ビュー:

TMEmS/V1ECS では管理コンソールの 受信保護設定 > ウイルス検索 > ウイルスポリシー または 送信保護設定 > ウイルス検索 > ウイルスポリシー の画面に配置されているウイルス検索用のポリシールールにおいてメッセージに添付されているファイルに対してウイルス検索が実行されます。

ウイルス検索では圧縮ファイルの圧縮率が 99% (解凍比率が 100) に制限されており、圧縮率の制限に抵触した場合、「圧縮ファイルの解凍比率が100を超えています。」の 検索除外 でメッセージは処理されます。

また、圧縮ファイルの圧縮階層 (レイヤ) の数についても 20 に制限されており、圧縮階層数の制限に抵触した場合、「圧縮ファイルのレイヤ数が20を超えています。」の 検索除外 でメッセージは処理されます。

いずれの場合も 初期設定 ではメッセージは削除され、送信者に通知が送信されます。

ユーザは任意に上限値 (しきい値) を変更できません。また、この制限を無効化できません。

初期設定

検索除外「圧縮ファイルの解凍比率が100を超えています。」と「圧縮ファイルのレイヤ数が20を超えています。」の設定は管理コンソールの 受信保護設定 > ウイルス検索 > 検索除外送信保護設定 > ウイルス検索 > 検索除外 の画面に受信保護と送信保護のトラフィックに分けて用意されています。

初期設定では同検索除外の処理に「削除、通知」が設定されています。

「削除、通知」をクリックすると「メッセージ全体を削除」と「通知送信」が選択されており、さらに「通知メッセージ」をクリックすると指定されている通知設定を確認できます。初期設定では "Non Delivery Report" の通知設定が指定されており、管理 > ポリシーオブジェクト > 通知 の画面でその通知設定の内容を確認できます。

検索除外で処理されるメッセージ

圧縮ファイルの解凍比率が100を超えています。」と「圧縮ファイルのレイヤ数が20を超えています。」の各検索除外で処理されるメッセージについて、それぞれ説明します。

圧縮率の制限に抵触する場合

圧縮率とは、圧縮前のファイルサイズに対してどの程度ファイルを圧縮したか、パーセントで表示したものであり、その値が大きければ大きいほど高圧縮のファイルとなります。

検索エンジンの仕様上、圧縮率が 99% (解凍比率が 100) を超える高圧縮のファイルは常にウイルス検索から除外されます。

そのため、メッセージに添付されている圧縮ファイル (ZIP や RAR, 7-Zip など) にひとつでも圧縮率が 99% を超えるファイルがアーカイブされていれば、「圧縮ファイルの解凍比率が100を超えています。」の検索除外でメッセージは処理されます。

圧縮率が 99% のファイルを圧縮前と圧縮後のファイルサイズの比率で表示すると 100:1 となり、解凍比率は 100 です。したがって、圧縮率が 99% の場合、解凍比率は 100 です。

例えば圧縮前のファイルサイズが 200 MB のファイルが圧縮後に 2 MB となっていれば、圧縮率は (200-2)/200*100 = 99% です。一方、圧縮前と圧縮後のファイルサイズの比率は 200:2 = 100:1 となり、解凍比率は 100 です。

圧縮階層の制限に抵触する場合

検索エンジンの仕様上、圧縮階層 (圧縮レイヤ) の数が 20 を超える多重圧縮のファイルは常にウイルス検索から除外されます。

そのため、メッセージに添付されている圧縮ファイルの階層数 (レイヤ数) が 20 を超えている場合、「圧縮ファイルのレイヤ数が20を超えています。」の検索除外でメッセージは処理されます。

例えば testfile1.zip という ZIP ファイルを圧縮し、testfile2.zip のファイル名で ZIP ファイルを作成した場合、testfile2.zip は 2階層 となります。その testfile2.zip をさらに圧縮して testfile3.zip のファイル名で ZIP ファイルを作成した場合、testfile3.zip は 3階層 となります。

なお、複数のフォルダをツリー状に配置して圧縮したとしても、圧縮ファイルは多重に圧縮されていないため、この場合は制限に抵触しません。

ログの確認方法

「圧縮ファイルの解凍比率が100を超えています。」または「圧縮ファイルのレイヤ数が20を超えています。」の検索除外で検出されて処理されたメッセージは メール追跡 または ポリシーイベント のログから確認できます。

メール追跡のログ

管理コンソールの ログ > メール追跡 の画面で検索除外で処理されたメッセージを検索し、日時をクリックして 詳細画面 を開きます。

「圧縮ファイルの解凍比率が100を超えています。」の検索除外で処理された場合には 処理 のセクションにある 評価済みポリシー に以下のように表示されます。

隔離済み (example: Organization: Virus)
  -圧縮ファイルの解凍比率が最大値を超えています。
  -不正プログラムは見つかりませんでした。

一方、「圧縮ファイルのレイヤ数が20を超えています。」の検索除外で処理された場合には 処理 のセクションにある 評価済みポリシー に以下のように表示されます。

隔離済み (example: Organization: Virus)
  -圧縮ファイルのレイヤが最大数を超えています。
  -不正プログラムは見つかりませんでした。

