ウイルスの添付ファイルはどこで削除されますか？ - 秀丸メール情報交換会議室 - スレッド06917, 2002/05/07

ウイルスの添付ファイルはどこで削除されますか？

shimax さん　02/05/07 16:44

御世話になります。

ウイルスバスター2002を使っていますが、メールの送受信の際に、ウイルスが発見さ
れるとウイルスバスターが「発見されました」と教えてくれます。その後、鶴亀メー
ルで添付ファイルが削除されたメールが届きますね（.pifなど拡張子が登録されてい
る場合）。

ということは、鶴亀メールが添付ファイルを削除するのは、サーバ上ではなく、あく
までもローカルに受信後削除しているのでしょうか？　その場合、その削除した添付
ファイルはどこに行っているのでしょうか？

それとも、ウイルスバスターもサーバ上でチェックして「ウイルスが発見されまし
た」と警告は出すものの、Outlook Expressなどではそのまま受信してしまう仕組み
で、一方、鶴亀メールでは、ウイルスバスターのチェック後、ウイルス本体を削除後、
受信してくれるのでしょうか？

※基本的にはKLEZについて話しています。

RE:06917 ウイルスの添付ファイルはどこで削除されますか？

秀まるお2 さん　02/05/07 17:45

　Klezの場合ですが、Klezには多数の亜種が出回ってまして、ウィルス情報をこ
まめに更新していても検出できないケースが多々あります。ということで、まず
はアンチウィルスソフトでは完全には防げないと考えないことが大事です。

>その場合、その削除した添付
>ファイルはどこに行っているのでしょうか？

　ウィルスバスターが削除したのなら、たぶんそのウィルスは「隔離」というこ
とで、どこかの隠しフォルダに残っているはずです。たしかウィルスバスター側
から隔離されたファイルの一覧を見ることが出来て、そこから復元することも出
来たはずです。

　もしかして、鶴亀メール側の「全般的な設定・ウィルス対策」の「自動削除対
象のファイル拡張子」の指定によって削除されたのなら、メールを受信解析しな
おすことで添付ファイルを復元することが出来ます。

　添付ファイルの上でマウス右ボタンを押して出てくるメニューを参照ください。

>一方、鶴亀メールでは、ウイルスバスターのチェック後、ウイルス本体を削除後、
>受信してくれるのでしょうか？

　鶴亀メールの場合、「全般的な設定・ウィルス対策」の「アンチウィルスソフ
トのリアルタイム検索に対応させる」をONにしてるかどうかで動作が違ってきま
す。

　ONの場合、アンチウィルスソフトがウィルスを検出したら、そのメール全体を
完全に削除します。メールを受信したことすら気づかないかもしれません。

　OFFの場合は受信したメールの添付ファイルのみが削除されるはずです。

RE:06918 ウイルスの添付ファイルはどこで削除されますか？

秀まるお2 さん　02/05/07 18:02

>はアンチウィルスソフトでは完全には防げないと考えないことが大事です。

　「完全には防げないと考えることが」の間違いでした。

RE:06918 ウイルスの添付ファイルはどこで削除されますか？

shimax さん　02/05/07 18:29

御世話になります。

>>その場合、その削除した添付
>>ファイルはどこに行っているのでしょうか？
>
>　ウィルスバスターが削除したのなら、たぶんそのウィルスは「隔離」というこ
>とで、どこかの隠しフォルダに残っているはずです。たしかウィルスバスター側
>から隔離されたファイルの一覧を見ることが出来て、そこから復元することも出
>来たはずです。

今まではOutlook Expressを使っていたのですが、OEだと、ウイルスつきの添付ファ
イルはくっついたまま受信トレイに入ります。そして受信後、ウイルスメールを選択
すると「ウイルスを発見しました」とアラートが表示されます。ここで削除します。
恐らく隔離はされているはずです（隔離リストに表示されていますから）

だけど、鶴亀メールの場合は、「ウイルスが発見されました」のalertが先に出て、
その後、添付ファイルが削除された形で受信トレイにメールが入っています。

>　もしかして、鶴亀メール側の「全般的な設定・ウィルス対策」の「自動削除対
>象のファイル拡張子」の指定によって削除されたのなら、

そのようにしています。ということは、この設定により鶴亀メール側で添付ファイル
を削除しようとする⇒ウイルスバスターが作動⇒ウイルスが発見されましたというal
ertという構図なのでしょうか？

