yarai Cloudは既に修正済みであり、現時点では、何れの問題の影響も受けません。
また、「AMC v3.4.6」の最新版のインストーラーは既に差し替えが行われています。そのため、2022年5月以降の最新版の「AMC v3.4.6(3.4.1091.6)」をご利用の場合は、本問題は修正されています。
世界トップレベルのセキュリティ・リサーチ・チームを作り、
コンピュータ社会の健全な運営に寄与します。株式会社FFRIセキュリティ
FAQ
キーワードから探す
カテゴリから探す
AMC v3.4.x をマルチテナントモード(複数組織)で運用されている場合に発生する問題について
最終更新日:2022/08/02目次
概要
問題1:過検出判定ご利用時にハッシュ値を取得できなかった検体の通知が適切に送信されない問題
問題2:yaraiログのWindows Defenderスキャン結果が他のテナントで検索・エクスポートできてしまう問題
問題1の発生条件
条件1:「AMC v3.4.0 ~ v3.4.6」の環境
条件2:マルチテナントモード(複数組織)で運用している環境
条件3:何れかの組織にて、マルウェア情報にハッシュ値が空の検体が存在する環境
条件4:何れかの組織にて、「過検出判定(その他)」が有効になっている環境
問題2の発生条件
条件1:「AMC v3.4.0 ~ v3.4.6」の環境
条件2:マルチテナントモード(複数組織)で運用している環境
条件3:何れかの組織にて、「yaraiログ」にWindows Defenderのスキャン結果が収集されている環境
問題1の影響
問題の発生率が高いパターン
問題の発生率が低いパターン1
問題の発生率が低いパターン2
問題の発生率が無いパターン
問題2の影響
対処方法
本問題のさらなる詳細について
概要
AMC v3.4.x をマルチテナントモード(複数組織)で運用されている場合、以下の問題が発生することが確認されています。
※以降、「テナント」と「組織」は同義とします。
✔ 情報
問題1:過検出判定ご利用時にハッシュ値を取得できなかった検体の通知が適切に送信されない問題
何らかの要因でファイルのハッシュ値が取得できなかった検体については、ハッシュ値が空の状態となります。その際に、ご利用の設定によっては、「データが不十分」の通知イベントが発生します。
マルチテナントモード(複数組織)で運用されている場合、通常は、自組織の設定でこの通知イベント処理を行いますが、意図せず他組織の設定で通知イベント処理を行ってしまう不具合となります。
問題2:yaraiログのWindows Defenderスキャン結果が他のテナントで検索・エクスポートできてしまう問題
AMCの管理コンソールでは、Windows Defenderのスキャンの完了や中止といった「スキャン結果」を、「yaraiログ」の画面から検索できます。
マルチテナントモード(複数組織)で運用されている場合、意図せず他組織のWindows Defenderのスキャン結果が検索できてしまい、エクスポートもできてしまう不具合となります。
問題1の発生条件
以下の全ての条件に合致した環境でのみ、本問題が発生する可能性があります。1つでも条件が合致しなければ、本問題は発生しません。
条件1:「AMC v3.4.0 ~ v3.4.6」の環境
本バージョン以外では、本問題は発生しません。
条件2:マルチテナントモード(複数組織)で運用している環境
マルチテナントモードとは、1つのAMCで複数組織を管理するモードです。管理対象組織が2つ以上存在する場合、自動的にこのモードになります。
以下の画面例のようになっている場合、マルチテナントモードとなります。統括管理者でログインして確認してください。
‼ 重要
マルチテナントモードは、特定の環境でのみ利用される機能となります。詳細については「FFRI AMC オペレーションマニュアル」をご参照ください。
条件3:何れかの組織にて、マルウェア情報にハッシュ値が空の検体が存在する環境
何らかの要因でファイルのハッシュ値が取得できなかった場合に発生します。ファイル使用中や一時ファイルなど、限定的な状況でのみ発生し、発生頻度は稀です。
その場合、以下の画面例のようになります。
条件4:何れかの組織にて、「過検出判定(その他)」が有効になっている環境
「過検出判定システム」を利用しており、以下の画面のように「過検出判定(その他)」が有効になっている組織が存在する環境が対象となります。
本設定は、マルウェア情報の「過検出判定状況」が「解析中」や「データが不十分」などのステータスに遷移した場合に、通知イベント処理(メール送信/プログラム実行)を実行する設定となります。詳細については「FFRI AMC オペレーションマニュアル」をご参照ください。
問題2の発生条件
以下の全ての条件に合致した環境でのみ、本問題が発生する可能性があります。1つでも条件が合致しなければ、本問題は発生しません。
条件1:「AMC v3.4.0 ~ v3.4.6」の環境
上述の「問題1の発生条件」の「条件1」と同様となります。
条件2:マルチテナントモード(複数組織)で運用している環境
上述の「問題1の発生条件」の「条件2」と同様となります。
条件3:何れかの組織にて、「yaraiログ」にWindows Defenderのスキャン結果が収集されている環境
以下の画面のように、「yaraiログ」の画面にて、検索条件に「イベントタイプ」>「スキャン結果」を指定した場合に、Windows Defenderのスキャン結果が表示される環境が対象となります。
なお、本ログについては、以下の画面のように、ポリシーの「Windows Defender」にて「スキャンイベント」の設定が有効になっている場合に収集されます。
問題1の影響
通知イベントには、「メール送信(標準メール機能)」と「プログラム実行」の2つの処理が選択できますが、「プログラム実行」の場合でもメール送信するケースが多いと考えられます。
