公式 FAQ

これは公式FAQです。Wiki に追加の情報もあります。できれば、多くのFAQをWikiに追加してください。ClamAVチームはこのページを見て、良いものは下記に追加します。

ClamAVのアップグレード

• どのようにしてClamAVをアップグレードしますか？
  • Wiki を参照してください。このページは誰でも編集できます。システム管理者としてのスキルをお持ちなら、ご協力ください。

• WARNING: Current functionality level = 1, required = 2 とはどういう意味ですか？
  • データベースの functionality level とは、データベースに含まれる全てのシグネチャーに対応するために必要な、スキャナーエンジンのバージョンを示しています。すぐにアップグレードしないと、最新のウィルスに対応できない場合もあります。

• Your ClamAV installation is OUTDATED とはどういう意味ですか？
  • このメッセージは、ClamAVの新しいバージョンがリリースされた時にでます。全ての新しいウィルスを検出するためには、ウィルスデータベースを更新するだけでは不十分です。最新のスキャナが必要です。 sources から最新版がダウンロードできます。更新の手順は Wiki を参照してください。OS/ディストリビューションごとの バイナリーパッケージ もあります。注意: 最新の安定版リリースを使用すると、安定性も向上します。

• 最新版にアップグレードしたのに Your ClamAV installation is OUTDATED と出ます。なぜですか？
  • あなたのシステムにインストールされているClamAVのバージョンが、本当に一つしかないか確認してください:

       $ whereis freshclam 
       $ whereis clamscan

  • また、古いライブラリ(libclamav.so*)が無いかを確認してください。次のようにすれば確認できます: $ ldd `which freshclam`

• どのようにすればClamAVソースコードの正当性を検証できますか？
  • GnuPG を使えば次の手順で簡単に検証できます: clamav.netのサイトから、Tomasz Kojmの 公開鍵 をダウンロードしてください。次に、あなたのローカル鍵リングにインポートします: $ gpg --import tkojm.gpg ソースファイルをダウンロードしたのと同じディレクトリにある、対応した .sig ファイルもダウンロードします。ダウンロードしたソースファイルがTomasz Kojmの鍵で署名されている事を検証します: $ gpg --verify clamav-X.XX.tar.gz.sig 。結果に Good signature from Tomasz Kojm と出力される事を確認してください。

• ClamAVのSVNスナップショットはどこにありますか？
  • ソースダウンロードページ にあります。

• ClamAVは私のコンパイラ/ハードウェア/OSに対応していますか？
  • ClamAVは多くのコンパイラ、ハードウェア、OSに対応しています。主にはインテルプラットフォームのLinux 32/64bit環境のgccで開発が行われていますが、SunのCコンパイラ、MicrosoftのVisual Studio、インテルのCコンパイラ、LLVM-GCCなどでもテストを行っています。GCCのバージョン4.0.0から4.1.0は対応していません。これらのバージョンでは、全てのプラットフォームで不正なコードを生成する事が判明しています。ClamAVは正しく動作しませんので必ずGCC3.4やGCC4.1など他のコンパイラを使用してください。より詳しい情報は、あなたのベンダに問い合わせてください。また gcc’s bugzilla にも詳しい情報があります。カーネルのコンパイルでgcc 4.0.1が不正なコードを生成する事を検証した 記事 がkerneltrapにあります。更にClamAVの bugzilla にも同様の報告があります。ClamAVの設定スクリプトでは、これらのバグに該当するコンパイラを検出した場合、次のメッセージを表示して不正なバイナリを作らずに停止します: your compiler has gcc PR26763-2 bug, use a different compiler MacOS Xをお使いであれば、LLVM-GCC4.2-2.2も使えます。こちらに 公式バイナリがあります

ClamAVウィルスデータベースの更新

• WARNING: DNS record is older than 3 hours とはどういう意味ですか？
  • freshclamはDNSキャッシュの潜在的な問題が疑われる事を検出すると古いモードに切り替わります。このメッセージがまれにしか出ないなら、無視しても安全です。もしfreshclamを実行するたびに出るのであれば、システムの時刻をチェックしてください。時刻が正しく設定されているのなら、DNSの設定をチェックしてください。それでも解決できない時は、cronジョブの最初に:

     host -t txt current.cvd.clamav.net; perl -e 'printf "%d\n", time;' 

