がとらぼ

運営しているメールサーバで送受信毎にメールのマルウエアをスキャンしているのだが、セキュリティソフトのClamAVとClamAVの標準シグネチャデータベース(マルウエアのパターンデータ)を使っていると殆ど検知しない。実際にいろんなデータで試してみると多くがスッカスカの素通り。もともとClamAVは検知率は高くない方だがこれは酷い。

そこでClamAVオフィシャルのシグネチャではなくサードパーティのシグネチャを利用するようにして検知率を多少なりとも上げたい。
なお、AV-TESTの上位製品に肩を並べる程には劇的に検知率が上がるわけではないので過剰な期待はしないこと。ClamAVの標準シグネチャデータベースだけを使う場合で1割以下の検知率だとするとSanesecurityあたりを追加すると9割(以上)くらい検知する。1割から9割に向上なら優秀そうだけど1割の取りこぼしは結構大きい。有名処のセキュリティソフトだともう一段二段上。Sanesecurityは新しいマルウエアへの対応はまあまあ早め。

ClamAVで使えるシグネチャを配布しているサードパーティの有名処は以下。

• Sanesecurity
• MalwarePatrol
• SecuriteInfo
• Yara Rules (よく知らない)

FreeBSDの場合はClamAVをports/pkgでインストールしているならこれらサードパーティのシグネチャを簡単に扱えるsecurity/clamav-unofficial-sigsが使える。
FreeBSD以外ならGitHubからclamav-unofficial-sigsを取ってくるか使ってるOS/ディストリビューション用のパッケージを拾ってくるなど。

# cd /usr/ports/security/clamav-unofficial-sigs
# make install clean

設定ファイルは/usr/local/etc/clamav-unofficial-sigsにある。

これで1つの設定項目を除いて動く状態にはなっているがMalwarePatrolとSecuriteInfoのシグネチャを使いたい場合はそれぞれのサイトでサインアップして識別番号(コード)を貰う必要がある。無料版と有料版がある。
SecuriteInfoのコードはSecuriteInfoのウェブサイトにログインし[Setup]タブを開くと7つのリンクが並んでいて(上下の段に分かれて同じリンクがある)、そのリンクのhttp://www.securiteinfo.com/get/signatures/の後に続く128文字。

設定ファイルは基本的にはmaster.confは触らない。os.confはFreeBSDのports/pkgでインストールしたならFreeBSD用の設定になっているので触る必要はない。触るのはuser.conf。master.confの中に触りたい項目があればuser.confにそれを書くという方法でいける。

以下4項目はuser.conf

malwarepatrol_receipt_code="a0000000000"

securiteinfo_authorisation_signature="128文字"

logging_enabled="yes"

user_configuration_complete="yes"

32   *   *   *   *   clamav   [ -x /usr/local/bin/clamav-unofficial-sigs.sh ] && /usr/local/bin/bash /usr/local/bin/clamav-unofficial-sigs.sh > /dev/null

少なくとも1回以上手動でまたはcronでclamav-unofficial-sigs.shを走らせてから確認を実施。

# clamscan --debug 2>&1 /dev/null | grep "loaded"

上の例ではSanesecurityのシグネチャで検知されている。