ビュー:

トレンドマイクロでは、Microsoft 社からの要請に基づき、2023年2月中旬より Azure Code Signing (ACS) を使用して各製品モジュールの署名をおこないます。
Apex One では、Critical Patch (ビルド 12011) 以降、ACSを使用したモジュールの署名をおこないます。Azure Code Signing (ACS) の条件を満たすために、対応いただきたい事項について以下製品Q&Aも併せてご確認ください。

 

2019年7月31日に、「ウイルスバスター コーポレートエディション」の後継となる新製品「Trend Micro Apex One」が公開されました。
本製品Q&Aにて、ウイルスバスター コーポレートエディション(以下、ウイルスバスター Corp.) として記載のあるものは、 基本的には、Trend Micro Apex One(以下、Apex One)でも同様となります。

ウイルスバスター Corp. はデジタル署名に対するチェック機能を実装しております。
そのため、システム要件のページに記載の通り、インターネットに接続して Windows Update サーバに接続できない環境 (オフライン環境) でご利用いただくためには、各端末においてルート証明書のインストールが必要です。
オフライン環境でご利用の場合、Patch や Service Pack 適用時などに必要な証明書が更新されていないか、定期的に本ページをご確認頂くことを推奨します。

Trend Micro Apex One システム要件

本製品Q&Aでは、ウイルスバスター Corp. がデジタル署名に対するチェック機能で利用するルート証明書がインストールされていない場合に発生する問題とその対処方法について説明します。
 

発生する事象

以下に記載するメッセージ、事象が発生します。

発生する事象の例

  1. 「ウイルスバスター Corp. クライアントをインストールできません。<ファイル名>のコピーにエラーが発生しました。ウイルスバスター Corp. 管理者にお問い合わせください。」というポップアップメッセージがクライアント端末に表示される。
    ※<ファイル名>は、ウイルスバスター Corp. で使用するファイル名が記載されます。
     
  2. 「ダウンロードされた1つ以上のファイルに有効なデジタル署名が含まれていませんでした」というエラーメッセージがウイルスバスター Corp. のイベントログに出力される。
     
  3. 新規にインストールしたウイルスバスター Corp. クライアントが Web 管理コンソールに登録されない。
     
  4. ウイルスを検出した際、ウイルスログを正常に更新できない。
     
  5. Web 管理コンソールに表示される各ウイルスバスター Corp. クライアントのパターン番号が正常に更新されない。
     
  6. ウイルスバスター Corp. クライアントのバージョンアップに失敗する。
     
  7. ウイルスバスター Corp. サーバのバージョンアップに失敗する。
     
  8. ウイルスバスター Corp. サーバから各種設定をウイルスバスター Corp. クライアントへ正しく同期できない。
     
  9. ウイルスバスター Corp. クライアントのサービスの起動に失敗する。
 
 

本事象の原因およびエラーの発生タイミング

発生原因とエラー発生のタイミングについては以下となります。

原因

ウイルスバスター Corp. クライアントおよびウイルスバスター Corp. サーバ では、製品のファイル改ざん検知のためにデジタル証明書を使用します。

また、ウイルスバスター Corp. 10.6 SP3 CP5495 及び 11.0 以降では、プロセス間通信の検証のためにデジタル証明書を使用します。

このエラーは、上記のデジタル証明書のチェックに失敗することにより発生します。

 

エラー発生のタイミング

以下のようなタイミングでエラーが発生します。
 

  1. ウイルスバスター Corp. 10.6 SP3 CP5495 及び 11.0 以降
    プロセス間通信が発生した時
     
  2. ウイルスバスター Corp. サーバがインストールされた端末
    コンポーネントのアップデート時
    Service Pack や Patch などの修正モジュール適用時、およびバージョンアップ時
     
  3. ウイルスバスター Corp. クライアントがインストールされた端末
    コンポーネントのアップデート時(※1)
    Service Pack や Patchなどの修正モジュール適用時、およびバージョンアップ時(※1)
    クライアントプログラムのリロード時(※1)
    ウイルス検索エンジンのロールバック時(※1)
    クライアントセルフプロテクションを有効にした場合

※1
クライアントセルフプロテクションが有効な場合はデジタル署名を持つ特定の製品ファイルが 更新される・されないにかかわらずエラーが発生します。
クライアントセルフプロテクションが無効な場合はデジタル署名を持つ特定の製品ファイルが更新された場合にのみエラーが発生します。

回避策

本事象を回避するためには以下の方法があります。

  1. インターネットに接続し、Windows Update サーバに接続する
    ルート証明書の更新を行うには、対象の端末がWindows Updateサーバへ接続できる必要があります。 後述の【方法1】の手順を実施してください。
     
