まず始めに、Microsoft Office 2007 以降の Office ファイル (*.docx や *.xlsx, *.pptx など) では XML ベースのファイルフォーマット Open XML が使用されています。
Open XML のファイル形式では ZIP の圧縮技術が使用されており、Office ファイルを構成する内部ファイルが圧縮されています。言い換えれば Word (*.docx) や Excel (*.xlsx) など、Open XML 形式の Office ファイル自体が ZIP の圧縮ファイルであり、実際、圧縮ファイル解凍ツールを使用して Office ファイルを解凍したり、アーカイブされているファイルを確認できます。
一方、TMEmS/V1ECS では管理コンソールの 受信保護設定 > ウイルス検索 > ウイルスポリシー または 送信保護設定 > ウイルス検索 > ウイルスポリシー の画面に配置されているウイルス検索用のポリシールールにおいてメッセージに添付されているファイルに対してウイルス検索が実行されます。
ウイルス検索では Office ファイルを構成する内部ファイルの総数が 353個 に制限されているため、内部ファイル数の制限に抵触した場合、「バージョン2007以降のOfficeファイルに353個を超える下位ファイルが含まれています。」の 検索除外 でメッセージは処理されます。
また、Office ファイルを構成する内部ファイルの圧縮率が 99% に制限されているため、内部ファイルが圧縮率の制限に抵触した場合、「バージョン2007以降のOfficeファイルに、解凍比率が100を超える下位ファイルが含まれています。」の 検索除外 でメッセージは処理されます。
いずれの場合も 初期設定 ではメッセージは削除され、送信者に通知が送信されます。
ユーザは任意に上限値 (しきい値) を変更できません。また、この制限を無効化できません。
初期設定
検索除外「バージョン2007以降のOfficeファイルに353個を超える下位ファイルが含まれています。」と「バージョン2007以降のOfficeファイルに、解凍比率が100を超える下位ファイルが含まれています。」の設定は管理コンソールの 受信保護設定 > ウイルス検索 > 検索除外 と 送信保護設定 > ウイルス検索 > 検索除外 の画面に受信保護と送信保護のトラフィックに分けて用意されています。
初期設定では同検索除外の処理に「削除、通知」が設定されています。
「削除、通知」をクリックすると「メッセージ全体を削除」と「通知送信」が選択されており、さらに「通知メッセージ」をクリックすると指定されている通知設定を確認できます。初期設定では "Non Delivery Report" の通知設定が指定されており、管理 > ポリシーオブジェクト > 通知 の画面でその通知設定の内容を確認できます。
検索除外で処理されるメッセージ
「バージョン2007以降のOfficeファイルに353個を超える下位ファイルが含まれています。」と「バージョン2007以降のOfficeファイルに、解凍比率が100を超える下位ファイルが含まれています。」の各検索除外で処理されるメッセージについて、それぞれ説明します。
内部ファイル数の制限に抵触する場合
メッセージに添付されている Office 2007 以降の Office ファイルを構成する内部ファイルの総数が 353個 を超える場合、「バージョン2007以降のOfficeファイルに353個を超える下位ファイルが含まれています。」の検索除外でメッセージは処理されます。
内部ファイルが圧縮率の制限に抵触する場合
圧縮率とは、圧縮前のファイルサイズに対してどの程度ファイルを圧縮したか、パーセントで表示したものであり、その値が大きければ大きいほど高圧縮のファイルとなります。
圧縮率が 99% (解凍比率が 100) を超える高圧縮のファイルは常にウイルス検索から除外されます。
そのため、メッセージに添付されている Office 2007 以降の Office ファイルを構成する内部ファイルのなかでひとつでも圧縮率が 99% を超えるファイルがあれば、「バージョン2007以降のOfficeファイルに、解凍比率が100を超える下位ファイルが含まれています。」の検索除外でメッセージは処理されます。
圧縮率が 99% のファイルを圧縮前と圧縮後のファイルサイズの比率で表示すると 100:1 となり、解凍比率は 100 です。したがって、圧縮率が 99% の場合、解凍比率は 100 です。
例えば Office ファイルにおいてファイルサイズが 200 MB の内部ファイルが 2 MB に圧縮されていれば、圧縮率は (200-2)/200*100 = 99% です。一方、圧縮前と圧縮後のファイルサイズの比率は 200:2 = 100:1 となり、解凍比率は 100 です。
ログの確認方法
「バージョン2007以降のOfficeファイルに353個を超える下位ファイルが含まれています。」または「バージョン2007以降のOfficeファイルに、解凍比率が100を超える下位ファイルが含まれています。」の検索除外で検出されて処理されたメッセージは メール追跡 または ポリシーイベント のログから確認できます。
メール追跡のログ
管理コンソールの ログ > メール追跡 の画面で検索除外で処理されたメッセージを検索し、日時をクリックして 詳細画面 を開きます。
「バージョン2007以降のOfficeファイルに353個を超える下位ファイルが含まれています。」の検索除外で処理された場合には 処理 のセクションにある 評価済みポリシー に以下のように表示されます。
隔離済み (example: Organization: Virus) -バージョン2007以降のOfficeファイルに含まれている下位ファイルの数が多すぎます。 -不正プログラムは見つかりませんでした。
一方、「バージョン2007以降のOfficeファイルに、解凍比率が100を超える下位ファイルが含まれています。」の検索除外で処理された場合には 処理 のセクションにある 評価済みポリシー に以下のように表示されます。
隔離済み (example: Organization: Virus) -バージョン2007以降のOfficeファイルに、解凍比率が最大値を超過する下位ファイルが含まれています。 -不正プログラムは見つかりませんでした。