>　鶴亀メールの場合、「全般的な設定・ウィルス対策」の「アンチウィルスソフ
>トのリアルタイム検索に対応させる」をONにしてるかどうかで動作が違ってきま
>す。
>
>　ONの場合、アンチウィルスソフトがウィルスを検出したら、そのメール全体を
>完全に削除します。メールを受信したことすら気づかないかもしれません。

onにしています。でもメールは届いています。本文は無くヘッダーだけですが、これ
はウイルスメールなので本文がないのではなく、鶴亀メール側で本文も消しているの
ですか？

たびたび恐縮ですが、よろしくご回答ください。

RE:06920 ウイルスの添付ファイルはどこで削除されますか？

秀まるお2 さん　02/05/07 18:48

　ウィルスバスターの使用経験がわずかしか無いので間違ってたらすみません。
（誰かご指摘を）

>onにしています。でもメールは届いています。

　うちの会社でつい最近ウィルスバスター2002を使ってウィルス入りメールを受
信した時は、

　－　ウィルス入りメールを受信する。
　－　ウィルスバスターがAlertを出す。
　　　（ウィルス入りメール全体が隔離される）
　－　鶴亀メールはウィルス入りメールを破棄する。

　という動作でした。「本文は無くヘッダーだけ」のメールを受信するような動
作は起きたことがありませんでした。

　ちなみに上記の「隔離」の動作は、Becky!のような複数メールを１つのファイ
ルに格納するタイプのメールソフトで大問題が起きていました。つまり、ウィル
ス入りメールが１つでもあると、その周辺のメールもまとめて隔離され、結果と
してウィルス感染してないメールまで無くなってしまうということが起きてまし
た。もしかしてそれが原因でウィルスバスターが改良されたのやら？

　ということで結論を述べさせていただくと、

>鶴亀メール側で本文も消しているの
>ですか？

　消してません。

---------------------------------------------------
　で、結局ご希望のことが分からないのでなんですが、ウィルスを徹底的に駆除
したいという話でしたら、鶴亀メール側の「拡張子指定による添付ファイルの自
動削除」を有効利用していただきたいと思います。これを使えばメールによって
ウィルス感染することは完全に防げるはずです。

　鶴亀メールのこの機能は、あくまで「添付ファイル」のみを削除する物であっ
て、メールそのものを削除したり、本文を読めなくしたりすることはありません。
もしそういうことが起きるなら、それはアンチウィルスソフトによる動作だと思
います。それらの動作が気に入らない場合は、アンチウィルスソフトのリアルタ
イム検索をOFFにするか、あるいは鶴亀メール用のフォルダ配下は対象外にして
しまえばいいと思います。

RE:06921 ウイルスの添付ファイルはどこで削除されますか？

ひろさん　02/05/07 19:09

　秀まるおさん今日は、ひろです。
> 　という動作でした。「本文は無くヘッダーだけ」のメールを受信するような動
> 作は起きたことがありませんでした。
　私自身ではなく、知人の話です。メールのインポート、ログをデコードし
て開く等を含め、通常の動作では全く同じです。つまりウイルスだけ別の場
所に隔離されたとのことです。正確には、「ウイルスの駆除は試みているよ
うだが、それができなくて隔離になるようだ。」とのことです。

　例外は、
(1)全てのファイルをウイルス・チェックをかけた場合、ログは複数のメール分、
丸ごと隔離
(2)元々本文がなく、ウイルスだけのメールは、ヘッダだけになります(^^)。

RE:06920 ウイルスの添付ファイルはどこで削除されますか？

アルビレオ さん　02/05/07 19:42

アルビレオです。

一般的にOEや鶴亀のようなメールクライアントはウィルスチェックソフトと「連動し
て」メールの内容や添付ファイルを削除するような機能はありません。

ウィルスバスターが警告を表示した結果、添付ファイルが削除されたのなら、削除し
たのはウィルスバスターです。

>今まではOutlook Expressを使っていたのですが、OEだと、ウイルスつきの添付ファ
>イルは
>くっついたまま受信トレイに入ります。そして受信後、ウイルスメールを選択すると
>「ウイルスを発見しました」とアラートが表示されます。ここで削除します。
>恐らく隔離はされているはずです（隔離リストに表示されていますから）
>
>だけど、鶴亀メールの場合は、「ウイルスが発見されました」のalertが先に出て、
>その後、添付ファイルが削除された形で受信トレイにメールが入っています。

鶴亀エディタがウィルス対策のために行なっていることは秀まるおさんが書かれたこ
とぐらいで、それほど多くの処理をしているわけではありません。

結局、警告が表示された後は添付ファイルが（ウィルスバスターによって）削除され
ているので動作としては全く同じように思います。
警告の出るタイミングが違うのは、受信ログから添付ファイルを作成するタイミング
の違いではないでしょうか。
多くのメールクライアントではメールの受信直後に添付ファイルを作成（デコード）
しますが、OEではメールを選択した時点で作成するのかもしれません。

