発生理由
侵入防御の機能によって通信プロトコルを解析(デコード)する際に、解析に失敗した場合に発生します。これは通常次のいずれかの場合に発生します。
- プロトコル上不正なデータが含まれている場合
- ルールの解析対象とは別のプロトコルの通信を検査しようとしている場合(例えば、SMBではない通信をSMBプロトコルとして検査しようとしている場合)
解析に失敗するとパケットデータの検査を継続できず、攻撃パケットを検出できない可能性があるため、このイベントが記録されてパケットがブロックされます。
なお、本イベントが発生した場合、単一のパケットに対して「ログ」と「リセット」の二つのイベントが発生します。「リセット」のイベントには実際のパケットデータが記録され、「ログ」のイベントにはデバッグ情報が記録されます。このデバッグ情報は、このイベントが製品の想定外のデータを受信した際に起こるものであるために記録されます。
回避方法
A) 上記1.の場合
通信が発生したコンピュータを調査して不正な通信が行われた原因を特定し、問題を解決してください。
B) 上記2.の場合
イベントが発生した通信ポートをアプリケーションの種類から削除して、該当の通信を解析しないように設定してください。
- 設定を行いたいコンピュータまたはポリシーの詳細から[侵入防御(Deep Packet Inspection)]メニューを開き、イベントが発生したポートに割り当てられているルールを右クリックし、[アプリケーションの種類プロパティ]を開きます。
- 「ポート」の設定で「継承」をオフにして、検査を回避したいポートを削除します。なお、「ポート」の設定がポートリストで設定されている場合は、該当のポートリストからポートを削除します。
C) 暫定回避をしたい場合
原因の調査過程などで、暫定的にこのイベントを発生させないようにしたい場合は、以下の手順でプロトコルの解析を無効にすることができます。
- 設定を行いたいコンピュータまたはポリシーの詳細から[侵入防御(Deep Packet Inspection)]メニューを開き、イベントが発生したポートに割り当てられているルールを右クリックし、[アプリケーションの種類プロパティ]を開きます。
- [設定]タブで「継承」をオフにして、「Enable Decoder」をオフにします。