    と入れてみてください。最初の行の4番目のフィールドが2番目の行の値より 3 ∗ 3600 以上小さければ、どこかにキャッシュしているDNSサーバがあるはずです。

• どれぐらいの頻度でウィルスデータベースは更新されていますか？
  • 通常、週に何度も更新されています。 http://lurker.clamav.net/list/clamav-virusdb.html で、我々の新しい脅威への対応速度を見てください。ウィルスデータベースチームは実際に活動している最新のワームに対応するよう努力しています。新しいワームが広がった場合、多くの場合1時間以内にデータベースを更新しています。ウィルスデータベースの更新をより迅速にするために ウィルス提供 のページからサンプルを送ってください。

• 1時間に何回freshclamを実行すべきですか？
  • あなたが ClamAV 0.7x を使用しているのであれば 直ちにアップグレードしてください 。 ClamAV 0.8x か、それより新しいバージョンを使っているのであれば、freshclam.confに次の設定をして、1時間に4回以上更新チェックをする事ができます: DNSDatabaseInfo current.cvd.clamav.net DatabaseMirror db.XY.clamav.net DatabaseMirror database.clamav.net XYの部分はあなたの カントリーコード と置き換えてくだささい。このオプションを使わない場合は、必ず1時間に1回までにしてください。

• Webからウィルスのサンプルを提供しようとしたら、既にClamAVで認識されていると言われましたが、私のclamscanでは検出できません。データベースもClamAVエンジンも更新しています。どの設定が間違っているのでしょうか？
  • clamscanに --detect-broken オプションを付けて実行してみてください。そして、 freshclam と clamscan が同じパスのデータベースを格納/使用しているか確認してください。

• 私はハードディスク/フロッピー/メールボックスでウィルスに感染したファイルをみつけました。しかしClamAVはまだ検出できません。どうすれば良いですか？
  • 我々のウィルスデータベースはコミュニティーの助けによって更新されています。ClamAVで検出されないウィルスを発見したら サンプルを提供してください 。ウィルスデータベースチームはあなたから提供されたサンプルを検証して必要ならデータベースを更新します。サンプルを提供する前に: – clamd.conf と freshclam.conf の DatabaseDirectory が同一である事を確認して – freshclam を実行し、データベースを更新してください。

• どのようにしてウィルスデータベースを最新に保つことができますか？
  • ClamAV では freshclam を使って、常に新しいデータベースがないかチェックし、更新し、あなたのデータベースを最新に保つことができます。

• freshclam を実行すると: Invalid DNS reply. Falling back to HTTP mode または ERROR: Can’t query current.cvd.clamav.net というエラーが出ます。どういう意味ですか？
  • あなたが使っているDNSサーバに問題があります。/etc/resolv.conf をチェックし、TXTレコードが解決できるか手動でチェックしてください: $ host -t txt current.cvd.clamav.net もしできなければ、あなたのネットワークに問題があります。このエラーが出ても更新はできますが、更新のチェックのために、多くの無駄な帯域を消費してしまいます。

• freshclam を実行すると: ERROR: Connection with ??? failed というエラーが出ます。どうすれば良いですか？
  • DNSサーバが動いていないか、53/TCPポートがブロックされています。ホスト名が解決できるか、手動でチェックしてください: $ host database.clamav.net もし解決できないなら、/etc/resolv.conf の設定をチェックしてください。ホスト名の解決ができるなら、ファイヤーウォールが、応答が512バイトを越える場合に使われる53/TCPをブロックしていないかチェックしてください。次のようにすれば簡単にチェックできます: $ dig @ns1.clamav.net db.us.big.clamav.net

• どのようにすれば、私のIPアドレスがブラックリストに載っているかどうか確かめられますか？
  • freshclam を実行するのと同じマシンで、 daily.cvd を lynx や wget でダウンロードしてください。freshclam の将来のバージョンで、より良い方法を提供する予定です。

• mirrors.dat ファイルとは何ですか？
  • mirrors.dat は freshclam が壊れたミラーサイトを記録するために使用します。不要なディレイを減らすため、過去24時間にCVDファイルのダウンロードが複数回失敗したミラーサイトを記録します。

