 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| HOME > Security > メールのセキュリティチェック | |||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| HOME > Security > メールのセキュリティチェック | |||||
Linkページで紹介しているGFI Email Security Testing ZoneでOutlookなどのメーラーのセキュリティをチェックする方法について説明する。このサイトは23種類のメールを受け取り、メーラーの動作を検証するものである。設定などの対処方法は末尾にまとめて記載する。まずはメールの要求ページから見ていこう。
リンク先ページの下のほうに名前とメールアドレスを入力する欄があるので、適当な名前とメールを受け取るアドレスを入力して「Test
my email system」をクリックする。ボタンのすぐ上にあるチェックボックスはGFIからセキュリティに関するアナウンスメールを受け取るか?である。英語のメールだが、あまり頻繁には送られてこないようだ。
この上には検査項目ごとのチェックボックスがずらりと並んでいる。初回は全てにチェックを入れておく
なお上図の「eazyfox」と「gogromit@・・・」は筆者の入力例なので、このとおりに入力しても筆者のところにテストメールが届くだけである。E-mail欄は必ず自分が受け取れるメールアドレスを指定しなくてはいけない。
クリックすると表示が変わる
確認のメールを送ったから受信してね」というような意味が書いてある。これで要求はおしまい。
メールを受信して見ると[Test the security of your email system!] Request Confirmationというタイトルのメールが来ているはず(数分で送られてくる)。メールの本文にあるリンクをクリックして確認を済ませる必要がある。
| Please click on this link http://www.gfi.com/emailsecuritytest/send.plx?action=confirm&uid=xxxxxxxxxx&lang=en to confirm that the email address specified belongs to you, so that the tests can be emailed to you. |
太文字のところをクリックするとブラウザが起動して確認が終了する |
確認終了の画面
この表示が出たら確認は終了。あとはテストメールを待つだけ
また数分待つと23通のメールが届く。テスト項目は下記のとおり。1項目で複数のメールが送られるのでテスト項目数=メール数ではない。基本的にはメールクライアントでメールを開いてスクリプトが実行されるかをチェックする。
| No | 検査内容 | 説明 |
| 1 | VBS attachment vulnerability test | LoveLetterなど実行可能なVBスクリプトが添付されたメールのテストを行う。viewthis.jpg.vbsが添付される。スクリプトが実行されると危険性あり |
| 2 | CLSID extension vulnerability test | 添付ファイルの内容は(1)と同じだが、ファイルの拡張子がvbsではなくClassID.{3050f4d8-98b5-11cf-bb82-00aa00bdce0b}になっている。スクリプトが実行されると危険性あり |
| 3 | MIME header vulnerability test (Nimda & Klez testing) | NimdaやKlezで使われたMIMEヘッダとIFrameタグを使ったOutlookの脆弱性のテストgfi-test.txt がデスクトップに作成されると危険性あり |
| 4 | ActiveX vulnerability test (works only on IE5.x) | IE5.xのユーザーを対象としたActiveX付きのhtmlメールのテスト。gfi-test.txt が表示されると危険性あり |
| 5 | Malformed file extension vulnerability test (for Outlook 2002) | HTML Application(hta)で書かれたスクリプト付きのhtmlメールのテスト。スクリプトが実行されると危険性あり |
| 6 | CLSID extension vulnerability test (for Outlook 2002) | 添付ファイルの内容は(5)と同じだが、ファイルの拡張子がhtaではなくClassID{3050f4d8-98b5-11cf-bb82-00aa00bdce0b}になっているHTML Application(hta)で書かれたスクリプト付きのhtmlメールのテスト。スクリプトが実行されると危険性あり |
| 7 | GFI's Access exploit vulnerability test | AccessのmdbとVBスクリプト付きのhtmlメールのテスト。スクリプトが実行されgfi-test.txtが表示されれば危険性あり |
| 8 | Object Codebase vulnerability test | Object Codebaseを記載したhtmlメールのテスト。電卓が表示されると危険性あり。MS02-023 |
| 9 | Iframe remote vulnerability test | IFrameの脆弱性をつかったhtmlメールのテスト。jpgファイルを開いたときにダイアログが表示されると危険性あり |
| 10 | Eicar anti-virus software test | eicarのダミーVirusファイル(eicar.com)付きメールのテスト。添付ファイルのeicar.comがVirusと検出できなければ危険性あり |
| 11 | Fragmented message vulnerability test (for Outlook Express) | (10)の添付ファイルを5つに分割して送信するテスト。5つの分割メールが1つに連結されて受信されると危険性あり。 |
| 12 | Long subject attachment checking bypass test (for Outlook Express 6) | Outlook Expressの不正に長い件名のテスト。添付ファイルが実行されてgfi-test.txtが表示されれば危険性あり。テストメールと添付ファイルだけのメールに分割されて受信したら危険性なし |
| 13 | Long subject attachment checking bypass test (for Outlook 2000) | Outlook 2000の不正に長い件名のテスト。添付ファイルが実行されてgfi-test.txtが表示されれば危険性あり。テストメールと添付ファイルだけのメールに分割されて受信したら危険性なし |