そのため、自組織の「データが不十分」のメールが、意図せず他組織に送信されてしまう可能性があります。
‼ 重要
意図せず通知イベントが発生しない場合や、逆に正しく自組織に対して発生する場合もあり、発生率や発生頻度は可変であり、ご利用の環境に依存して大きく変動します。後述の各パターンも参考にしてください。そのため、必ず発生する問題ではありません。
以下は、「メール送信(標準メール機能)」を利用した場合の、通知メールの例です。
■ 件名
[FFRI AMC 過検出判定(その他)]データが不十分
■ 本文
****************************** はじめ ******************************
FFRI AMCより過検出判定状況の更新をお知らせします。
マルウェアのハッシュ値:
過検出判定状況: データが不十分 (Code: 8)
過検出判定状況更新日:
検出時の情報は以下をご確認ください。
━━━━━━━━━━━━□■□ 検出時の情報 □■□━━━━━━━━━━━━
検出日時: yyyy/mm/dd hh:mm:ss
検出したプロセス: X:\XXXXX.exe
検出機構: XXXXXX (Code: X)
検出時の動作: XXXXXX (Code: X)
検出理由: XXXXXX (Code: X)
駆除ステータス: 駆除されていない (Code: 0)
━━━━━━━━━━□■□ クライアント情報 □■□━━━━━━━━━━
組織名: 【表示例】テナント1
グループ名: XXXXX
ドメイン名: XXXXX
ホスト名: XXXXX
IPアドレス: XXX.XXX.XXX.XXX
プロダクトバージョン: 3.X.XXXX.X
エンジンバージョン: 3.X.XXXX.X
GUIバージョン: 3.X.XXXX.X
データバージョン: 3.X.XXXX.X
OS(オペレーティングシステム): Windows XX
最終アップデート:
───・───・───・───・───・───・───・───・───・───・───
****************************** おわり ******************************
⚠ 注意
- 「組織名」にはメールを受信してしまった他組織が設定されます。
- 「プログラム実行」を設定している場合のメール内容はプログラムに依存します。
問題の発生率が高いパターン
- 組織の数:10社
- 「過検出判定(その他)」が有効の組織:8社
- 「過検出判定(その他)」が無効の組織:2社
- ハッシュ値が空の検出が発生した自組織:「過検出判定(その他)」が有効
- 意図せず他組織にメール送信されてしまう確率:7/10(70%)
(※)意図せず自組織にメール送信が発生しない確率:2/10(20%)- 正しく自組織にメール送信される確率:1/10(10%)
(※)意図した動作ではありませんが、意図せず他組織にメール送信されることはありません。
問題の発生率が低いパターン1
- 組織の数:10社
- 「過検出判定(その他)」が有効の組織:2社
- 「過検出判定(その他)」が無効の組織:8社
- ハッシュ値が空の検出が発生した自組織:「過検出判定(その他)」が有効
- 意図せず他組織にメール送信されてしまう確率:1/10(10%)
(※)意図せず自組織にメール送信が発生しない確率:8/10(80%)- 正しく自組織にメール送信される確率:1/10(10%)
(※)意図した動作ではありませんが、意図せず他組織にメール送信されることはありません。
問題の発生率が低いパターン2
- 組織の数:10社
- 「過検出判定(その他)」が有効の組織:2社
- 「過検出判定(その他)」が無効の組織:8社
- ハッシュ値が空の検出が発生した自組織:「過検出判定(その他)」が無効
- 意図せず他組織にメール送信されてしまう確率:2/10(20%)
- 正しくどの組織にもメール送信が発生しない確率:8/10(80%)
問題の発生率が無いパターン
- 「過検出判定(その他)」が有効の組織:0社
- 「過検出判定(その他)」が無効の組織:10社
- ハッシュ値が空の検出が発生した自組織:「過検出判定(その他)」が無効
- 意図せず他組織にメール送信されてしまう確率:0/10(0%)
- 正しくどの組織にもメール送信が発生しない確率:10/10(100%)
問題2の影響
「yaraiログ」の画面にて、検索条件に「イベントタイプ」>「スキャン結果」を指定した場合に、Windows Defenderのスキャン結果としてグループ名、ホスト名、IPアドレス、MACアドレス、詳細情報などが表示されますが、この情報が意図せず他組織に表示されてしまう可能性や、csvファイルにエクスポートされてしまう可能性があります。
‼ 重要
本検索条件を使用した場合のみ発生する不具合となります。そのため、必ず発生する問題ではありません。
対処方法
「AMC v3.4.6」の最新版のインストーラーは既に差し替えが行われています。
そのため、2022年5月以降の最新版の「AMC v3.4.6(3.4.1091.6)」をご利用の場合は、本問題は修正されていますので、対処は不要となります。
それ以外の「AMC v3.4.0 ~ v3.4.6」の場合は、最新版のインストーラーを使用して、最新版にアップデートしてください。
本問題のさらなる詳細について
さらなる詳細な情報をご希望の場合は、以下のカスタマーサイトにログインしていただき、「FFRI AMC 3.4.0以降のマルチテナントご利用時に発生する不具合について」の部分をご確認ください。
https://yarai.fourteenforty.jp/clients/yarai3_old.html
※上記カスタマーサイトに詳細な情報の掲載が無い場合は、ご購入いただいた販売店までお問い合わせください。
関連するFAQ
