- PR -

暗号化されたメールのウイルス対策は?

投稿者投稿内容
トカトントン
会議室デビュー日: 2002/11/29
投稿数: 3
投稿日時: 2002-11-29 14:05
みなさん。暗号化されたメールのウイルス対策はどうされてますか?

現在、わが社のシステムでは、メールサーバーとクライアントPCの2箇所でウイルスチェックをかけているのですが、暗号化されたメールの場合はメールサーバーをそのまま通過してしまうと聞いています。わが社の問い合わせメールアドレスには1日に10件以上もウイルスが到着するので、できるならサーバーサイドでブロックしたいと考えています。

対策案A S/MIMEが添付されているメールを特定のアドレスに転送し、特定のPCで閲覧する。
対策案B S/MIMEが添付されているメールをMTUあるいはサーバー上のウイルスチェックソフトで拒絶する。

AもBもかなりデメリットがある対策なのであまり採りたくないのですが、なにより、このようなことができるソフトをまだ発見できていません。

みなさんはどのような対策を採られていますか?
お知恵を拝借できれば...
BASE
大ベテラン
会議室デビュー日: 2002/03/13
投稿数: 178
投稿日時: 2002-12-02 10:52
確かに普通のZipファイルもパスワードかけられてるとチェックできませんしねぇ。

MIME/sweeperはその説明の中で

デジタル署名・暗号メールの検出:デジタル署名メッセージとオブジェクトを検出。PGP、S/MIME

と、ありますが、いかがでしょう?
ライセンス合計すると結構高かった記憶がありますが・・・
ポリシー編集できるので、アンチウイルスソフトの変わりに、
MIME/Sweeperで引っ掛けるってことも出来たと思います。
#運用者の負担がとんでもないかもしれませんが・・・

で、最後に疑問なんですが
今のクラインと側でのアンチウイルスソフトって
暗号も圧縮も、復号や解凍の作業段階で検知できませんでしたっけ?

クライアント側に任せるのは危険って話もあると思いますが、
サーバ側ですべてやろうと無理しなくてもよろしいかと思います。
いかでしょう?
t-wata
大ベテラン
会議室デビュー日: 2002/07/12
投稿数: 209
お住まい・勤務地: 東京
投稿日時: 2002-12-02 12:42
暗号は、正当に復号できない人が読み取れないようにするための技術です。
従って、暗号化メールを、指定された受信者以外(中継サーバなど)が復号
できるなら暗号化としての意味がなくなります。
つまり、暗号化メールを復号して読み取れるのは受信者だけです。
なので暗号化メールについては、クライアントにウイルスチェックを任せる
か、中継サーバで拒否するしかないと思います。
atlan
ベテラン
会議室デビュー日: 2001/08/15
投稿数: 66
お住まい・勤務地: 東京
投稿日時: 2002-12-02 14:38
引用:

t-wataさんの書き込み (2002-12-02 12:42) より:
暗号化メールについては、クライアントにウイルスチェックを任せる
か、中継サーバで拒否するしかないと思います。



メールだけでなく https でのダウンロードもチェック出来ませんから、
幾らプロキシーなどでウイルスチェックをしてもクライアントのウイルス
チェックを外す事は絶対にしてはいけませんね。
トカトントン
会議室デビュー日: 2002/11/29
投稿数: 3
投稿日時: 2002-12-02 16:50
いろいろご返答ありがとうございます。

私も直接、ウイルスチェックのメーカーに確認してはいないのですが、おそらく原理的に暗号メール等はメールサーバー側でのチェックができないとあきらめております。また、クライアント側でのチェックもFDからの感染の可能性もあり、欠かせないものと認識しております。

ただ、なぜメールサーバー側での拒否または特定PCへの転送にこだわっているかというと、問い合わせメールについては、エイリアスで10人に転送して処理しているため、感染リスクが10倍になってしまうので、できるだけ避けたいからです。

BASEさんご指摘のMIME/sweeperは、ホームページに価格が載っていない(←高価であることの暗示?)のですが、さらに検討してみます。

ある取引先(Notes/Domino)では、S/MIMEメールが到着した場合は一定期間サーバーで保管してからクライアントに配送する手順をとっているそうです。ただ、これがどの程度効果があるかは私にはわかりませんが...



