その人は、「_」を「e」に置き換えて実行しろというのですが、
(ルールに従いともメールには書いてあります)
①これを安全だという根拠
②これのリスク
についてご存じの方いらっしゃいましたらお教えいただけますでしょうか。
どうぞよろしくおねがいいたします。
主にお伺いしたいのは
(1)実行形式にした場合、PC所有者の意図しないファイル操作を行われるリスクの有無
(2)セキュリティソフトによる誤検出ならびに、検出漏れのリスクの有無
(3)そもそも私はPCを20年以上使っていますが、このexeファイルのやりとりはマナー的に
なっていないと説教しちましたがそんな説教は時代遅れなのか?
ということを確認したいと思っています。
なにゆえそのようなex_なる不可思議なものが流通するのか
・zipの安全性が不明である
・zipを作った会社も知らん会社である
・なにやらzipはパスワードクラックできるらしい
・zipはだめだ。安全な暗号化ツールをさがせ
・pgpでどうですか?
・複雑なのはだめだ、もっと簡単なのにしろ
・暗号化ツール作りました。作ったところも安心できます。
・でも、世間に普及してないツールなので社外に送ったときに困りますね。
・自己解凍にしろ
・exeはメールが通りません。
・仕方ない手作業でex_にリネームしろ
って感じでしょうかね。
せめて自己解凍はやめて、独自形式暗号ファイルと、web上においた解凍ツールに分ければいいのに。
あ、回答になってない。愚痴になってる。
回答です
(1) 安全であるのは保証できません。送る側はルールに従っているので、なにが起こっても自分の責任でないと言い張れるところが安全ですね。送られるほうは、いちいち、ウイルスかどうか心配しないといけないだけでも十分被害こうむってます。
(2) 新しいウイルスとセキュリティソフトの対応は1日くらい時差があるかなというのが実感です。漏れる可能性は十分です。
あと、このツール専用のウイルスが作られた場合、普通の人はそんなの使ってませんから発覚するのが遅れるでしょう。まあ、使う人が少ないので狙わないという話もありますが。
(3) exeを送りつけるのは非常識ですね。
昔のzipは安全でないという話を聞いたことがあります。現在のzipでもパスワードクラッカーソフトがあって、簡単なパスワードならなんなく探し出してくれます。ABCD20100811なんてのは一瞬です。(ほんとはもうちょっとかかるけど)
あまりいい例ではないですが、こんなのもあります。
http://secunia.com/advisories/8020/
winzipで、パスワードより強度が弱くなる
googleで、zip パスワード 解析 か、クラッカーで検索すれば山ほどでてきます。
zipの現在のバージョンでパスワードがランダムで長ければ安全でしょう。
あ、URLがない。
http://www.rixler.com/zip_password_recovery.htm
このパスワードクラッカーが安全かどうかは保証できかねますw
>(1)実行形式にした場合、PC所有者の意図しないファイル操作を行われるリスクの有無
リスクは当然有ります。リスク大です。
>(2)セキュリティソフトによる誤検出ならびに、検出漏れのリスクの有無
まず誤検出はあるでしょうね。たとえ中身が信頼できる筋からのファイルだとしても、ウィルスソフトによってはexe等の実行形式のファイルの添付はそもそも弾くものがあります。
検出漏れというのはそのexeがウィルスだった場合の検出漏れということでしょうか?だとしたら当然検出漏れのリスクはあります。というかexeを実行させるところまでが運用や社内ルールで強制できるのであれば何でもやりたい放題ですし、当然ウィルスとは認識されないでしょう。
>(3)そもそも私はPCを20年以上使っていますが、このexeファイルのやりとりはマナー的になっていないと説教しちましたがそんな説教は時代遅れなのか?
昔も今もexeを送りつけて実行しろなどというのはロクなものではないという認識で問題ないと思います。
というか、そもそも「圧縮形式」という言葉を使っていることから察するに、やりとりしたいのはワードやエクセルや画像などのexeとは全く関係ない形式のファイルで、相手がご丁寧にも自己解凍形式のファイル圧縮で送ってくるということでしょうか?
