Outlook 2007/2010 におけるウィルス対策とプレビュー表示


先日、ある公的機関がウィルスによる攻撃を受けたという報道があってから、Outlook のプレビューをオフにする方法について聞かれることが多くなりました。

これは、昔 Outlook でプレビューするだけで感染するウィルスが存在したためと思われますが、はっきり言ってプレビューをオフにするというウィルス対策は全くの時代遅れであり、現在流行しているウィルスに対してほとんど意味がありません。
というのも、最近のウィルスで使用されている「標的型攻撃 (スピアー型攻撃)」という手法は以下のような特徴を持つからです。

  • 特定の組織を狙い、その組織の内部の人間や関係者を装って送信する。
  • 巧みに添付ファイルを開くよう誘導し、その添付ファイルにウィルスやトロイの木馬を仕掛ける。
  • 添付ファイルは PDF など一般的には実行形式として認識されていないものの、表示するアプリケーションのセキュリティ ホールを狙うことで悪意のあるコードを実行できるようなものにする。

こうなると、従来の以下のような対策はほとんど有効ではありません。

  • 本文や添付ファイルのプレビューをオフにする。
    → 標的型攻撃で感染する人は、問題の添付ファイルを実際に開いて感染しています。
  • 知らない人や怪しいメールの添付ファイルは開かない。
    → 標的型攻撃では組織内部の人間などを装うため、安心して開けてしまう可能性があります。
  • 添付ファイルはウィルススキャンして開く。
    → ウィルスが日々進化しているため、パターンファイルが追い付かない可能性があります。

さらに、「プレビューをオフにすれば安心」といった誤解により油断していると、簡単に標的型攻撃の餌食になってしまいます。

では、どうすればよいのでしょうか?

Windows Vista 以降および Outlook 2007 以降でできる対策としては、「添付ファイル プレビューにより添付ファイルを開く」というものがあります。
「プレビューって危険なのでは?」と思われる方もいるかもしれませんが、プレビューがウィルス対策となる理由は、その仕組みにあります。

Outlook が添付ファイルのプレビューに使用しているインターフェイスは Windows Vista 以降でサポートされる IPreviewHandler と呼ばれるものです。このインターフェイスでファイルが開かれる場合、そのファイルを開くプロセスは低い整合性レベルで動作します。整合性レベルとは、Windows Vista から導入された新しいアクセス制御方法で、ログオンしているユーザーの権限とは別にプロセスごとにファイルやレジストリなどへのアクセスの制限を行うことができる仕組みです。
そして、低い整合性レベルで動作するプロセスはファイルやレジストリへのアクセスが著しく制限されており、悪意のあるコードによる別のファイルへの感染や、レジストリのスタートアップへの登録などを防ぐことが可能です。つまり、添付ファイルを開くアプリケーションが何であろうと、またセキュリティ ホールが未知のもの (ゼロデイアタック) であろうと、そのアプリケーションのセキュリティ ホールを攻撃しただけでは、マシンに対して感染することができないというわけです。
これに対し、ローカルにファイルを保存してから開く場合、アプリケーションによっては通常の整合性レベルで開くため、そのアプリケーションのセキュリティ ホールを攻撃されて感染する危険があり、プレビューの方がより安全といえます。(Word 2010 や Excel 2010 などはローカルに保存したファイルでも保護されたビューで表示することにより低い整合性レベルで開くことが可能です。)

添付ファイル プレビューに対応していないアプリケーションもありますし、整合性レベルでの保護が 100% 安全という保証もありませんので、プレビューだけで大丈夫というわけではありませんが、手軽にできるセキュリティ対策として添付ファイル プレビューはオンにしておくとよいでしょう。

参考リンク:

Preview Handlers and Shell Preview Host

整合性レベル (IL) によるオブジェクトへのアクセス制御

広告

Outlook 2007/2010 におけるウィルス対策とプレビュー表示」への2件のフィードバック

  1. 御社作成のDecodeWinMail.vbsを使わせて戴き、送られてきた消えたファイルを無事回収できました。感謝いたします。

  2. 大変ためになる、目から鱗の解説にたどり着きまして、ありがたく思います。
    ただ、添付ファイルを編集する必要がある場合、単純にプレビューで済まず、
    ローカルに保存するしかないわけで、その際についてのコメントが欲しいところです。

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中