ここにおられる方々もウィルスバスターの振る舞いから何をしているのかある程度推
測することはできても、正確に知ることは困難です。
shimax さんが知りたいことはここではなくウィルスバスターについて詳しく知って
いる人（トレンドマイクロ？マカフィー？）に聞かなければ明確な結論は出ないかも
しれません。

RE:06921 ウイルスの添付ファイルはどこで削除されますか？

shimax さん　02/05/07 20:04

何度も恐縮です。

>　で、結局ご希望のことが分からないのでなんですが、ウィルスを徹底的に駆除
>したいという話でしたら、鶴亀メール側の「拡張子指定による添付ファイルの自
>動削除」を有効利用していただきたいと思います。これを使えばメールによって
>ウィルス感染することは完全に防げるはずです。

やりたいことはこういうことです。鶴亀メールは拡張子指定による添付ファイルの自
動削除ができるというのなら、ウイルスバスターのalertが出る前に削除できないの
ですかということです。

何事も無かったかのように（警告無しで）テキストだけ受信したいのです。あるいは、
受信すらしない状態にしたいのです。

>　鶴亀メールのこの機能は、あくまで「添付ファイル」のみを削除する物であっ
>て、メールそのものを削除したり、本文を読めなくしたりすることはありま>せん。

でも、実際には削除しているのはウイルスバスターなんですよね。実際、今ウイルス
バスターの隔離リストを見てみたら、tsurukamereceived9876.eml見たいな物がウイ
ルスファイルになっています。

今までOutlook Expressの場合でしたら、このリストにはウイルスそのもののhogehog
e.pifのようなファイルが上がっていて、hogehoge.emlとはなっていませんでした。

>もしそういうことが起きるなら、それはアンチウィルスソフトによる動作だと思
>います。それらの動作が気に入らない場合は、アンチウィルスソフトのリアルタ
>イム検索をOFFにするか、あるいは鶴亀メール用のフォルダ配下は対象外にして
>しまえばいいと思います。

もし、offにすれば、ウイルスバスターのリアルタイム検索がoffになる代わりに、登
録されている拡張子の場合は、鶴亀メールの方で添付ファイルを削除してくれて、登
録されていない拡張子の場合は添付されたまま受信されるけれどOutlook Expressの
ように自動プレビューされることはないので安心と考えれば良いのでしょうか？

トレンドマイクロに聞かないと分からないのではというご意見もごもっともですが、
良かったら教えてください。よろしくお願いします。

RE:06924 ウイルスの添付ファイルはどこで削除されますか？

アルビレオ さん　02/05/07 21:54

アルビレオです

>もし、offにすれば、ウイルスバスターのリアルタイム検索がoffになる代わりに、
>登録されている拡張子の場合は、鶴亀メールの方で添付ファイルを削除してくれて、
>登録されていない拡張子の場合は添付されたまま受信されるけれど
>Outlook Expressのように自動プレビューされることはないので安心と考えれば良い
>のでしょうか？

そのとおりです。
鶴亀メールはウィルスだろうがなんだろうがメールとして送られてきたデータを
実行する機能を持っていないのでユーザーが添付ファイルを操作しない限りは
基本的に安全です。

ただ、

>何事も無かったかのように（警告無しで）テキストだけ受信したいのです。
>あるいは、受信すらしない状態にしたいのです。

私のところにも届いたことがあるので何度も送られてくるたびに警告が表示されるのが
いかに苦痛かは理解できるのですが、ウィルスが届いたことすらまったくわからなく
なってしまうというのはあまりいいことではありません。
せめてウィルスバスターの方でウィルスを発見しても警告を表示しないようにする
オプションはないのでしょうか？
少なくとも NortnAntiVirus にはそういうオプションがあります。

こうしておけば受信した時点ではでは警告が出ませんが、あとで履歴を確認すること
ができるので、
もし可能であればウィルスバスターの方でそういう設定をすることをお勧めしたいで
す。

RE:06924 ウイルスの添付ファイルはどこで削除されますか？

秀まるお2 さん　02/05/08 10:07

>でも、実際には削除しているのはウイルスバスターなんですよね。実際、今ウイルス
>バスターの隔離リストを見てみたら、tsurukamereceived9876.eml見たいな物がウイ
>ルスファイルになっています。

