予告:マクロ入りdocファイル/xlsファイルNo.01615
秀まるお2 さん 17/07/07 11:29
 
 最近、Word/Excelの古い形式(拡張子がdocまたはxls)の添付ファイルで届く
ウイルス入りメールが非常に多いです。

 迷惑メールフィルターでなんとかしようにも、.docや.xlsファイルは普通にや
りとりするケースもあるので、その条件だけではなかなか除去しづらいです。し
かも、国内から発信されてる場合も多いです。

 (たぶん国内のパソコンも多く感染してるんだと思う)

 それで、秀丸メールにこれらのウイルス入りと思わしきdoc/xlsファイルの自
動削除機能を付けて、デフォルトONにしてしまおうと思います。

 オプションは、「全般的な設定・ウイルス対策」の所の、「怪しい添付ファイ
ルの自動削除」のページで、

  □ マクロを含むdoc/xlsファイル削除

 にしようと思います。つまり、マクロを含んでるdoc/xlsファイルは自動削除
するのがデフォルトになります。

 最近作成されたWord/Excelファイルは拡張子がdocx/docm/xlsx/xlsmになるは
ずなので、よほど古いファイルを添付ファイルで送らない限りは大丈夫だと思う
し、マクロが入ってなければ自動削除されることも無いです。

 マクロが入ってるかどうかの判定は、doc/xlsファイルの中をテキスト的に検
索して、

   vbe6.dll またはvbe7.dll または vbe8.dll を含む、かつ、
   mso.dll を含む

 みたいなロジックにしようと思っています。

 迷惑メールフィルターの方でも、上記doc/xlsファイルを見分ける仕組みを追
加して、それプラス、何らかの追加の条件(例えば発信元が外国なら)で迷惑
メール扱いするような形にしようと思います。

 何かご意見があれば連絡ください。
[ ]
RE:01615 予告:マクロ入りdocファイル/xlNo.01616
mysty さん 17/07/07 11:49
 
Mystyです。

拡張子がdocやxlsのファイルは確かに古い形式ですが、まだまだ仕事で
やり取りすることが多いので、一律にフィルタリングされてしまうのは
困ります。

設定で除去対象から除外するようにできるなら良いのですが。


> 最近、Word/Excelの古い形式(拡張子がdocまたはxls)の添付ファイルで届く
≪全文引用されていたのでコミュニテックス会議室システムが引用部分を省略処理し
ました。≫
> 何かご意見があれば連絡ください。
[ ]
RE:01616 予告:マクロ入りdocファイル/xlNo.01617
秀まるお2 さん 17/07/07 13:35
 
 一応、自動削除の対象にするのは「マクロが含まれてると思わしきdoc/xls
ファイル」だけなので、doc/xlsファイル全部が削除される訳では無いですが、
やはり不安があるということで・・・

 マクロが入ってるかどうかは、例えば秀丸メールのデータ用フォルダ配下に対
して秀丸エディタのgrep検索で、

 検索する文字列:         vbe[678]\.dll
 検索するファイル:       *.doc;*.xls
 正規表現:               ON
 サブフォルダも検索する: ON

 とすれば、対象となるファイルがあるかどうか分かります。出来たら1回検索
してみて、結果、そういうファイルがあるかどうか教えていただけると助かりま
す。

 どっちにしても、やはり標準でONにするのは良くない可能性が出てきたので、
もうちょっと慎重に考えようと思います。

 他の案として・・・・

 − 添付ファイルを開く時の警告に、マクロが入ってる可能性が高いことを
   分かるようにする。
 − Word Viewer / Excel Viewerで開く機能も追加して、標準だとそっちで
   開くのを優先するようにしてしまう。
   (Word Viewer/Excel Viewerだとマクロが実行できないので、
    結果としてウイルス感染を防げる)

 も考え中です。
[ ]
RE:01615 予告:マクロ入りdocファイル/xlNo.01618
いっぷく2 さん 17/07/07 14:14
 
私はデフォルトにも大賛成です。
記憶違いかもしれませんが、たしかgmailでは受信はもとより、送信も制限していた
と思います。

メール使用者はこの手の問題が自分だけではなく他人も危険に晒すことを意識するべ
きでしょう。
業界は積極的に排除することが必要だという意見です。

できればZIPその他圧縮添付ファイルの中も走査してほしいです。
これはオプションでもいいですが、送信も制限、あるいは警告してほしいです。
[ ]
RE:01618 予告:マクロ入りdocファイル/xlNo.01619
秀まるお2 さん 17/07/07 17:37
 