  2. ルート証明書を手動でインストールする
    後述の【方法2】に記載しているの全ての証明書をインストールしてください。
     
    【方法2】に記載している全ての証明書をインストールしても、事象が改善しない場合、Windowsのルート証明書が不足している可能性が思慮されます。
    インターネットに接続でき、Windows Updateサーバへ接続ができる環境にある同一OSの端末から各証明書を手動でエクスポートし、問題が発生している端末へインポートしてください。
    確認する証明書はMMC>証明書>コンピュータアカウント>ローカルコンピュータ>信頼されたルート証明機関>証明書 配下に表示される証明書です。 不足しているWindowsのルート証明書は環境によって異なるため、証明書のエクスポートおよびインポート方法などの詳細に関しては開発元であるマイクロソフト社へご確認ください。  証明書のインストールなどはすべて管理者アカウントで実施ください。
    証明書のインストールの際に「ローカルコンピュータ」が選択できない場合、作業を管理者アカウントで実施していない可能性があります。
    管理者アカウントで実施しても表示されない場合、MMC を利用して適切な証明書ストアに証明書をインポートしてください。
    Windows 8/2012以降のOSで証明書のインポートウィザードを実行すると、保存場所を指定する画面が表示されますので、その画面で「ローカルコンピュータ」を選択してください。
    • 【方法1】【方法2】のいずれかをウイルスバスター Corp. サーバで実施した場合は、
      本製品Q&A の末尾にある「リネームされたファイルの修正」手順をご確認および実施してください。
     

    方法1: インターネットに接続し、Windows Updateサーバに接続する

    インターネットに接続している場合についてもプロキシサーバ設定が WinHTTP に適切に与えられていないことが原因で Windows Update サーバに接続できず、結果的にエラーとなっている場合があります。 その場合は以下の手順に沿ってプロキシ設定を反映します。
     
    1. 【Windows XP / Windows 2003】
      スタートボタンをクリックし、「ファイル名を指定して実行」をクリックします。
      以下のコマンドを実行し、Enter キーを押すか [OK] をクリックします。
      コマンドプロンプト画面が一瞬表示され、消えれば完了です。

      proxycfg -u
       
    2. 【Windows Vista / Windows 2008 / Windows 7】
      管理者権限でコマンドプロンプトを開きます。
      以下のコマンドを実行します。

      netsh winhttp import proxy source=ie

    関連リンク
    アプリケーション ログにイベント ID 8 が出力される

     

    方法2: ルート証明書を手動でインストールする

    インターネットに接続できない端末に関しては、下記の手順で掲載している全ての証明書をインストールしてください。

    証明書のインストール手順について不明点がある場合は、恐れ入りますがマイクロソフト社へお問い合わせください。
     
    1. 以下中間証明書ファイルが必要になります。 ※ 現在サポート中のバージョン・ビルドにおいては、これまで記載のあった「COMODOCodeSigningCA2.crt」や「UTNAddTrustObject_CA.crt」は不要となるため、記載を削除しました。
       
    2. インターネット接続が可能な Windows 8.1、Windows 10、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019 で、Windows Update サイトにある証明書情報を同期します。

      Windows 8、Windows Server 2012 以前の OS で 証明書情報を同期する場合は、KB2813430を適用してください。
       
      • 証明書ファイルを保存するフォルダを作成します。
        作成例:c:\cert-files
         
      • コマンドプロンプト ( cmd.exe ) を管理者として実行します。
         
      • 下記コマンドを実行します。
        CertUtil -syncWithWU <証明書ファイル保存パス>
        実行例:CertUtil -syncWithWU c:\cert-files
         
      • 証明書ファイルを保存したフォルダから、以下のファイルを取得します。

        VeriSign Class 3 Public Primary Certification Authority - G5
        ファイル名 : 4eb6d578499b1ccf5f581ead56be3d9b6744a5e5.crt

        VeriSign Universal Root Certification Authority
        ファイル名 : 3679ca35668772304d30a5fb873b0fa77bb70d54.crt

        Thawte Timestamping CA
        ファイル名 : be36a4562fb2ee05dbb3d32323adf445084ed656.crt

        Microsoft Root Certificate Authority 2010
        ファイル名 : 3b1efd3a66ea28b16697394703a72ca340a05bd5.crt

        AddTrust External CA Root
        ファイル名 : 02faf3e291435468607857694df5e45b68851868.crt

        UTN-USERFirst-Object
        ファイル名 : e12dfb4b41d7d9c32b30514bac1d81d8385e2d46.crt

        DigiCert High Assurance EV Root CA
        ファイル名 : 5fb7ee0633e259dbad0c4c9ae6d38f1a61c7dc25.crt

        DigiCert Assured ID Root CA
        ファイル名 : 0563b8630d62d75abbc8ab1e4bdfb5a899b24d43.crt

        USERTrust RSA Certification Authority
        ファイル名 : 2b8f1b57330dbba2d07a6c51f70ee90ddab9ad8e.crt
             
        DigiCert Trusted Root G4
        ファイル名 :ddfb16cd4931c973a2037d3fc83a4d7d775d05e4.crt
             
        Microsoft Identity Verification Root Certificate Authority 2020
        ファイル名 :f40042e2e5f7e8ef8189fed15519aece42c3bfa2.crt
             
        thawte Primary Root CA
        ファイル名 :91c6d6ee3e8ac86384e548c299295c756c817b81.crt
             
