD Diigo XAMPP RubyGems PHPDoc iCab DOM YAML Camino Geekmonkey w3m Scheme Gauche Lisp JSAN Google VMware DSL SLAX Safari Markdown Textile IRC Jabber Fastladder MacPorts LLSpirit CPAN Mozilla Twitter OpenFL Rswatch ITS NTP GUI Pragger Yapra XML Mobile Git Study JSON VirtualBox Samba Pear Growl Mercurial Rack Capistrano Rake Win RSS Mechanize Sitemaps Android JavaScript Python RTM OOo iPod Yahoo Unicode Github iTunes God SBM friendfeed Friendfeed HokuUn Sinatra TDD Test Project Evernote iPad Geohash Location Map Search Simplenote Image WebKit RSpec Phone CSV WiMAX USB Chrome RubyKaigi RubyKaigi2011 Space CoffeeScript Nokogiri Hpricot Rubygems jQuery Node GTD CI UX Design VCS Kanazawa.rb Kindle Amazon Agile Vagrant Chef Windows Composer Dotenv PaaS Itamae SaaS Docker Swagger Grape WebAPI Microservices OmniAuth HTTP 分析基盤 CDN Terraform IaaS HCL Webpack Vue.js BigQuery Middleman CMS AWS PNG Laravel Selenium OAuth OpenAPI GitHub UML GCP TypeScript SQL Hanami Develop Document Jekyll