Clam AntiVirus Win.Exploit.CVE_2019_0903-6966169-0 誤検知問題

昨日の営業時間帯に顧客からのメールが届かないというクレームが入りまして、調査した結果Clam AntiVirusWin.Exploit.CVE_2019_0903-6966169-0を誤検知していることを発見しました。この問題は25日(私が確認できたのは18時頃)から発生した模様です。

# echo "Win.Exploit.CVE_2019_0903-6966169-0" >> (Location of clamav Databases)/sig_whitelist.ign2

https://marc.info/?l=clamav-users&m=155895964604136&w=2

対処方法は上記のようにホワイトリストを作成してclamd(デーモン)を再起動することです。私の環境では"/var/lib/clamav/whitelist.ign2"を作成して、ホワイトリストが機能することを確認しました。

I can confirm "Win.Exploit.CVE_2019_0903-6966169-0" false/positive is fixed in 25462.

https://marc.info/?l=clamav-users&m=155896506906092&w=2

で、ここまで書いておいて、バージョン25462にて問題が解決したということです(笑)。早速ホワイトリストから削除しました。ログとにらめっこしていますが、今のところは大丈夫のようです。
削除しないでそのままにしておくと本物の"Win.Exploit.CVE_2019_0903-6966169-0" を検出せずに素通りさせることになり、セキュリティに穴が開いたままの状態となりますのでご注意ください。

2016年9月にも”Pdf.Exploit.CVE_2016_4207-1”の誤検知問題があり、無償のオープンソースソフトウェアを使うリスクというものを改めて痛感した次第です。これはこれからも続くでしょう。だって無償だし、無償だからごちゃごちゃと文句言わないで許してねっ!、急ぎの場合はホワイトリストで個別に対処してね!って。

セキュリティを高めれば利便性は低下するのは避けられないのだけれど、インターネットメールというものは届かないと文句を言われ、迷惑メールやウィルスが多ければ、これまた文句を言われるという非常に運用の難しいインフラなのですよ。