まっちゃだいふくの日記

セキュリティのこと、ITの気になった記事をリンクしています。

[障害情報][復旧済み]Trend Micro Email Security 特定のメールに対して意図しないポリシールールが動作する事象発生のお知らせ:サポート情報 : トレンドマイクロ@ TMEmSのメンテナンス時にデフォルトポリシーを入れたら有効化されてしまっていて、一部意図しないルールが動いてしまった模様

[障害情報][復旧済み]Trend Micro Email Security 特定のメールに対して意図しないポリシールールが動作する事象発生のお知らせ:サポート情報 : トレンドマイクロ

日頃より弊社製品およびサービスをご利用頂き、誠にありがとうございます。

SaaS製品であるTrend Micro Email Security(以下、TMEmS)において、2020年11月26日(木) 午後 08:01頃から、特定のメールに対して意図しないポリシールールが動作する事象が発生しておりました。 本事象は2020年12月1日(火) 10:36頃に解消しております。

詳細を以下に記載いたします。 本製品をご利用のお客様におかれましては、事象発生時間帯においてご不便およびご迷惑をお掛けしましたこと、深くお詫び申し上げます。

■事象発生時間帯
2020年11月26日(月) 午後 08:01頃 ~ 2020年12月1日(火) 午前 10:36頃

■影響のあった製品
Trend Micro Email Security

■事象内容
メールが以下の条件を満たす場合に、以下のTMEmSの新規デフォルトグロ―バルポリシーが動作する状態となっておりました。

これらの新規デフォルトグローバルポリシーは、上記「事象が発生した時間帯」においてのみ有効となっておりました。また、新規デフォルトグローバルポリシーの内容は、TMEmSの管理画面からは確認できません。

[受信保護設定] > [ウイルス検索] > [ウイルスポリシー]で定義しているポリシールールのいずれの"受信者と送信者"条件にも合致せず、受信保護設定のすべてのウイルスポリシールールを通過しなかった場合。 この場合、ウイルスチェック用のデフォルトグローバルポリシーが動作いたします。

(1)に加え、更に以下の受信保護設定のポリシーのいずれの"受信者と送信者"条件にも合致せず、受信保護設定のすべてのポリシールールを通過しなかった場合。

[受信保護設定] > [スパムメールフィルタ] > [スパムポリシー]
[受信保護設定] > [コンテンツフィルタ]
[受信保護設定] > [情報漏えい対策]
この場合、追加でスパムチェック用とコンテンツフィルタ用のデフォルトグローバルポリシーが動作いたします。

■デフォルトグローバルポリシーの詳細
以下、3種類、合計7個のポリシールールとなります。

ウイルスチェック用のデフォルトグローバルポリシーのルール名

以下1つのルールになります。

"tmestest02: default-domain.tmes.trendmicro.com: Virus"または"Default Anti-Virus Policy"

※11/30 17:00頃までは"tmestest02: default-domain.tmes.trendmicro.com: Virus"というルール名です。 以降は事象終了まで"Default Anti-Virus Policy"というルール名で動作しております。

スパムチェック用のデフォルトグローバルポリシーのルール名

以下3つのルールになります。

"tmestest02: default-domain.tmes.trendmicro.com: Spam or Phish"

"tmestest02: default-domain.tmes.trendmicro.com: Newsletter or spam-like"

"tmestest02: default-domain.tmes.trendmicro.com: Probable BEC threat"

コンテンツフィルタ用のデフォルトグローバルポリシーのルール名

以下3つのルールになります。

"tmestest02: default-domain.tmes.trendmicro.com: High-risk attachment"

"tmestest02: default-domain.tmes.trendmicro.com: Exceeding msg size or # of recipients"

"tmestest02: default-domain.tmes.trendmicro.com: password protected"

■事象発生時の影響
上述の事象内容に記載の条件を満たすメールは、新規デフォルトグローバルポリシーのチェック対象となっておりました。

当該ポリシーの条件を満たした場合、"隔離"/"本文にスタンプを挿入"/"件名にタグを挿入"のいずれかの処理が実施されました。

各新規デフォルトグローバルポリシーの条件を満たした場合に実施される処理はそれぞれ以下の通りです。

"tmestest02: default-domain.tmes.trendmicro.com: Virus"または"Default Anti-Virus Policy"

"隔離"が実施されます。
"tmestest02: default-domain.tmes.trendmicro.com: Spam or Phish"

"隔離"が実施されます。

"tmestest02: default-domain.tmes.trendmicro.com: Newsletter or spam-like"

"件名にタグを挿入"が実施され、"spam>"という文字列が件名に付与されます。

"tmestest02: default-domain.tmes.trendmicro.com: Probable BEC threat"

"本文にスタンプを挿入"が実施され、[管理] - [ポリシーオブジェクト] - [スタンプ]の"Probable BEC threat"というスタンプがメール本文に付与されます。

"tmestest02: default-domain.tmes.trendmicro.com: High-risk attachment"

"隔離"が実施されます。

"tmestest02: default-domain.tmes.trendmicro.com: Exceeding msg size or # of recipients"

"隔離"が実施されます。

"tmestest02: default-domain.tmes.trendmicro.com: password protected"

"本文にスタンプを挿入"が実施され、[管理] - [ポリシーオブジェクト] - [スタンプ]の"Unscanned attachment"というスタンプがメール本文に付与されます。

■事象発生の確認方法
TMEmS管理画面の[ログ] - [ポリシーイベント]にて、デフォルトグローバルポリシーに抵触したメールを検索できます。

当該画面で以下のような条件を設定し、検索を実施いたします。

期間: 事象発生時間帯を含む期間を設定します。
方向: "受信"を選択します。
ルール名: 上述のデフォルトグローバルポリシールール名の文字列を入力します。
(例:"tmestest02", "default-domain", "Default Anti-Virus Policy")
■事象の原因
2020年11月26日(木)に行いましたTMEmSのメンテナンス作業の一環で、受信保護設定の各種ポリシーを通過しないメールに対するフィルタリング強化のため、 上述の新規デフォルトグローバルポリシーの適用を実施いたしました。こちらが原因となります。

しかしながら、新規デフォルトグローバルポリシーは、意図的にポリシーを通過させない運用ケース等への影響の考慮が不十分であったため、 事後で本事象発生のご報告をいただく状況となりました。結果、お客様への影響を鑑みて当該デフォルトグローバルポリシーは即時廃止の判断に至りました。 無効化につきましては、2020年12月1日(火) 午前 10:36頃にすべて完了しております。 ご不便およびご迷惑をお掛けし、大変申し訳ございません。

■再発防止策
現在調査、検討中となります。 確認が取れ次第、当サポートニュースのページを更新いたします。

サポート情報 : トレンドマイクロ