BASE
大ベテラン
会議室デビュー日: 2002/03/13
投稿数: 178
投稿日時: 2002-12-03 10:41
ごめんなさい、もしかしたらMailSweeperとかに名前が変わっていたのかもしれません。
以下、フォーバルクリエイティブに乗っている価格のリンクです。
http://www.forvalcreative.com/jpn/pro/mail/price.html
他にも扱ってるところは結構あるみたいです。

#マイムスイーパーやMailSeeprで検索した方が良いみたいです。

>S/MIMEメールが到着した場合は一定期間サーバーで保管してからクライアントに配送する手順
これはどうなんでしょう???
その待機時間中に管理者がウイルス情報など、
チェックする時間を確保するということなのだろうか・・・
#最近、極力省力化したい自分には合わない運用だなぁ
ひで
会議室デビュー日: 2002/12/04
投稿数: 2
投稿日時: 2002-12-04 12:58
>>S/MIMEメールが到着した場合は一定期間サーバーで保管してからクライアントに配送する手順
>これはどうなんでしょう???
>その待機時間中に管理者がウイルス情報など、
>チェックする時間を確保するということなのだろうか・・・

最新のウィルスに対応したパターンファイルがクライアントに行き渡るのを待つということではないでしょうか?
でも、メールの即時性が失われてしますし、当事者間で「送った」「届いてない」っていうことになりませんかね。
かちのち
会議室デビュー日: 2002/07/26
投稿数: 14
投稿日時: 2002-12-07 00:45
[RE>いろいろご返答ありがとうございます。]

トカトントン さん

 かちのち と言います。

 先日クリアスウィフトの「MAILsweeper」のセミナを受講しました。

 オプションですが、S/MIMEとPGPに対応した監査機能が提供可能の様です。
 暗号を解読して内容を監査します。ウイルススキャンが必要な場合は、連携したウイルス対策ソフトに転送して判定します。

 ただし、この機能を果たすためには、全てのプライベート・キーを「MAILsweeper」に集める必要があります。従って、管理はかなり慎重かつ厳密に行う必要があり、困難を覚悟する必要があります。送信の暗号化メールを監査する場合は、送信先のプライベート・キーを集める必要もあり、企業や個人間の調整も必要になります。
 リカバリー・キーにCCする運用の可能性を質問したところ、今のところ対応できない様です。

 個人的には、サーバにプライベートキーを集めるのは安全上問題があり推奨しません。もし、利用される場合は、DMZ上あるいはFWの内側に「MAILsweeper」を置くと同時に安全な、内部ネットに、もう1台の「MAILsweeper」を配置して、ここにプライベートキーを集約し厳重に管理する必要があります。暗号メールは、外側の「MAILsweeper」から転送して処理させます。もし、インシデントの形跡があれば、直ちに、全てのユーザーのプライベートキーを変更する必要があります。(これは、大変な作業になります)

 以上は、あまりお勧めではありませんが、「とりあえずできる」と言うことです。

 説明者は「対応していない」と言っていましたが、プライベート・キーの一つを専用のリカバリー・キーと定義して、これを「MAILsweeper」に置く方法が可能だと思います。「リカバリー・キーのユーザー」は実際は存在しません。全ての暗号メールは、必ず「リカバリー・キーのユーザー」にCCする様に決めておけば、「MAILsweeper」でチェック可能だと思われます。「リカバリー・キーの公開カギ」は公開し、この宛先にCCさせるわけです。必要なら、メールサーバー上にダミーのクライアントのメールボックスを設け、たまったメールを管理権限で適当な間隔で削除すれば良いと思います。

 この様にしておけば、仮にインシデントがあっても「リカバリー・キー」のみ変更するだけで対処できるため管理は楽になります。この運用が実際に可能かどうかはクリアスウィフトに直接ご相談下さい。

以 上

スキルアップ/キャリアアップ(JOB@IT)