　鶴亀メールの「全般的な設定・ウィルス対策」の「アンチウィルスソフトの
リアルタイム検索に対応させる」がONになっている場合、上記のような動作と
なります。

　鶴亀メールはメールがウィルス入りかどうかアンチウィルスソフトにテスト
させるために、一度テンポラリファイルに保存してみます。ウィルスソフトが
その時点で隔離すればファイルが無くなるので、それによって「あ、これはウ
ィルス入りだったんだな」ということになって、そのメールを破棄します。

------------------------------------
　ウィルス入りのメールを普通に受信したとしてもあくまで添付ファイルを実
行しなければ感染しないので、鶴亀メールを使う限りはそう神経質になる必要
は無いと思います。うちの会社でもホームページ担当以外はアンチウィルスソ
フトを使っていません。

RE:06932 ウイルスの添付ファイルはどこで削除されますか？

shimax さん　02/05/08 13:44

>　ウィルス入りのメールを普通に受信したとしてもあくまで添付ファイルを実
>行しなければ感染しないので、鶴亀メールを使う限りはそう神経質になる必要
>は無いと思います。うちの会社でもホームページ担当以外はアンチウィルスソ
>フトを使っていません。

いろいろありがとうございました。今後とも宜しくお願いします。

RE:06921 ウイルスの添付ファイルはどこで

ざいざい さん　02/07/19 17:38

こんちは。初めて投稿いたします。不手際、無作法があったらご指摘
ください。

鶴亀のウィルス対策を使用予定です。
添付ファイルの自動削除の仕様についてもう少し教えてください。

>---------------------------------------------------
>　で、結局ご希望のことが分からないのでなんですが、ウィルスを徹底的に駆除
>したいという話でしたら、鶴亀メール側の「拡張子指定による添付ファイルの自
>動削除」を有効利用していただきたいと思います。これを使えばメールによって
>ウィルス感染することは完全に防げるはずです。

これは、鶴亀メール側は、ウィルスのexeファイルなどを
デコードする前に削除するのでしょうか？
つまりエンコードベースでこれはexeファイルになるぞ！と
判断して、そもそもデコードしないのですか？

こころは、POPでとってきた添付ファイルは、自動削除の対象で
あっても一旦HDにデコードされて保存されるかどうかという点です。

話題になった時より遅れてしまいましたが、よろしくお願いいたします。

RE:08328 ウイルスの添付ファイルはどこで

秀まるお2 さん　02/07/19 18:43

>これは、鶴亀メール側は、ウィルスのexeファイルなどを
>デコードする前に削除するのでしょうか？
>つまりエンコードベースでこれはexeファイルになるぞ！と
>判断して、そもそもデコードしないのですか？

　ソースコードを見直した所、デコードの処理自体はやってしまうようです。ただ、
その後ハードディスクに添付ファイルを保存する段階で処理を中断するようです。も
っと正確に書くと、サイズ０バイトのファイルを一度作成はしますが、ファイルへの
書き込みをせずにCloseHandleして削除します。

　本当はデコードすらせずともファイル拡張子から不要ファイルと判断できるんです
けど、別にメモリ上でデコードしたからといってそれでウィルス感染する訳でもない
ので問題ないと思います。
>こころは、POPでとってきた添付ファイルは、自動削除の対象で
>あっても一旦HDにデコードされて保存されるかどうかという点です。

　話を総合すると、「保存されることは無い」です。

RE:08329 ウイルスの添付ファイルはどこで

ざいざい さん　02/07/22 09:30

>>これは、鶴亀メール側は、ウィルスのexeファイルなどを
>>デコードする前に削除するのでしょうか？
>>つまりエンコードベースでこれはexeファイルになるぞ！と
>>判断して、そもそもデコードしないのですか？
>
>　ソースコードを見直した所、デコードの処理自体はやってしまうようです。ただ、
>その後ハードディスクに添付ファイルを保存する段階で処理を中断するようです。も
>っと正確に書くと、サイズ０バイトのファイルを一度作成はしますが、ファイルへの
>書き込みをせずにCloseHandleして削除します。
>
>　本当はデコードすらせずともファイル拡張子から不要ファイルと判断できるんです
>けど、別にメモリ上でデコードしたからといってそれでウィルス感染する訳でもない
>ので問題ないと思います。
>>こころは、POPでとってきた添付ファイルは、自動削除の対象で
>>あっても一旦HDにデコードされて保存されるかどうかという点です。
>
>　話を総合すると、「保存されることは無い」です。
ありがとうございました。POPでとってくるメールの場合には、大変
有効な機能ですね。おおいに利用させていただきます。今後ともどうぞ
よろしくお願いいたします。