2021-12-04

PPAPのウィルス対策ソフトで検査できない!!の問題はZIPだけではない

PPAPの一般化によって「パスワード設定されたZIPファイルはウィルス対策ソフトで検査できない」も問題の一つとして一般的になったのでは?と考えております。

まぁ,都合の良いように危険なのはZIPだけって認知されているようですね。7z形式にすればいいじゃないって発言もちらほら・・・

ウィルス対策ソフトで検知できないファイルって世の中には数多く存在しますよ

リアルタイムのファイル検査機能に限定すれば,利便性を損なうような検査時間がかかるサイズのファイルは対象外だし,マイナーな形式,パスワードで暗号化されたファイル。極端な言い方すれば,実行形式とメジャーなスクリプトを含むファイル以外は検査していない。

フルスキャン機能だと検査時間のかかるファイルも検査されるようになります。それでも解読に時間がかかる暗号化されたファイルについては対象外だし,マイナーな形式はそもそも・・・

検査されないファイルについては利用時に検査すればよいという考えで補完されます。悪意のあるプログラムである以上,実行時にはコンピューターが実行可能な状態でメモリーに展開されるはずですし,悪意ある動作を行うはずなので,そのタイミングで検知し動作を制限すればよいのです。

じゃぁ,PPAPのウィルス対策ソフトで検知できないことは問題無いってなります。その通りですよ。多分PPAP問題の深刻さを訴えるために利用されただけなんでしょうね。

ウイルス対策機能を搭載したファイアウォールはほぼリアルタイムで検査する必要があるため検査できるファイルはさらに限定的です。

検知したと表示が出来るファイルサイズは20MB程度が限界です。それ以上のファイルだと検査しながらデータを通し検知したら遮断するためダウンロード失敗という見え方になります。

ZIP形式は2重圧縮非対応で含まれるファイルが100個までなどと制限があります。

そもそも暗号化されていないHTTP通信のみが対象です。

最近はHTTPSが普及して多くの場合暗号化された通信ですので検査できません。

フリーソフトの大手配布サイト「窓の杜」や「Vector」はHTTPSですので検査できません

まぁ,ファイアウォールもちゃんと考えていまして,HTTPSを検査できる機能が用意されています。どうやってるかというと,通常の通信はVectorとパソコンの通信を暗号化しているのですが,Vectorとファイアウォール,ファイアウォールとパソコンで暗号化通信を行っています。ファイアウォール内部で暗号化通信を分断することで検査できるようにしています。

End to Endの暗号化をぶった切っているのでユーザーは正しいサーバーに接続しているかは確認できないのです。しかも,この機能は従来の2倍以上の処理性能が必要ですのでファイアウォールを通過するすべての通信を対象にしていないかもしれません。そもそもこの機能を搭載していない可能性も高いです。

ウィルス対策ソフトで検査出来ないから危険というならHTTPSも検査できないので危険!!といえますね。

ざっくりと暗号化はリスクを高める原因です。HTTPSが危険です。はい。

個人的な意見だと,ウィルス対策ソフトで検査できないことよりも,不正なデータで不具合を起こすソフトウェアや不正な動作が実行できるシステムが危険です。

ファイルの読み書き,送受信はコンピュータの基本的な機能です。正常な操作なのか,不正な操作なのかを完ぺきに判断し,操作を制限できるならファイルを検査する必要はありませんね。

Windows Updateで品質更新プログラムが提供されるまでの期間を守るのがウイルス対策ソフトの役割だと考えています。

オープンソースのLinuxは安全だぜ!!って昔から聞きますけど、安全なのは脆弱性が公開されていない最新バージョンのみで、古いバージョンはどのような修正を行っているかもプログラム言語で公開されているので攻撃者としては攻撃方法が確立しやすいですよね~

本当は脆弱性が発見されて対策されていないシステムが危険なんですよね


0 件のコメント:

コメントを投稿

TA-dmarc add-on for SplunkでExchange Onlineにアクセスしよう

TA-dmarc add-on for Splunk | Splunkbase  でExchange Onlineにアクセスしよう 2022年11月時点ではExchange OnlineのIMAPは基本認証が使えないはずですので、モダン認証(OAuth2)を使う必要があります。W...