• 私のネットワークでは多くの ClamAV クライアントを使用しています。おのおののクライアントがミラーからではなく、ローカルのサーバからcvdファイルをダウンロードする方法はありますか？
  • もちろん。2つの方法があります。
  • 差分更新を行いたいのであれば、プロキシーサーバを作り、freshclamでそれを使用するように設定してください( freshclam.conf の man ページにある HTTPProxyServer パラメータを参照してください)
  • 別の方法としては、ローカルなWebサーバを用意し（ここでは machine1.mylan とします)、freshclam で http://database.clamav.net から *.cvd ファイルをダウンロードし、Webサーバのドキュメントルートに置きます。次に、クライアントの freshclam.conf を次のように変更します:
  • DatabaseMirror machine1.mylan
  • まずローカルWebサーバにデータベースがダウンロードされ、それを他のクライアントがダウンロードします。全てのマシンで ScriptedUpdates off の設定が必要です！

• データベースが更新されるまで待てません！今すぐ新しいシグネチャーが必要です！
  • 適切な拡張子を付けた自作のシグネチャーファイルをテキスト形式で作成してください（詳しくは signatures.pdf を参照してください）作成したファイルを .cvd と同じディレクトリに置いてください。ClamAV は公式の .cvd ファイルを読み込んだ後、それらを読み込みます。.db ファイルには署名は必要ありません。

• ウィルスデータベースを手動でダウンロードできますか？
  • Webの ClamAV Virus database からダウンロードできます。

• current.cvd.clamav.net がDNSで名前解決できません！これはあなたの/私のDNSサーバの問題ですか？
  • current.cvd.clamav.net はTXTレコードだけで、Aレコードはありません！次のコマンドを試してください: $ host <del>t txt current.cvd.clamav.net いくつかのRFCに適合しないDNSサーバ（Alcate(現Thomson) SpeedTouch 510 modemなどが知られています）はTXTレコードが解決できません。このような場合は、ClamAVを </del>-enable-dns-fix フラグを付けてコンパイルしなおしてください。

トラブルシューティング

• 私はエラーメッセージを http://bugs.clamav.net に報告しました: このバグを直せますか？
  • バグを修正するには、エラーメッセージだけでなく、それを引き起こしたファイル も 必要です。そのファイルが無いと、報告は役に立ちません。エラーメッセージの表示に関わらず、現在の最適なバグ報告の方法は bugzilla からバグレポートを送る事です。

• ClamAV が働いてません！メッセージに何のヘッダも追加されずにメールサーバへ送られています。
  • ClamAV 自身はファイルをスキャンするだけで、メールヘッダを追加したりしません。MTAで使用するにはフィルタープログラムとの連携が必要です。clamav-milter を使用しているのであれば、メーリングリストで助けを求めてください。他のフィルターを使用しているのであれば、（もしあれば）公式メーリングリストを探すか、作者にコンタクトしてください。

• ClamAV がクラッシュします/ハングします/コンパイルできません/動きません。バグでしょうか？
  • バグ報告する前に、最新版のコードをSVNからダウンロードして再現するか試してください。もしかすると既に修正されているかもしれません。もし本当にバグだと考えるなら bugzilla へ報告してください。バグ報告の前に、同じような報告が既にされていないかチェックしてください。

• clamd を起動時に開始するにはどうすれば良いですか？
  • バイナリーパッケージでClamAVをインストールしたのなら、既にスクリプトが組み込まれて起動時に開始するようになっています。もしあなた自身でClamAVをコンパイルしたのであれば、ソースパッケージの contrib/init/ ディレクトリを見てください。

• clamdが停止した時に、自動的に再始動する方法はありますか？
  • 何分かおきにclamdが動作しているかをチェックするcronジョブを設定してください。__contrib/clamdmon/__ と contrib/clamdwatch/ ディレクトリに例があります。また、コマンドプロンプトから以下のようにすれば簡単なチェックができます:

    echo PING|socat - /tmp/clamd 

• clamav-milterが停止した時に、自動的に再始動する方法はありますか？
  • 何分かおきにclamav-milterが動作しているかをチェックするcronジョブを設定してください。 http://www.itg.uiuc.edu/itg_software/clmilter_watch/ に例があります。

• SECURITY WARNING: NO SUPPORT FOR DIGITAL SIGNATURES とは、どういう意味ですか？
  • ClamAVパッケージではウィルスデータベースの電子署名を検証するのにGMPライブラリーを使っています。ClamAVをコンパイルする時にGMPライブラリーとヘッダが必要です。Debianを使用しているのであれば、 apt-get install libgmp3-dev としてください。RPMベースのディストリビューションでは gmp-devel パッケージをインストールしてください。その後、もう一度 ./configure を実行し、ClamAVをコンパイルしなおしてください。

