Ubuntu Weekly Recipe

第31回 アンチウイルスソフトウェアClamAVの活用(2)

この記事を読むのに必要な時間:およそ 3 分

前回に引き続き,今回もClamAVを使ったレシピです。今回はhavpというHTTPプロクシを用いて,Webアクセスのフィルタリングや,マルウェアを発見した場合の通知の設定を行ってみましょう。

havpのインストール

havp(HTTP Antivirus Proxy)は,ClamAVを用いたHTTPプロクシを構成するためのソフトウェアです。次のコマンドでインストールするか,Synapticからインストールしてください。

havpのインストールよりも前に,clamav・clamav-freshclamの2つのパッケージがインストールされている必要があるので,以下のように先にclamavとclamav-freshclamをインストールします(前回すでにインストールしている場合はhavpパッケージだけをインストールして構いません)。

$ sudo apt-get install clamav clamav-freshclam
$ sudo apt-get install havp 

もし誤ってhavpだけを先にインストール指定すると,havpの起動に失敗して次のようなメッセージが出力されます。

havp (0.86-1build1) を設定しています ...
グループ `havp' (GID 128) を追加しています...
終了。
Using 102400 kilobytes for building loopback-device /var/lib/havp/havp.loop with mandatory locks, this MAY take a little while so please be patient... building loopback-device finished!
Mounting /var/lib/havp/havp.loop under /var/spool/havp ...done
Starting havp: Starting HAVP Version: 0.86
LibClamAV Error: cli_loaddb(): No supported database files found in /var/lib/clamav/
One or more scanners failed to initialize!
Check errorlog for errors.
Exiting..
invoke-rc.d: initscript havp, action "start" failed.
dpkg: havp の処理中にエラーが発生しました (--configure):
 サブプロセス post-installation script はエラー終了ステータス 1 を返しました

このような場合,clamavとfreshclamパッケージをインストールし,次のコマンドを実行してください。

$ sudo /etc/init.d/clamav-freshclam restart
$ sudo apt-get install -f

インストール後,Webブラウザ側でhavpをHTTPプロクシとして利用するための設定が必要です。[システム][設定][ネットワークのプロキシ]とたどって設定画面を開いてください図1)。

図1 ネットワークのプロキシ

図1 ネットワークのプロキシ

設定画面で[マニュアルでプロキシの設定を行う]を選択し,サーバのアドレスとして127.0.0.1,ポートに8080を入力し,「全てのプロトコルで同じプロキシを使う」にチェックを入れます図2)。

図2 havpを利用するように設定

図2 havpを利用するように設定

Firefoxなどを使っている場合,ブラウザ側で「システムのプロキシ設定を利用する」などといった設定が有効になっていますので,この設定を行うことでアクセスがhavp経由に切り替わります。

このままではアンチウイルスソフトウェアとして正しく機能しているか分かりませんので,テストを行ってみましょう。http://www.eicar.org/anti_virus_test_file.htmへアクセスし,Download area using the standard protocol httpと書かれたサンプルファイルをダウンロードしてみてください図3)。確認しやすくするために,「リンク先を名前を付けて保存」ではなく,eicar.com.txtをクリックしてみると良いでしょう注1)。

図3 EICARのサンプルファイル

図3 EICARのサンプルファイル

これらのサンプルファイルをダウンロードしようとアクセスした時点で,図4のような画面が表示されるでしょう(もし「リンク先を名前を付けて保存」していた場合,ダウンロードしたファイルがこの画面のHTMLになっているはずです)。実際のマルウェアであってもこの動作は同様に行われますので,誤ってマルウェアを表示してしまう頻度は小さくなるでしょう。

ただし,SSL(HTTPS)経由の通信の場合にはフィルタが機能しませんので,全ての通信が安全なわけではありません注2)。

図4 

図4 

制限として,ClamAVは商用のアンチウイルスソフトウェアに比べると,検知できるマルウェアの数がそれほど多くなく,また,最新のマルウェアへの追従速度もそれほど速くありません。これはパターンの更新がボランティアに頼っていることが原因のひとつです。

また,ClamAVは内部の動作として,圧縮されたファイルを展開し,中身に問題がないかチェックする,といった動作も行いますが,この動作にはしばしば脆弱性が見つかります。ClamAVそのものの確実なアップデートを行わないとかえって危険ですので,できるだけ確実にソフトウェアアップデートを行うようにしてください。

注1)
EICARのテストファイルはあくまで「テスト」用で,マルウェアではありません。これによって被害を受けることはありません。
注2)
EICARのhttp://www.eicar.org/anti_virus_test_file.htmにあるファイルのうち,Download area using the secure, SSL enabled protocol httpsと書いてある方はダウンロードしても検知されないはずです(ただし,SSL通信の中身を検知できないのはある意味で当然ですし,商用のアンチウイルスソフトウェアでも検知できないことは同じです)。

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

コメント

コメントの記入