概要
InterScan Web Security Suite (IWSS) もしくは InterScan Web Security Virtual Appliance (IWSVA) では、クライアントがアクセスした URL においてウイルスが検出された場合、その URL へのアクセスを一定時間規制します。これを自動URLブロック機能と呼びます。
初期状態ではウイルスが検出されてから4時間、対象の URL へのアクセスをブロックし、その際には、以下のメッセージがブラウザに表示されます。ブロック理由は「ウイルス感染による一時的なブロック」となります。
初期状態ではウイルスが検出されてから4時間、対象の URL へのアクセスをブロックし、その際には、以下のメッセージがブラウザに表示されます。ブロック理由は「ウイルス感染による一時的なブロック」となります。
規定の時間が経過する前に、自動URLブロックでブロックされたURLへのアクセスを回復する方法
※手順内のHTTP検索サービス停止/起動に伴い、IWSVAによるトラフィック検索やWeb閲覧が一時的に停止しますので、業務影響が少ない時間帯にて実施して下さい。
- HTTP検索サービスを停止します。
Windows 版:
Trend Micro Interscan Web Security Suite for HTTP
Windows 版以外:
# /etc/iscan/S99ISproxy stop - infectedB.ini ファイルを削除します。
Windows 版:
{インストールディレクトリ}\infectedB.ini
※{インストールディレクトリ}は初期状態で「C:\Program Files\Trend Micro\InterScan Web Security Suite」です。
Windows 版以外:
# rm -f /etc/iscan/infectedB.ini - HTTP検索サービスを起動します。
Windows 版:
Trend Micro Interscan Web Security Suite for HTTP
Windows 版以外:
# /etc/iscan/S99ISproxy start
自動URLブロック機能の有効/無効、また解除時間を変更する方法
セキュリティレベルの低下を防ぐため、本機能を恒常的に無効化することは推奨しません。
※手順内のHTTP検索サービス停止/起動に伴い、IWSVAによるトラフィック検索やWeb閲覧が一時的に停止しますので、業務影響が少ない時間帯にて実施して下さい。
- HTTP検索サービスを停止します。
Windows 版:
Trend Micro Interscan Web Security Suite for HTTP
Windows 版以外:
# /etc/iscan/S99ISproxy stop - infectedB.ini ファイルを削除します。
Windows 版:
{インストールディレクトリ}\infectedB.ini
Windows 版以外:
# rm -f /etc/iscan/infectedB.ini - intscan.ini をテキストエディタで開きます。
Windows 版:
{インストールディレクトリ}\intscan.ini
Windows 版以外:
# /etc/iscan/intscan.ini - 自動URLブロック機能を無効にする場合は以下のパラメータを変更します。
--------------------------------------------------
disable_infected_url_block=no
no: 自動URLブロック機能が有効になります。
yes: 自動URLブロック機能が無効になります。
-------------------------------------------------- - 自動URLブロックが解除されるまでの時間を変更する場合は、以下のパラメータを変更します。
--------------------------------------------------
infected_url_block_length=4 (単位: 時間)
※ 最小値は「1」です。「0」を指定した場合は初期状態の4時間として動作します。
-------------------------------------------------- - HTTP検索サービスを起動します。
Windows 版:
Trend Micro Interscan Web Security Suite for HTTP
Windows 版以外:
# /etc/iscan/S99ISproxy start
自動URLブロック機能によるブロックが発生した原因(どのポリシーでウイルス検知したのか)を確認する方法
自動URLブロック機能によるブロックが発生した理由は、上述の通り、クライアントがURLにアクセスした際に、ポリシーによってウイルス検出された為となります。どのポリシーで検出したかを確認する場合は、対象URLに対してアクセスを行った際の初回ブロックの履歴を追う必要がございます。
初回ブロックの履歴を追う方法は、以下の方法で行うことができます。
・管理コンソールより [インターネットセキュリティ] ログをご確認頂き、初回ブロックされたログから該当するポリシーをご確認下さい。ログを確認いただく際は、こちらのFAQに記載の通りCSVファイルのエクスポートを行うと確認しやすくなります。
・ポリシーが特定できたら、ポリシー設定のどの条件で検知したのかをご確認ください。
※上記の確認を弊社に依頼される場合は、お手数ですがお問い合わせをしていただけますようお願いします。
補足事項
質問:
あるポリシー検知が発生し、自動URLブロックによって、あるURLがブロックされた後に、検知したポリシーの内容を変更しても、自動URLブロックによる当該URLブロックは引き続き継続しますか。
回答:
検知ポリシーの内容変更しても、自動URLブロックによるURLブロックは継続します。
事象の例:
「解凍後のファイル数」(=Exceed_File_Count_Limit)により、自動URLブロックが有効となった URL があるとします。
ポリシー変更で「解凍後のファイル数」(=Exceed_File_Count_Limit)の検出条件を満たさなくなった場合でも、自動ブロックによる 当該 URL ブロックは継続します。
あるポリシー検知が発生し、自動URLブロックによって、あるURLがブロックされた後に、検知したポリシーの内容を変更しても、自動URLブロックによる当該URLブロックは引き続き継続しますか。
回答:
検知ポリシーの内容変更しても、自動URLブロックによるURLブロックは継続します。
事象の例:
「解凍後のファイル数」(=Exceed_File_Count_Limit)により、自動URLブロックが有効となった URL があるとします。
ポリシー変更で「解凍後のファイル数」(=Exceed_File_Count_Limit)の検出条件を満たさなくなった場合でも、自動ブロックによる 当該 URL ブロックは継続します。