検索除外でウイルス検索が実行されないため、「不正プログラムは見つかりませんでした。」と合わせて表示されます。

ポリシーイベントのログ

管理コンソールの ログ > ポリシーイベント の画面で検索除外で処理されたメッセージを検索し、日時をクリックして 詳細画面 を開きます。

「圧縮ファイルの解凍比率が100を超えています。」の検索除外で処理された場合、脅威の種類 には「検索除外」、サブタイプ には「その他の除外」、そして 詳細 の項目には「解凍比率が最大値を超えています。」と表示されます。

一方、「圧縮ファイルのレイヤ数が20を超えています。」の検索除外で処理された場合には 詳細 の項目には「圧縮ファイルのレイヤが最大数を超えています。」と表示されます。

回避策

根本的な解決としてファイルをメールでやり取りせずオンラインストレージサービスを介したファイルのやり取りなどを検討する必要がありますが、製品側の回避策 (緩和策) として以下が考えられます。

検索除外に該当して業務上必要なメッセージが届かない場合の業務への影響と、回避策を実施することで脅威のあるメッセージが配送される可能性があることは常にトレードオフの関係にあります。業務への影響と脅威のあるメッセージが通過する可能性を考慮して回避策を実施してください。

処理方法を変更する

管理コンソールの 受信保護設定 > ウイルス検索 > 検索除外 または 送信保護設定 > ウイルス検索 > 検索除外 の画面において、検索除外「圧縮ファイルの解凍比率が100を超えています。」または「圧縮ファイルのレイヤ数が20を超えています。」の処理設定(TMEmS  / V1ECS)を変更し、メッセージを 隔離 または バイパス するよう設定します。

メッセージを隔離する

検索除外「圧縮ファイルの解凍比率が100を超えています。」または「圧縮ファイルのレイヤ数が20を超えています。」の処理設定を「メッセージ全体を削除」から「隔離」に変更し、「通知送信」のチェックを外して設定を保存します。

同検索除外により検出されたメッセージは削除されず、隔離されるようになり、管理コンソールの 隔離 > クエリ の画面で検索されます。隔離されたメッセージの 理由 には「検索の除外」と表示され、管理者は必要に応じて [配信] ボタンから隔離されたメッセージを配信できます。

また、エンドユーザコンソールまたは隔離通知の機能を利用している環境では管理者は エンドユーザコンソールと隔離通知の管理対象となるメッセージ を選択できます。

そのため、管理コンソールの 隔離 > エンドユーザメール隔離設定 において「検索除外」の隔離理由に対して 表示処理を適用 を有効化することで、受信者であるエンドユーザは検索除外として検出された隔離メッセージを配信することが可能となり、管理者の負担を軽減できます。

  • メッセージの隔離時に管理者などに通知したいのであれば、任意の通知設定を作成した上で「通知送信」を有効化してください。

  • 配信された隔離メッセージに対してウイルス検索が実行されることはありませんが、スパムメールポリシーやコンテンツフィルタの各ポリシールールの検索は実行されます。

  • 隔離理由が「検索除外」のメッセージをエンドユーザコンソールと隔離通知の管理対象に設定した場合、検索除外として隔離されたメッセージすべてが管理対象となります。

  • エンドユーザコンソールと隔離通知の機能は受信保護のみに実装されており、送信保護では検索除外として検出されたメッセージを管理できません。

メッセージをバイパスする

検索除外「圧縮ファイルの解凍比率が100を超えています。」または「圧縮ファイルのレイヤ数が20を超えています。」の処理設定を「メッセージ全体を削除」から「メッセージをインターセプトしない」に変更し、「通知送信」のチェックを外して設定を保存します。

同検索除外により検出されたメッセージに対してウイルス検索が実行されることはありませんが、スパムメールポリシーやコンテンツフィルタの各ポリシールールの検索は実行されます。これらのポリシールールによりメッセージが隔離されたり削除されなければ、メッセージは最終的に配送先のメールサーバに配送されます。

オンプレミス製品である InterScan Messaging Security Suite (InterScan MSS) 9.1 Linux版 および InterScan Messaging Security Virtual Appliance (IMSVA) 9.1 では圧縮率の制限は無効化無効化されており、TMEmS/V1ECS のように検出されることはありません。

ウイルス検索から除外する

受信保護のトラフィックで検出された場合にはメッセージの送信者を指定した除外設定をポリシールールに追加することで回避することは可能です。

受信保護設定 > ウイルス検索 > ウイルスポリシー に配置されたポリシールールの 受信者と送信者 の設定では、除外 セクションに送信者と受信者のペアで除外設定を登録できます。

除外設定に指定した送信者からのメッセージはポリシールールの検索対象から除外されるため、検索除外でメッセージが処理されることはありません。

  • 除外設定に指定した送信者からのメッセージすべてに対してウイルス検索が実行されないことになります。

  • スパムメールポリシーやコンテンツフィルタの各ポリシールールの検索は実行されます。

  • 送信保護設定 > ウイルス検索 > ウイルスポリシー では "Organization: Global Outbound Policy (Virus)" のポリシールールが必ず有効化されており、ユーザはそのポリシールールの設定を任意に変更できないため、この方法では送信保護における同検索除外の検出は回避できません。

キーワード: Trend Micro Email Security TMEmS