• データベースに含まれる、ウィルス名を知る方法はありますか？
  • 最近のバージョンのClamAVを使用しているのであれば、次を実行してください: $ sigtool --list-sigs

• データベースが更新された事を知る方法がありますか？
  • clamav-virusdb メーリングリストに加入してください。

• ClamAVの誤検出を発見しました。どうすれば良いですか？
  • http://www.clamav.net/sendvirus こちらから報告してください。その時、 The file attached is で A false positive を選択してください。

• 私のメールサーバは大変負荷が高く、clamscanで一つのメールをスキャンするのに20秒かかります。どうすれば良いですか？
  • clamd/clamdscanを使うようにしましょう。そうすれば、一つ一つのメールが到着するたびにCVDファイルの読み込みをしなくても済みます。

ClamAVメーリングリストの利用について

• どこでClamAVを使用する事に関する質問ができますか？
  • clamav-users メーリングリストに加入してください。

• ClamAVの開発に参加したいと思います。どこでより多くの情報が得られますか？
  • clamav-devel メーリングリストに加入してください。

• メーリングリストのメッセージが多すぎて処理しきれません。どうすれば良いですか？
  • 2つの方法があります。:- メーリングリスト のmailmanインターフェースで、Editオプションをクリックし、 digest mode をYesにする- news reader でメーリングリストを読む

• ClamAVのメーリングリストにメッセージを送りましたが拒否/ホールドされました。なぜですか？
  • メーリングリストへの投稿は、参加者しかできません。スパムを避けるためにそうなっています。あなたが送ったメールをチェックし: Return-Path: me@mydomain.com の me@mydomain.com の部分が、あなたがメーリングリストに参加した時のアカウントになっているか確かめてください。メーリングリストには何回でも参加できますから、違うメールアドレスで参加して、配信を停止しておくことができます。そうすればあなたは Return-Path がどのアドレスでも投稿できます。

• 私はメーリングリストをGmaneニュースゲートウェイで読んでいます。メーリングリストへ投稿できますか？
  • 前のFAQを見てください。

• メーリングリストから外されました。何が起きているのでしょうか？
  • 2つの可能性があります: あなたのアカウントから多くのバウンスが発生すると、自動的に外されます。信頼性の高いメールアカウントで参加してください。また、一つでも 不在通知 がヴァケーションプログラムから送られると、あなたのアカウントは永久に外されます。

• 参加したままでメーリングリストからの配送を停止する方法はありますか？
  • たとえばclamav-usersメーリングリストであれば、 http://lists.clamav.net/mailman/listinfo/clamav-users こちらの下の方にあなたのメールアドレスを入れ、 Unsubscribe or edit options をクリックし、 Disable mail delivery を on にしてください。

その他

• フィッシングはスパムの一種ではないですか？ClamAVはそれらマルウェアとして検出すべきではありません。
  • リリース0.90から、ClamAVではフィッシングをマルウェアとして検出するか否か選択できるようになりました。これでメーリングリストでの終わりの無い議論を終わらせる事ができます。全てのフィッシングに感謝、そしてサヨウナラ。

• なぜ正当なニュースレターやメールがClamAVではPhishing.Heuristics.Email.SpoofedDomainと検出されるのですか？
  • もし otherdomain.tld &lt/a> という形のリンクがあり、ClamAVデータベースのProtectedDomain（ホワイトリスト。 amazon.com, ebay.comなどがあります）に登録されていない場合は、フィッシングとして検出されます。

• 私の yourdomain.tld から送る正当なメールがPhishing.Heuristics.Email.SpoofedDomainと検出されます
  • submit a sampleのページから、false positiveを選択してサンプルを送ってください。もし、本当にfalse positiveであれば、ホワイトリストに登録します。

• 新しいデータベースを古い形式に変換できますか？
  • できます。最近のバージョンのsigtoolであれば次のようにしてください: sigtool --unpack-current daily.cvd; sigtool --unpack-current main.cvd

• どうすればCVDファイルの中身を読めますか？
  • 前のFAQを参照してください。

• 私は実環境でClamAVを使っていて、新しいウィルスをClamAVが検出してくれません。ClamAVがフィルターするようになるまで、どれだけ待たなくてはいけませんか？
  • 全く待つ必要はありません！ウィルスを検出するシグネチャーを作成し、あなたのウィルスデータベースを作成してください（doc/ディレクトリにあるsignatures.pdfを参照してください）。ウィルスデータベースチームに サンプル提供 するのを忘れないでください。