であるとすれば、セキュリティに関する意識が足りな杉だと思います。
今時のWindowsはzip解凍機能もあるので自己解凍形式の圧縮ファイルなどは既に不要なものと言ってよいでしょう。
ありがとうございます。
そのzip形式の圧縮解凍に問題があるというようなことを聞いたことがありますが、その辺についてどなたかコメントいただけますと。
自己解凍型の圧縮ファイルのことでしょうか?違いましたらすみません。
とりあえず拡張子がex_である点について書きます。
まず、拡張子を変更するという作業を他人に頼むという行為は避けるべきです。最近のWindowsでは、デフォルトで拡張子を表示しない設定になっているため、デフォルトの環境での拡張子の変更が面倒になっています。それ以前の問題として、先方を煩わせることは少なくともビジネス的にはマナー違反だと思います。どうしても拡張子がexeのままで送れないのならばzipで送るべきだと思います。ちなみに以前はlhzもよく使われていましたが、現在では使わない方が無難です。
また、拡張子がexeだと危険でex_だと安全だということはありません。
セキュリティソフト関係についてですが、拡張子だけを見れば未知のファイルなので、セキュリティソフトの検出漏れはあり得ると思います。誤検出は分かりません。どちらもセキュリティソフトのスキャン方法によって変わるので、ものによります。
これ以降は自己解凍型のファイルであるという点だけを考えて回答します。すなわち、ファイル名をhogehoge.exeで送信した場合です。
(1)実行形式で送るのであればもちろんPC所有者の意図しないファイル操作を行なうようなものを送ることが可能です。極端な話ですが、ウイルスを仕込むことも可能です。受け取る側にとってはリスクが多少はあります。
(2)セキュリティソフトによる誤検出ならびに、検出漏れのリスクの有無は、その圧縮形式にセキュリティソフトが対応しているかどうか次第です。これについてはあまり分かりません。
(3)自己解凍形式で送るとすると少なくとも相手のパソコンがWindowsでありさえすれば確実に解凍することができるのは事実です。たとえばrarなどの様に解凍ソフトが入っていない可能性が高い圧縮形式を使う必要exeで送るべきだと思います。しかし、たいていの場合zipでさほど不自由しないと思われますし、zipならむしろ解凍できない環境の方が圧倒的に少数であり、やはり実行形式のファイルをあまり使いたくない方も少なからずいるのでzipで送る方がベターだと思います。
ちなみにこちらのサイトでは自己解凍形式の方が親切だと書いています。
ありがとうございます。
なにゆえそのようなex_なる不可思議なものが流通するのか
・zipの安全性が不明である
・zipを作った会社も知らん会社である
・なにやらzipはパスワードクラックできるらしい
・zipはだめだ。安全な暗号化ツールをさがせ
・pgpでどうですか?
