はじめに
Trend Micro Apex One(以下、Apex One)、Trend Micro Apex One as a Service(以下、Apex One SaaS)にて POP3メール検索機能でメールが検知された際に、検知されたメールの代わりに送信されます。
■ 件名
Trend Micro Apex One detected and took action on a malicious email
POP3メール検索機能はメールの受信時にウイルス検索を実施する機能です。
なお、本機能は初期設定で無効です。
POP3 メール検索機能の設定手順
・Apex One の場合
1. Apex One サーバのWeb 管理コンソールから [エージェント] → [エージェント管理] 画面に移動します。
2. [設定] → [権限とその他の設定] 画面を開きます。
3. [その他の設定] タブの「POP3メール検索設定」を有効にし、「保存ボタン」を押下します。
・Apex One SaaS の場合
1.管理コンソールより、[ポリシー] > [ポリシー管理] をクリックします。
2.ポリシー名のリンクをクリックします。
3.[権限とその他の設定] > [その他の設定] タブ > 「POP3メール検索」を確認します。
※チェックが入っている場合有効です。
4.[配信]をクリックします
元のメールを参照する方法
POP3メール検索機能によりメールが検知された場合、検知されたメールは「original.txt」というファイル名で添付されています。
そのため「original.txt」の拡張子を「eml」に変更することで、メールクライアントソフトでの参照が可能です。
・メールには不正プログラムが含まれている可能性があるため十分に注意して実施してください。
・emlファイルの閲覧方法については各メールクライアントソフトの提供元にご確認ください。
検出条件
上記件名のメールは POP3メール検索が有効で、以下の条件に合致する場合に送信されます。
安全と確認されているメールを頻繁に検出している場合は、1. か 4. が影響している可能性があります。
- メールの宛先に 100 件以上登録されている
- スパイウェアが添付されている
- 改変されたファイルが添付されている
- メールヘッダのフィールド数が「HdrPerEnt」で指定した閾値(64 行)を超えている
メールヘッダの肥大化に対する検知について
本工程にはレジストリの操作が含まれます。
レジストリはWindowsの構成情報が格納されているデータベースです。
レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。
なお、レジストリの編集前に必ずバックアップを作成することを推奨いたします。
レジストリのバックアップ方法の詳細は、ご使用のWindowsのヘルプをご参照ください。
意図しないメールが検知される場合、メールヘッダの肥大化を POP3メール検索機能で検知している可能性があります。
メールの内容に問題がない場合は、メールのヘッダが64行以上になっていないかご確認ください。
上記で検出される場合は、メールの運用・設定を見直していただき、メールヘッダの肥大化を抑制するか、 以下の手順でPOP3メール検索機能のメールヘッダに対するしきい値を変更してください。
しきい値の変更方法は特定のエージェントのみ、または、サーバから一括で行う方法のいずれかを実施ください。
メールヘッダに対するしきい値の変更方法(エージェントごとに設定する場合)
1. エージェントをアンロードします。
その後、以下の設定を各エージェントごとに実施してください。
2. キーボードの「Windows」+「R」キーを同時に押し、表示された「ファイル名を指定して実行」画面で"regedit.exe" と入力してレジストリエディタを開きます。
3. 以下のレジストリキーを「100」や「200」といった大きな値に変更します。
■ パス:
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\Osprey\Scan\Common\MailManager\config
■ 名前:HdrPerEnt
※初期設定では閾値は 「40」 (16進数)に指定されています。
HdrPerEnt の値を 「100」 や 「400」 などに変更し現象に変化があるか確認してください。
※「初期設定閾値=40」を 「10進数」 にした場合 「64」 となります。
初期設定では、「64 個以上のフィールド数がメールヘッダー」 に含まれる場合に「POP3メール検索」 による受信メールの制御が行われます。
※ 例えば閾値を 「400」 (16進数) に指定いただいた場合、「フィールド数の最大値」 は 「1024個」 まで許容されるようになります。
メールヘッダに対するしきい値の変更方法(サーバ側から一括で設定する場合)
Apex One の場合は以下手順で一括設定が可能です。
Apex One SaaS の場合は以下手順で一括設定することができないため、エージェントごとに設定してください。
対象台数が多いなどで一括設定をご要望の場合は、サポートセンターまでご相談ください。
1. Apex One サーバのインストールフォルダ内の「PCCSRV」フォルダにある「ofcscan.ini」ファイルを開きます。
<Apex One サーバのインストールフォルダ>\PCCSRV\ofcscan.ini
初期設定で 、Apex One サーバのインストールフォルダは以下のとおりです。
Apex One サーバ新規インストール時のパスのため、ウイルスバスターコーポレートエディションからのバージョンアップ時は”ApexOne”を ”OfficeScan”と読み替えてください。
〇 32 bitの場合 C:\Program Files\Trend Micro\ApexOne
〇 64 bitの場合 C:\Program Files(x86)\Trend Micro\ApexOne
2. [Global Setting] セクションに 「HdrPerEnt」 キーを追加して、適切な値をヘッダフィールド数で指定します。
■ 例:
ヘッダフィールド数を 1024 に設定するには次のように指定します。
[Global Setting]
HdrPerEnt=1024 (10進で指定。16進では「400」)
3. 変更内容を保存して、「ofcscan.ini」ファイルを閉じます。
4. Apex One サーバの Web 管理コンソールを開き、[エージェント] → [グローバルエージェント設定] の順に選択します。
5. [グローバルエージェント設定] 画面下部の 「保存]」ボタンをクリックし、設定をエージェントに配信します。
Apex One エージェントプログラムによって、次のレジストリキーが自動的に設定されます。
■パス:
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\Osprey\Scan\Common\MailManager\config
■ 名前:HdrPerEnt
■ 種類:dword
■ データ : 400
※16進で設定されています。10進では「1024」となります。
※上記の設定キーは 32bit OSおよび 64 bit OS の場合ともに同じ箇所となります。
6. Apex One エージェントをリロードします。