• なぜClamAVはXXXウィルスを別の名前で呼ぶのですか？
  • 我々が他のアンチウィルスベンダーより 先に シグネチャーを登録した時に良く起こります。良く知られた名前が無い時には我々が名前を付けなければいけません。後日名前を変更すると、より混乱を起こしますから、名前は変更しません。例外として、シグネチャーを登録した直後に一般的な名前が確立した時は、変更する場合があります。

• Oversized.zipという誤検出が沢山出ます。
  • ArchiveMaxCompressionRatio(clamd.conf の man を参照してください)を越えるファイルの場合、ロジカルボムと認識してOversized.zipとします。ArchiveMaxCompressionRatio の設定を増やしてください。

• PUAとは何ですか？PUA.*という誤検出がたくさんあります。
  • ClamAV 0.91.2リリースから、望まれない可能性のあるアプリケーション(Potentially Unwanted Applications)を検出するオプションを導入しました。PUAデータベースには、それ自体には悪意は無いけれど、悪意のある、または望まれない使い方ができるアプリケーションが登録されています。たとえば、パスワードを解析するツールは、それが許されている人には有用です。しかし、同じツールがパスワードを破るためにも使えます。clamscanでdetect-puaスイッチを有効にするか、clamdのコンフィグファイルで有効にすればPUAデータベースを使えます(DetectPUA yes を追加してください)。非常に積極的に検出しますし、多くの誤検出があるため、現時点で常用システムに使用するのは 推奨しません 。次回以降のリリースで、より良い調整を加える予定です。 注記： PUA検出は、そのアプリケーションが良いとも悪いとも言っていません。あくまでも、望まれていない かもしれない 、あなたのシステムのセキュリティを破るのに使われる かもしれない 、もう一度チェックした方が良い かもしれない と言っているだけです。

• ClamAVはウィルスの修復ができますか？
  • いいえ、できません。次のバージョンではOLE2ファイルでの修復をサポートする予定です。しかし、他のファイル形式では全く予定していません。それには多くの理由があります: 最近では修復が無意味な事。また修復後のファイルは有用でない場合が多い。そもそも、修復したとして、それを信用できますか？

• clamscanを使用してmboxの中のどのメッセージが感染しているか知る方法はありますか？
  • 2つの方法があります: clamscan --debug と実行し、 Deal with email number xxx を探します。または、mboxをMaildirフォーマットに変換し、clamscanを実行し、mbox形式に戻します。Maildirフォーマットに変換するツールはいろいろあります: formail, mbox2maildir, maildir2mboxなど

• ClamAV + amavisd-new で使用していて、 amavis: Clam Antivirus-clamd FAILED – unknown status:/var/lib/amavis/amavis-20060917T120205-21416/parts: lstat() failed. ERROR\n amavis: WARN: all primary virus scanners failed, considering backups というエラーがログに出ます。何が間違っているのでしょうか？
  • Wiki を参照してください。

• Qmail + Qmail-Scanner + ClamAV で使用していて、 clamdscan: corrupt or unknown clamd scanner error or memory/resource/perms problem というエラーがログに出ます。何が間違っているのでしょうか？
  • Wiki を参照してください。

• p3scanでClamAVを使うにはどうすれば良いでしょう？
  • Wiki を参照してください。

• どのプラットフォームをサポートしていますか？
  • Clam AntiVirus は次の環境で動作します。 Linux®, Solaris, FreeBSD, OpenBSD, NetBSD, AIX, Mac OS X, Cygwin B20 on multiple architectures such as Intel, Alpha, Sparc, Cobalt MIPS boxes, PowerPC, RISC 6000.

• どうすればより多くのClamAVの情報が得られますか？
  • pdf/psフォーマットのドキュメントを読んでください。それぞれのパッケージ、または ドキュメント にあります。また、 メーリングリストアーカイブ を検索してください。答えが見つからなかったらclamav-usersメーリングリストで質問してください。ただし、必ず検索を行った後にしてください！また、HTMLメールを送ったりトップポスト（返信をreplyではなく新規メッセージにすること）しないでください: これらはネチケット違反ですし、答えをもらえるチャンスが減ります。

• どうすればClamAVプロジェクトに貢献できますか？
  • 多くの 貢献する方法 があります。

※我々は日本語翻訳版を最新に保つよう最大限の努力をしています。しかし、必ずしも常に最新であるとは限りません。英語版のページで最新の情報を確認してください。