| 14 | Attachment with no filename vulnerability test | 名前のない添付ファイル(内容はhta)のテスト。添付ファイルが実行されてgfi-test.txtが表示されれば危険性あり |
| 15 | Long filename vulnerability test | (14)とは逆に名前の長い添付ファイル(内容はhta)のテスト。添付ファイルが実行されてgfi-test.txtが表示されれば危険性あり |
| 16 | Popup Object Exploit vulnerability test | (8)のObject Codebaseの手法を用いて電卓をPopupで表示させるテスト。電卓が表示されれば危険性あり |
| 17 | Double file extension vulnerability test | 2重拡張子のテスト。添付ファイルはviewthis.jpg.hta。ファイルが実行されれば添付ファイルが実行されてgfi-test.txtが表示されれば危険性あり |
実行されるスクリプトの内容は同じものが多い。画面上にgfi-test.txtが表示されたり、デスクトップに作成されると危険性ありとなる。
実際にスクリプトを実行したときの画面例(メモ帳に表示される内容)。ファイル名はgfi-test.txt。
| This is a proof of concept demonstration By GFI [ http://www.gfi.com ] [ Network Properties ] Domain = xxxxxx Computer Name = xxxxxx User Name = eazyfox Network drive mappings: Network printer mappings: Port Microsoft Document Imaging Writer Port: = Microsoft Office Document Image Writer [ Folder List of C:\ ] Documents and Settings Program Files RECYCLER System Volume Information WINDOWS WUTemp [ File List of C:\ ] AUTOEXEC.BAT boot.ini bootfont.bin CONFIG.SYS IO.SYS MSDOS.SYS NTDETECT.COM ntldr pagefile.sys |
送られてくるメールのタイトルは下記のとおり
| No | 検査内容 | メール件名 | メール形式 |
| 1 | VBS file vulnerability test | VBS attachment vulnerability test | 添付ファイル |
| 2 | CLSID extension vulnerability test | CLSID extension vulnerability test | 添付ファイル |
| 3 | MIME header vulnerability test | MIME header vulnerability test | 添付ファイル |
| 4 | ActiveX vulnerability test | ActiveX vulnerability test | ActiveX付きのhtml形式 |
| 5 | Malformed file extension vulnerability test (for Outlook 2002 - XP) | Malformed file extension vulnerability test(for Outlook 2002 - XP) | 添付ファイル |
| 6 | CLSID extension vulnerability test (for Outlook 2002 - XP) | CLSID extension vulnerability test (for Outlook 2002 - XP) | 添付ファイル |
| 7 | GFI's Access exploit vulnerability test | GFI's Access exploit vulnerability test | VBA付きのhtml形式 |
| 8 | Object Codebase vulnerability test | Object Codebase vulnerability test | Metaタグ付きのhtml形式 |
| 9 | Iframe remote vulnerability test | Iframe remote vulnerability test | Link付きのhtml形式 |
| 10 | Eicar anti-virus test | Eicar anti-virus test | 添付ファイル |
| 11 | Fragmented Message test | eicar.com[1/5] eicar.com[2/5] eicar.com[3/5] eicar.com[4/5] eicar.com[5/5] |
分割されたテキスト |
| 12 | Long Subject Attachment Checking Bypass (for Outlook Express 6) | Long Subject Attachment Checking Bypass (for Outlook Express 6) hide.hta |
不正件名のテキストと添付ファイルだけのメール |
| 13 | Long Subject Attachment Checking Bypass (for Outlook 2000) | Long Subject Attachment Checking Bypass (for Outlook 2000) hide.hta |
不正件名のテキストと添付ファイルだけのメール |
| 14 | Attachment with no filename vulnerability test | Attachment with no filename vulnerability test | 添付ファイル |
| 15 | Long Filename vulnerability test | Long Filename vulnerability test | 添付ファイル |
| 16 | Popup Object Exploit vulnerability test | Popup Object Exploit vulnerability test | JavaScript付きのhtml形式 |
