ビジネスサポートポータルアカウントでログイン
 

件名が「Trend Micro OfficeScan detected ...」というメールについて

    • 更新日:
    • 3 Jun 2020
    • 製品/バージョン:
    • Apex One All
    • ウイルスバスター コーポレートエディション XG
    • OS:
概要
件名が「Trend Micro OfficeScan detected and took action on a malicious email」というメールを受信しました。これは何でしょうか?
詳細
Public

はじめに

本メールは、Apex Oneおよびウイルスバスター コーポレートエディション(以下、ウイルスバスター Corp.)にて、 POP3メール検索機能でメールが検知された際に、検知されたメールの代わりに送信されます。

製品およびバージョンにより、以下のように件名が異なります。

Apex One 2019の場合:
「Trend Micro Apex One detected and took action on a malicious email」

ウイルスバスター Corp.の場合:
「Trend Micro OfficeScan detected and took action on a malicious email 」

POP3メール検索機能はメールの受信時にウイルス検索を実施する機能です。
本機能については以下の箇所から設定できます。

ウイルスバスター Corp.サーバのWeb 管理コンソールから
[クライアント] > [クライアント管理] 画面にて [設定▼] > [権限とその他の設定] > [その他の設定] タブ
・POP3メール検索設定


※初期設定では POP3 メール検索機能は無効です。
 

元のメールを参照する方法

POP3メール検索機能によりメールが検知された場合、検知されたメールは「original.txt」というファイル名で添付されています。

そのため「original.txt」の拡張子を「eml」に変更することで、メールクライアントソフトでの参照が可能です。

※メールには不正プログラムが含まれている可能性があるため十分に注意して実施してください。
※emlファイルの閲覧方法については各メールクライアントソフトの提供元にご確認ください。

検出条件

上記件名のメールは POP3メール検索が有効で、以下の条件に合致する場合に送信されます。

  1. メールの宛先に 100 件以上登録されている
  2. スパイウェアが添付されている
  3. 改変されたファイルが添付されている
  4. メールヘッダのフィールド数が「HdrPerEnt」で指定した閾値(64 行)を超えている
 

 ※安全と確認されているメールを頻繁に検出している場合は、1か4が影響している可能性があります。

メールヘッダの肥大化に対する検知について

意図しないメールが検知される場合、メールヘッダの肥大化を POP3メール検索機能で検知している可能性があります。メールの内容に問題がない場合は、メールのヘッダが64行以上になっていないかご確認ください。

上記で検出される場合は、メールの運用・設定を見直していただき、メールヘッダの肥大化を抑制するか、 以下の手順でPOP3メール検索機能のメールヘッダに対するしきい値を変更してください。

しきい値の変更方法は特定のクライアントのみ、または、サーバから一括で行う方法のいずれかを実施ください。

メールヘッダに対するしきい値の変更方法(クライアント毎に設定する場合)

  1. クライアントセルフプロテクションが有効になっている場合は、無効にします。
    • [クライアント管理]内の各ドメイン、クライアントの[設定][権限とその他の設定]の[その他の設定]タブ内の[ウイルスバスター Corp.クライアントセルフプロテクション]で保護されている場合があります。該当の設定を外してください。
    • ウイルスバスター Corp.の各サービスは「クライアントセルフプロテクション」で保護されている場合があります。以下の製品Q&Aにある「クライアントセルフプロテクション」を外してください。

その後、以下の設定を各クライアント毎に実施してください。

レジストリはWindowsの構成情報が格納されているデータベースです。 レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。

レジストリの編集はお客様の責任で行っていただくようお願いいたします。

なお、レジストリの編集前に必ずバックアップを作成することを推奨いたします。
レジストリのバックアップ方法の詳細は、ご使用のWindowsのヘルプをご参照ください。

  1. キーボードの「Windows」キーと「R」キーを同時に押し「ファイル名を指定して実行」画面を開き、"regedit.exe" と入力しレジストリエディタを開きます。
  2. 以下のレジストリキーを「100」や「200」といった大きな値に変更します。

・Windows Vista以前(Windows Server 2008 以降)のOS環境の場合
[HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC\TmProxy\Scan\Common\MailManager\config]

・Windows 7 以降 (Windows Server 2008 R2 以降)のOS環境の場合
[HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\Osprey\Scan\Common\MailManager\config]

・キー
HdrPerEnt

※初期設定では閾値は 「40」 (16進数)に指定されています。
 HdrPerEnt の値を 「100」 や 「400」 などに変更し現象に変化があるか確認してください。

※「初期設定閾値=40」を 「10進数」 にした場合 「64」 となります。
 初期設定では、「64個以上のフィールド数がメールヘッダー」 に含まれる場合、
 「POP3メール検索」 による受信メールの制御が行われます。

※例えば、閾値を 「400」 (16進数) に指定いただいた場合、
「フィールド数の最大値」 は 「1024個」 まで許容されるようになります。

メールヘッダに対するしきい値の変更方法(サーバ側から一括で設定する場合)

  1. ウイルスバスター Corp.サーバのインストールフォルダ内の「PCCSRV」フォルダにある 「ofcscan.ini」ファイルを開きます。

<サーバのインストールフォルダ>\PCCSRV\ofcscan.ini
※初期設定でサーバのインストールフォルダは、以下の通りです。
 「C:\Program Files\Trend Micro\OfficeScan」(32bit)
 「C:\Program Files (x86)\Trend Micro\OfficeScan」(64bit)
 
  1. [Global Setting] セクションに 「HdrPerEnt」 キーを追加して、適切な値をヘッダフィールド数で指定します。たとえば、ヘッダフィールド数を1024に設定するには次のように指定します。

[Global Setting]
HdrPerEnt=1024 (10進で指定。16進では「400」)

※注意:このキーの初期設定値は「64」(10進で指定。16進では「40」)で任意の値を指定できますが、「1024」(10進で指定。16進では「400」)未満 に設定することをお勧めします。
 
  1. 変更内容を保存して、ファイルを閉じます。
  2. ウイルスバスター Corp. の Web 管理コンソールを開き、[クライアント]→[グローバルクライアント設定] の順に選択します。
  3. [保存] をクリックして設定をクライアントに配信します。
    ウイルスバスター Corp.クライアントプログラムによって、次のレジストリキーが自動的に設定されます。

キー名: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\Osprey\Scan\Common\MailManager\config
名前: HdrPerEnt
種類: dword
データ: 400
 
※16進で設定されています。10進では「1024」となります。
※上記の設定キーは32bit OSおよび64 bit OS の場合ともに同じ箇所となります。
 
  1. ウイルスバスター Corp.クライアントを再起動します。
Premium
Internal
Partner
評価:
カテゴリ:
Configure; Troubleshoot; SPEC
Solution Id:
000253283
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド