Home > IT > Office 2003 形式で保存した添付ファイルに melissa が誤検出された

Office 2003 形式で保存した添付ファイルに melissa が誤検出された

  • Posted by: TETRA
  • 2008年12月 7日 02:53
  • IT

注:あえて誤検出と書きましたが、完全にメールサーバー管理者の怠慢です。こんな愚かな設定をしているメールサーバーが取引先にあったということでメモしておきます。通常のメールサーバーではこんな誤検出はおこりえません。

事のおこりは先日、 外注していたサイトに SQL Injection 脆弱性を見つけたことです。 現在、Web サイトの制作と管理・ホスティングは全てパートナーさんにおまかせしています。今まであまり Web サイトに関わる機会はなかったのですが、今回多少調べなければいけないことがあり、その際に調査したら真っ黒でした。パートナーさんが他から受注しているサイトのデータベースの中身まで改竄し放題です。 正直、技術的に信用できるパートナー(担当者)ではないのですが、他の業務とのかねあいやら歴史的な経緯から、常にどうしてもそこに依頼することになってしまっています。編集委員長はお疲れ様です。 ……愚痴ばかりですみません。そんなわけで、至急修正をお願いしたい旨、レポートを送ったときの話です。SQL Injection 脆弱性に関しても色々と痛い経験ができたのですが、それは次の機会で。 レポートを送ったら、 Melissa Family Infected ということでメールがはじかれました。

現象は次の通りです、

Office 2007 (ex: Word 2007, Excel 2007, PowerPoint 2007) で作成した内容を Office 2003 形式(ex: .doc .xsl .ppt)で保存したファイルは、不用意に設定されたメールサーバーによって、コンピューターウィルス『melissa』(か、その亜種)に感染していると誤認識されます。

ウィルス Melissa (en:Wikipedia) とその亜種は 1999年に作成され、その後しばらく猛威をふるったコンピューター・ウィルス(正確にはワーム)です。Word と Word によって作成されたファイルに感染するマクロ・ウィルスで、主な感染経路は Outlook を利用したメール感染でした。

「コンピューターウィルス」という単語がいまほど一般的でなかった時代、まだワクチンソフトは今ほど一般的ではなく、また「不用意に添付ファイルを開いてはいけない」などといったユーザー教育などはなされていませんでした。

そんな中で、 Melissa とその亜種は爆発的に広まっていきました。

まぁそんなことはさておき……

この Melissa に感染したメールの中継を防ぐために、添付ファイルに GUID を含んだメールは無条件に Drop するという設定を推奨するウェブサイトがあるようです。

GUID (Globally Unique Identifier) とは、世界で一意な識別子を目指して作成された 128ビットの ID 番号です。Microsoft になじみのあるかたや、Oracle を使っていらっしゃる方は、以下のような形式の文字列を見たことがあるかと思います。

{3F2504E0-4F89-11D3-9A0C-0305E82C3301}

これが GUID の16進数表記であり、今回メールサーバーにはじかれた原因でした。

Office 2003 (Word と Excel でしか確認していませんが、一応 Office という書き方をしておきます)のファイルは、通常 GUID を含みません。しかし、(すくなくとも)内部にマクロを持っている場合、(マクロの識別名として?)GUID を含みます。

今回のメールフィルターはこれを利用して、「添付ファイルの中にGUIDを含んでいる→Melissaウィルス(というかワードマクロ)だ→Drop」という流れで作られたものでした。

具体的には、添付ファイルをプレーンテキストだと仮定して、以下の正規表現にマッチするものを Drop していました。

\{([0-9A-F]{8}\-[0-9A-F]{4}\-[0-9A-F]{4}\-[0-9A-F]{4}\-[0-9A-F]{12})\}

なんともまぁ。.

今回、自分のワードドキュメント(マクロ含まず)ははじかれたのは、Office 2007 が、ファイルの保存形式の新旧(.doc, .docx)やマクロの有無を問わず、常にファイル内に GUID を含めるようになったためです。

そう、

Office 2007 で保存したファイルには常に GUID が含まれています。
でも Melissa には感染していません

繰り返し言いますが、Office 2003 製品で作成し、Office 2003の各形式で保存したファイルには通常GUIDが含まれませんが、Office 2007 で作成し、Office 2003 形式で保存したファイルには GUID が含まれます。

なんでこんなことをいちいち言わなければならないんだ。

ちなみに Office 2007 で保存された Office 2007 形式のファイルにも GUID が内部的には含まれていますが、プレーンテキストに zip 圧縮をかけるというフォーマットの性質上、このフィルタにかかることはありません。

メールのフィルタリングは慎重にお願いします。

Comments:0

Comment Form

画像の中に見える文字を入力してください。

Trackbacks:0

TrackBack URL for this entry
http://tetlist.info/mt/mt-tb.cgi/40
Listed below are links to weblogs that reference
Office 2003 形式で保存した添付ファイルに melissa が誤検出された from TETLIST

Home > IT > Office 2003 形式で保存した添付ファイルに melissa が誤検出された

Search
Feeds

Return to page top