| 17 | Double File extension vulerability test | Double File extension vulerability test | 添付ファイル |
実際に送られてきたメールの一覧
Beckyの一覧なので、見慣れない方にはわからないかもしれないが、左端のアイコンで
は添付ファイルつきのメール
はhtml形式のメール
は分割されたメール
Long subject valunerabilityのhide.htaは分割メールと認識されていない
対策は
|
Outlook Express 用の累積的な修正プログラム (837009) (MS04-013) |
MS04-013 マイコンピュータゾーンのセキュリティ設定強化 |
|
Internet Explorer 用の累積的な修正プログラム |
MS03-040 |
| Outlook Express 6 のウイルス防止機能を使用する方法 | Outlook Express 6 のウイルス防止機能を使用する方法 |
ですが、一番いいのはOutlookを使わないことです。筆者はBeckyを愛用していますが、このテストで送られたメールも全てテキスト表示しているので、実際にどんな現象になるのか確認するために"IEコンポーネントを利用してhtml表示"するように設定を変更しなければなりませんでした。(テスト後すぐにテキスト表示に戻しました)
| EdMax | http://www.edcom.jp/ | フリー版あり |
| Datula | http://www.onsystems.co.jp/ | 3,129円 |
| AL-Mail | http://www.almail.com/ | 2,100円 |
| Becky! | http://www.rimarts.co.jp/index-j.html | 4,200円 |
| 鶴亀メール | http://hide.maruo.co.jp/software/tk.html | 2,100円(秀丸エディタをレジスト済みなら無料) |
有償の製品も試用期間内であれば無償で使えるので、自分に合った使いやすいメールクライアントを探して乗り換えをお勧めいたします。
・メールのVirusチェックを行うサイト
単にeicar.Com(テスト用Virus)をメールに添付して送ってくれるだけのサイトも紹介しておく。http://www.declude.com/Articles.asp?ID=99では1通のメールにeicar.comを添付ファイルとして送ってくるだけのサイトだが送り方が色々と指定できるのが特徴。
使い方は単純で「Enter your E-Mail address」に受け取りたいメールアドレスを指定する。その下の「Choose
the eicar file〜」は添付ファイルの形式でBase64のMimeで送ったり、ZIP形式にしたりと選択できる。「Submit」ボタンをクリックすればメールの送信完了。画面が切り替わりメールサーバとのやり取りが表示されるが、最後に「Done
Message Sent」と表示されたらメールが送信されたということである。
このサイトは本来メールサーバ上でのVirusチェッカーを検査するためのサイトである。
選択可能なメールの添付形式だが以下のように多種にわたる
| Name | Description |
|---|---|
| eicarplain | 標準のBase64 MIME形式でエンコードしたeicar.com |
| eicarencodedzip | eicar.comをZIP形式で圧縮してさらにエンコードして添付する |
| eicarspacegap | Outlookの"Space Gap"の脆弱性を利用してeicar.comを添付する |
| eicarcr | Outlookの"CR"の脆弱性を利用してヘッダ部にeicar.comを添付する |
| eicarblankfolding | Outlookの"Blank Folding"の脆弱性を利用してeicar.comを添付する |
| eicarboundarygap | Outlookの"Boundary Space Gap"の脆弱性を利用してeicar.comを添付する |
| eicarlongboundary | Outlookの"Long Boundary"の脆弱性を利用してeicar.comを添付する |
| eicarpartial | Partial (Fragmented) の脆弱性を利用してeicar.comを添付する |
| binary | MIMEのバイナリー形式でeicar.comを添付する |
| embed | Html形式の1セグメントとしてeicar.comを添付する |
| inline | eicar.comをインライン(本文中にコンテンツとして埋め込み)の添付ファイルとする |
| pegasus | Pegasusの形式でeicar.comを添付する。ちょっと普通じゃない方式らしい |
| rfc822 | RFC822に則った形式でeicar.comを添付する。Yahooメールからの転送がこの形式 |
| zip | ZIP形式で圧縮したeicar.comを添付する |
| uu | uuencodeでエンコードしたeicar.comを添付する |
| quoted | MIME quoted-printable形式でエンコードしたeicar.comを添付する |
| mimeuu | ちょっと珍しいMIMEのセグメントでuuencodeしたeicar.comを添付する |
| binhex | BinHexエンコードしたeicar.comを添付する |
| binhexmime | MIMEのセグメントでBinHexエンコードしたeicar.comを添付する |
| tnef | eicar.comをMicrosoftのリッチテキスト形式(TNEF)に埋め込んで添付する |
| noquote | MIMEでeicar.comを添付する。ただしファイル名に"."はない |
| clsid | CLSID extension形式でeicar.comを添付する。添付ファイルの名前はeicar.comではない |
| prescan | HTMLにeicar.comを埋め込むが、プレ・スキャン(Pre-Scanning)で見つけられるように設定した形式で添付する |
各エンコード形式の詳細は私も全て理解しているわけではないが、メールクライアントが添付ファイルを受け取る前にAntiVirusが全ての形式で駆除できるのなら完璧だと判断できる。
しかし全ての形式でVirusを発見できなかったとしても、添付ファイルが自動実行されないように設定を変更したり、ファイルの保存時にVirusが発見できるのであれば問題は無い。
同様のテストメールのサイトとして「http://www.testvirus.org」も挙げておく。
(注)サイトが「http://www.webmail.us/testvirus」に移動したのでリンク先を変更しています(2004/12)