 ご意見どうもです。

 おおよそ一ヶ月くらい前くらいからdoc/xlsファイルのウイルスが大量発生し
て、ほっとけば収束するかと思いつつも、未だに収束せず、それどころか新しい
文面のウイルスがまた発生してるようでして、このまま放置しててもダメなのか
なぁと思ってる所です。

 迷惑メールフィルターでうまく除去できて、さらには間違って開くことが無け
ればいいだろうということで、いくかの案から対策を考えてみます。
[ ]
RE:01619 予告:マクロ入りdocファイル/xlNo.01625
suii さん 17/07/10 05:39
 
私も仕事でdoc/xlsファイルを受け取りますが、信頼できる差出人からのdoc/xls
は削除しないような動作であれば問題がないような気がしますが、難しいので
しょうか。
それでも送信人なりすましのマクロ入りファイルなんて可能性もあり得ますけど。
そして自動削除といっても、メール自体の削除ではなくて添付ファイルの削除で
すよね?
それなら見落としもないし受信解析のやり直しで簡単に復活できるのでしょうし、
あまり問題に感じません。
一方、「難しいことは知らなくても簡単に問題のないメールを送受信できる」と
いう触れ込みでいろいろな人におすすめしてきましたので、"よくわからない人"
向けにもデフォルト削除に賛成したいです。
[ ]
RE:01625 予告:マクロ入りdocファイル/xlNo.01629
秀まるお2 さん 17/07/10 14:25
 
> 私も仕事でdoc/xlsファイルを受け取りますが、信頼できる差出人からのdoc/xls
> は削除しないような動作であれば問題がないような気がしますが、難しいので
> しょうか。

 迷惑メールフィルターと連携させることは技術的には可能ではありますが、そ
のための設定の仕組みとかがややこしくなって、「なんで削除されたのか、また
はなんで削除されなかったのか」って理由がユーザーさんに想像できなくなった
りとか、いろいろ面倒な問題が出そうな気がします。

> それでも送信人なりすましのマクロ入りファイルなんて可能性もあり得ますけど。

 特に最近出回ってるウイルスメールは、いかにも差出人をなりすましてそうだ
し、メール本文もいかにもその辺にありそうな文面で、発信元も日本国内の場合
もあるので、「削除されなかったから安全だ」とユーザーさんが見なしてしまう
と、かえって危険な気がします。

 やっぱりいろいろ考えると難しい問題がありそうです。

 アンチウイルスソフトがちゃんとこの手の添付ファイルを削除してくれたらい
いんですが、もうほとんどスルーされて、2、3日くらい経過してからやっと削
除されるのが当たり前になりつつあります。アンチウイルスソフトさんでも判断
が難しいのを、僕がなんとかしようってことに無理があるのかもしれません。

 もうちょっと何かいい案が無いか考えてみます。
[ ]
RE:01629 予告:マクロ入りdocファイル/xlNo.01728
秀まるお2 さん 17/07/24 11:59
 
 今さらですが、仕様として・・・

 「マクロ入りと思わしきOfficeファイルを削除する」

 のオプションを追加しましたが、デフォルトはやはりOFFにします。

 その代わり、マクロ入りと思わしきOfficeファイルを開こうとした時の警告に、
ちゃんと赤字で

  ★の添付ファイルはマクロ入りのOfficeドキュメントです。マクロを実行
  するとウイルス感染のリストがあります。

 と出すようにしました。さらに、この形式も含めて、実行すると即ウイルス感
染するリスクのあるファイル(exeファイルなど)では、「開く」ボタンを「危
険を承知して開く」と表示した上で、デフォルトのボタンを「キャンセル」にし
て、Enterキーで簡単に開いてしまわないようにしました。さらにキャンセルボ
タンの右側に「VirusTotalで確認」ボタンを追加しました。

 という辺りで妥協することにします。
[ ]
RE:01728 予告:マクロ入りdocファイル/xlNo.01770
秀まるお2 さん 17/07/28 15:26
 
 せっかく、「マクロ入りと思わしきOfficeファイルを削除する」の対策を追加
した所ですが、また新しいタイプのウイルスメールが発生してるようでした。

 .docxファイルなんだけど、embeded objectとして拡張子が「.bin」の
ファイルが入っていて、実はそれがウイルスをダウンロードする用のJavaScript
になっていて、文章ファイルの中のアイコンをダブルクリックして「開く」とす
ると、そのJavaScriptがwscript.exeだかPowerShellだかで実行されて感染する
そうな。

 .docxだからマクロは入ってないと思って安心すると感染してしまうそうな。

 困りました。

参照:
https://blogs.yahoo.co.jp/fireflyframer/34548205.html
[ ]