検索除外でウイルス検索が実行されないため、「不正プログラムは見つかりませんでした。」と合わせて表示されます。
ポリシーイベントのログ
管理コンソールの ログ > ポリシーイベント の画面で検索除外で処理されたメッセージを検索し、日時をクリックして 詳細画面 を開きます。
「バージョン2007以降のOfficeファイルに353個を超える下位ファイルが含まれています。」の検索除外で処理された場合、脅威の種類 には「検索除外」、サブタイプ には「その他の除外」、そして 詳細 の項目には「Officeファイルに含まれる下位ファイルの数が最大値を超えています。」と表示されます。
一方、「バージョン2007以降のOfficeファイルに、解凍比率が100を超える下位ファイルが含まれています。」の検索除外で処理された場合には 詳細 の項目には「Officeファイルに含まれる下位ファイルの解凍比率が最大値を超えています。」と表示されます。
回避策
根本的な解決としてファイルをメールでやり取りせずオンラインストレージサービスを介したファイルのやり取りなどを検討する必要がありますが、製品側の回避策 (緩和策) として以下が考えられます。
検索除外に該当して業務上必要なメッセージが届かない場合の業務への影響と、回避策を実施することで脅威のあるメッセージが配送される可能性があることは常にトレードオフの関係にあります。業務への影響と脅威のあるメッセージが通過する可能性を考慮して回避策を実施してください。
処理方法を変更する
管理コンソールの 受信保護設定 > ウイルス検索 > 検索除外 または 送信保護設定 > ウイルス検索 > 検索除外 の画面において、検索除外「バージョン2007以降のOfficeファイルに353個を超える下位ファイルが含まれています。」または「バージョン2007以降のOfficeファイルに、解凍比率が100を超える下位ファイルが含まれています。」の 処理設定 を変更し、メッセージを 隔離 または バイパス するよう設定します。
メッセージを隔離する
検索除外「バージョン2007以降のOfficeファイルに353個を超える下位ファイルが含まれています。」または「バージョン2007以降のOfficeファイルに、解凍比率が100を超える下位ファイルが含まれています。」の処理設定を「メッセージ全体を削除」から「隔離」に変更し、「通知送信」のチェックを外して設定を保存します。
同検索除外により検出されたメッセージは削除されず、隔離されるようになり、管理コンソールの 隔離 > クエリ の画面で検索されます。隔離されたメッセージの 理由 には「検索の除外」と表示され、管理者は必要に応じて [配信] ボタンから隔離されたメッセージを配信できます。
また、エンドユーザコンソールまたは隔離通知の機能を利用している環境では管理者は エンドユーザコンソールと隔離通知の管理対象となるメッセージ を選択できます。
そのため、管理コンソールの 隔離 > エンドユーザメール隔離設定 において「検索除外」の隔離理由に対して 表示 と 処理を適用 を有効化することで、受信者であるエンドユーザは検索除外として検出された隔離メッセージを配信することが可能となり、管理者の負担を軽減できます。
-
メッセージの隔離時に管理者などに通知したいのであれば、任意の通知設定を作成した上で「通知送信」を有効化してください。
-
配信された隔離メッセージに対してウイルス検索が実行されることはありませんが、スパムメールポリシーやコンテンツフィルタの各ポリシールールの検索は実行されます。
-
隔離理由が「検索除外」のメッセージをエンドユーザコンソールと隔離通知の管理対象に設定した場合、検索除外として隔離されたメッセージすべてが管理対象となります。
-
エンドユーザコンソールと隔離通知の機能は受信保護のみに実装されており、送信保護では検索除外として検出されたメッセージを管理できません。
メッセージをバイパスする
検索除外「バージョン2007以降のOfficeファイルに353個を超える下位ファイルが含まれています。」または「バージョン2007以降のOfficeファイルに、解凍比率が100を超える下位ファイルが含まれています。」の処理設定を「メッセージ全体を削除」から「メッセージをインターセプトしない」に変更し、「通知送信」のチェックを外して設定を保存します。
同検索除外により検出されたメッセージに対してウイルス検索が実行されることはありませんが、スパムメールポリシーやコンテンツフィルタの各ポリシールールの検索は実行されます。これらのポリシールールによりメッセージが隔離されたり削除されなければ、メッセージは最終的に配送先のメールサーバに配送されます。
オンプレミス製品である InterScan Messaging Security Suite (InterScan MSS) 9.1 Linux版 および InterScan Messaging Security Virtual Appliance (IMSVA) 9.1 では Office 2007 以降の Office ファイルに対する制限は無効化されており、TMEmS/V1ECS のように検出されることはありません。
ウイルス検索から除外する
受信保護のトラフィックで検出された場合にはメッセージの送信者を指定した除外設定をポリシールールに追加することで回避することは可能です。
受信保護設定 > ウイルス検索 > ウイルスポリシー に配置されたポリシールールの 受信者と送信者 の設定では、除外 セクションに送信者と受信者のペアで除外設定を登録できます。
除外設定に指定した送信者からのメッセージはポリシールールの検索対象から除外されるため、検索除外でメッセージが処理されることはありません。
-
除外設定に指定した送信者からのメッセージすべてに対してウイルス検索が実行されないことになります。
-
スパムメールポリシーやコンテンツフィルタの各ポリシールールの検索は実行されます。
-
送信保護設定 > ウイルス検索 > ウイルスポリシー では "Organization: Global Outbound Policy (Virus)" のポリシールールが必ず有効化されており、ユーザはそのポリシールールの設定を任意に変更できないため、この方法では送信保護における同検索除外の検出は回避できません。