はじめに
本ドキュメントでは、ZIPなどのパスワードで保護されたアーカイブファイルがファイル分析に送信される事象に関して、よくある質問をまとめています。本記事執筆時点では、ESA 14.2.2-14.2.3 および ESA 15.0.0 で本事象が発生することを確認しています。
事象の概要
ESA 14.2.2-14.2.3 および ESA 15.0.0 から、ファイル分析を有効化している場合、パスワードで保護されたアーカイブファイルがファイル分析に送信されるようになりました。ESA 14.2.2 よりも前のバージョンおよび ESA 14.3.0 では、パスワードで保護されたアーカイブファイルはファイル分析に送信されず、高度なマルウェア保護の「メッセージエラーによるスキャン不可アクション」で設定されたアクションに基づいて処理されていました。
よくある質問
-
パスワードで保護されたアーカイブファイルはファイル分析サーバで分析できるのでしょうか。
-
分析することはできません。
-
分析できないのに、なぜファイル分析サーバに送信するようになったのでしょうか。
-
パスワードで保護されたアーカイブファイルだけではなく、ESAでファイルの抽出ができなかったアーカイブファイルをファイル分析に送信するように動作変更が行われています。ESAでファイルの抽出ができない場合でも、ファイル分析サーバで分析が可能な場合があるため、このような動作変更が行われたものと思われます。
-
パスワードで保護されたアーカイブファイルは、ファイル分析で分析できませんがライセンスは消費するのでしょうか。
-
はい、ファイル分析できない場合でも、アップロードされるとライセンスにより定められている1日に分析可能なファイル数を消費します。
-
パスワードで保護されたアーカイブファイルを、ファイル分析に送信しないようにする方法はありますか。
-
パスワードで保護されたアーカイブファイルのみを完全にファイル分析に送信しないようにする方法はありません。ただ、メッセージフィルタを使うことにより、近い動作をさせることは可能です。具体的には、以下のようなメッセージフィルタを適用します。
not_unprotected_skip_amp:
if NOT (attachment-unprotected) {
skip-ampcheck();
}
これにより、添付ファイルがパスワードで保護されたファイルのみの場合、ファイルレピュテーションの評価およびファイル分析サーバへの送信は行われなくなります。ただし、この設定では、パスワードで保護されたファイルと保護されていないファイルが混在している場合は、ファイル分析サーバへ送信されるという点にご留意ください。また、具体的なメッセージフィルタの設定方法は以下のドキュメントをご参照ください。
メッセージフィルターの設定方法
https://community.cisco.com/t5/-/-/ta-p/3161687