        GlobalSign
        ファイル名 :d69b561148f01c77c54578c10926df5b856976ad.crt
       
    3. 手順 1 と手順 2 で取得した証明書のファイルをウイルスバスター Corp. サーバとウイルスバスター Corp. クライアントが動作しているOSの任意のパスに保存します。
       
    4. 各証明書のファイルをダブルクリックします。
       
    5. 【証明書のインストール】ボタンを押します。
      Windows 8/2012以降ではここで「ローカルコンピュータ」を選択します。
       
    6. 【次へ】をクリックします。
       
    7. 証明書ストアで「証明書をすべて次のストアに配置する」を選択し、【参照】ボタンをクリックします。
       
    8. 表示された「証明書ストアの選択」の画面で、「物理ストアを表示する」にチェックを入れます。
      • 以下の証明書をインストールする時は、[信頼されたルート証明機関] → [ローカルコンピュータ] を選択します。

        「4eb6d578499b1ccf5f581ead56be3d9b6744a5e5.crt」
        「3679ca35668772304d30a5fb873b0fa77bb70d54.crt」
        「be36a4562fb2ee05dbb3d32323adf445084ed656.crt」
        「3b1efd3a66ea28b16697394703a72ca340a05bd5.crt」
        「02faf3e291435468607857694df5e45b68851868.crt」
        「e12dfb4b41d7d9c32b30514bac1d81d8385e2d46.crt」
        「5fb7ee0633e259dbad0c4c9ae6d38f1a61c7dc25.crt」
        「0563b8630d62d75abbc8ab1e4bdfb5a899b24d43.crt」
        「2b8f1b57330dbba2d07a6c51f70ee90ddab9ad8e.crt」
        「ddfb16cd4931c973a2037d3fc83a4d7d775d05e4.crt」
        「f40042e2e5f7e8ef8189fed15519aece42c3bfa2.crt」
        「d69b561148f01c77c54578c10926df5b856976ad.crt」
        「91c6d6ee3e8ac86384e548c299295c756c817b81.crt」
         
      • 以下の証明書をインストールする時は、[中間証明機関] → [ローカルコンピュータ] を選択します。

        「DigiCertEVCodeSigningCA-SHA2.crt」
        「DigiCertEVCodeSigningCA.crt」
        「DigiCertHighAssuranceCodeSigningCA-1.crt」
        「DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt」
        「Symantec Class 3 SHA256 Code Signing CA (任意の名称)」  
      ※Windows 8/2012以降のOSでは既に「ローカルコンピュータ」を選択しているため、証明書ストアの選択で「ローカルコンピュータ」は表示されません。また、「物理ストアを表示する」にチェックを入れる必要はありません。
      ※Windows 7/2008 R2までのOSで、証明書ストアの選択で「ローカルコンピュータ」が表示されない場合は、MMCを利用して証明書をインストールしてください。
       
    9. 【次へ】をクリックします。
       
    10. 【完了】をクリックします。
        
    11. すべての証明書のファイルを上記の手順 4 から手順 10 までを実施してインストールしてください。

     

    【方法1】【方法2】いずれかの手順をウイルスバスター Corp. サーバで実施した後は、必ず以下の手順を確認および実施して下さい。

     

    ファイルのリネーム

    OS のデジタル証明書の情報を更新いただいた後は、 ウイルスバスター Corp. サーバの
    インストールフォルダ配下に「_Invalid」を含む名称のファイルの有無を確認します。
    ファイル名の末尾が「_Invalid」のファイルがある場合は、以下の手順を実施します。

     

    1. エクスプローラを開き、ウイルスバスター Corp. サーバのインストールフォルダに移動します。
       

    初期設定でインストールフォルダは、以下の通りになります

    • 32 bitの場合:C:\Program Files\Trend Micro\OfficeScan
    • 64 bitの場合:C:\Program Files (x86)\Trend Micro\OfficeScan
    1. エクスプローラ右上の検索窓に、"_Invalid"を入力し、検索します。
    2. ファイル名の末尾に「*_Invalid 」とついているファイルがある場合、 「_Invalid」を削除した上で
      当該ファイルをすべて元の名前にリネームします。
    ・「invalid.gif」 というファイルはもともと存在しますので、消さないでください。
    ・「config_invalid_rendering_class.xml」「config_invalid_syntax.php」などの xml、php、ini ファイルはもともと存在しますので、消さないでください。
    ・Apex One 2019 ビルド 9565以降のサーバには、ファイル検証に必要な証明書が OS へ追加された後に検証機会が発生すると、ファイル名末尾に「_Invalid」がついているファイルを元の名前へリネームする機能が追加されております。
     

    [証明書更新履歴]
    2023/04/05 Azure Code Signing についての注意書きをトップに追記
    2023/03/02 DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1 を追記(build 9675)
    2022/10/05 ”thawte Primary Root CA” および”GlobalSign”を追加 (Apex One CP 11110)
    2022/07/12 Microsoft Identity Verification Root Certificate Authority 2020 を追加


     
コメント (0)