・複雑なのはだめだ、もっと簡単なのにしろ
・暗号化ツール作りました。作ったところも安心できます。
・でも、世間に普及してないツールなので社外に送ったときに困りますね。
・自己解凍にしろ
・exeはメールが通りません。
・仕方ない手作業でex_にリネームしろ
って感じでしょうかね。
せめて自己解凍はやめて、独自形式暗号ファイルと、web上においた解凍ツールに分ければいいのに。
あ、回答になってない。愚痴になってる。
回答です
(1) 安全であるのは保証できません。送る側はルールに従っているので、なにが起こっても自分の責任でないと言い張れるところが安全ですね。送られるほうは、いちいち、ウイルスかどうか心配しないといけないだけでも十分被害こうむってます。
(2) 新しいウイルスとセキュリティソフトの対応は1日くらい時差があるかなというのが実感です。漏れる可能性は十分です。
あと、このツール専用のウイルスが作られた場合、普通の人はそんなの使ってませんから発覚するのが遅れるでしょう。まあ、使う人が少ないので狙わないという話もありますが。
(3) exeを送りつけるのは非常識ですね。
昔のzipは安全でないという話を聞いたことがあります。現在のzipでもパスワードクラッカーソフトがあって、簡単なパスワードならなんなく探し出してくれます。ABCD20100811なんてのは一瞬です。(ほんとはもうちょっとかかるけど)
あまりいい例ではないですが、こんなのもあります。
http://secunia.com/advisories/8020/
winzipで、パスワードより強度が弱くなる
googleで、zip パスワード 解析 か、クラッカーで検索すれば山ほどでてきます。
zipの現在のバージョンでパスワードがランダムで長ければ安全でしょう。
あ、URLがない。
http://www.rixler.com/zip_password_recovery.htm
このパスワードクラッカーが安全かどうかは保証できかねますw
詳細な解説ありがとうございます。
不安に思っていた点が明らかになりました。
hogehoge.exe ではなく、 hogehoge.ex_ という名前にわざわざリネームして送ってくる点に疑問を感じているということでよいですよね。
>(1)実行形式にした場合、PC所有者の意図しないファイル操作を行われるリスクの有無
実行形式のほうが、オペミスも含めてクリックして「実行」されやすいとは言えます。ただし、EXE ファイルを自動実行するようなメールソフトはさすがにないと思いますので、その意味ではPC所有者がしっかりしていればリスクは防げるとも言えます。むしろ画像ファイルなどの方が自動的に「表示」されることが多いと思いますので、フォーマットにセキュリティホールがあった場合に意図しない操作が行われてしまうリスクは高いと思います。
EX_ という拡張子は、基本的にどのアプリケーションも割り当てられていないと思いますので、その点では EXE より少しはリスクは低いでしょう。
ただ、EXE を EX_ に変えて送ってくるケースは、大抵は組織のセキュリティポリシーで EXE 形式のファイルの添付が禁止されているためであるケースが多いと考えています。
一昔前のウイルスが EXE 形式のファイルを添付してくることが多く、それに対する安直な防御として、そのようにしている組織があるのは知っています。
ですので、安全というより、そうしないとメールを送付できないポリシーになっているから、という方が理由としては適切な気がします。
>(2)セキュリティソフトによる誤検出ならびに、検出漏れのリスクの有無
基本的には拡張子をうのみにして判断するようなセキュリティソフトはないと思いますので、拡張子が EXE でも EX_ でも中身が危険だと判断すれば、はじくと思います。
なお、それとは別に Outlook などでは、EXE 形式の添付ファイルにアクセスさせない機能があったりしますので、それを回避するために EX_ に変えて送るといったケースはありますね。
>(3)そもそも私はPCを20年以上使っていますが、このexeファイルのやりとりはマナー的に
> なっていないと説教しちましたがそんな説教は時代遅れなのか?
EX_ にリネームするかどうかを問わず、実行形式のファイルを添付することのマナー的な見解に関していえば、当然好ましいとは言えないと思います。
>zip形式の圧縮解凍に問題があるというようなことを聞いたことがありますが、
http://www.microsoft.com/japan/technet/security/bulletin/ms04-03...
のことですよね。zip形式の問題というよりは、zip形式を処理するWindowsのプログラムのセキュリティホールですね。ですので、修正プログラム適用により対応できます。
ありがとうございます。
古い情報のままでいるといけないということがわかりました。
>(1)実行形式にした場合、PC所有者の意図しないファイル操作を行われるリスクの有無
リスク有り。
>(2)セキュリティソフトによる誤検出ならびに、検出漏れのリスクの有無
リスク有り。
>(3)そもそも私はPCを20年以上使っていますが、このexeファイルのやりとりはマナー的に
> なっていないと説教しちましたがそんな説教は時代遅れなのか?
そんなことはない。exeファイルを添付してくる方がマナー違反。
わざわざ"ex_"にリネームしているのは、メーラーで添付ファイルを削除されるのを防ぐためだろう。つまり、常識的にexeファイルを添付してはいけないということ。
簡潔なご回答ありがとうございます。
詳細な解説ありがとうございます。
不安に思っていた点が明らかになりました。