印刷 ブックマーク 友達に教える トレンドマイクロ Q&Aページ

デジタル署名により発生する問題について

Solution ID
1309456
対象製品 
ウイルスバスター コーポレートエディション - 10.6, 11.0, XG; 
対象OS 
Windows - すべて 
公開日 
2010/01/05 12:26 午後 
最終更新日 
2018/06/22 12:25 午後 

ウイルスバスター コーポレートエディション (以下、ウイルスバスター Corp.) 導入端末において、デジタル署名により発生する問題とその対処方法について教えてください。

ウイルスバスター Corp. はデジタル署名に対するチェック機能を実装しております。
そのため、システム要件のページに記載の通り、インターネットに接続して Windows Update サーバに接続できない環境 (オフライン環境) でご利用いただくためには、各端末においてルート証明書のインストールが必要です。

ウイルスバスター Corp. システム要件

本製品Q&Aでは、ウイルスバスター Corp. がデジタル署名に対するチェック機能で利用するルート証明書がインストールされていない場合に発生する問題とその対処方法について説明します。
 

発生する事象

以下に記載するメッセージ、事象が発生します。

詳細すべて確認

発生する事象の例

  1. 「ウイルスバスター Corp. クライアントをインストールできません。<ファイル名>のコピーにエラーが発生しました。ウイルスバスター Corp. 管理者にお問い合わせください。」というポップアップメッセージがクライアント端末に表示される。
    ※<ファイル名>は、ウイルスバスター Corp. で使用するファイル名が記載されます。
     
  2. 「ダウンロードされた1つ以上のファイルに有効なデジタル署名が含まれていませんでした」というエラーメッセージがウイルスバスター Corp. のイベントログに出力される。
     
  3. 新規にインストールしたウイルスバスター Corp. クライアントが Web 管理コンソールに登録されない。
     
  4. ウイルスを検出した際、ウイルスログを正常に更新できない。
     
  5. Web 管理コンソールに表示される各ウイルスバスター Corp. クライアントのパターン番号が正常に更新されない。
     
  6. ウイルスバスター Corp. クライアントのバージョンアップに失敗する
     
  7. ウイルスバスター Corp. サーバのバージョンアップに失敗する
     
  8. ウイルスバスター Corp. サーバから各種設定をウイルスバスター Corp. クライアントへ正しく同期できない
     

任意:デジタル署名に起因するエラーが発生しているか確認する方法

下記の製品Q&Aに記載のツールを使用することで、ウイルスバスター Corp. クライアント上でデジタル署名に起因した問題が発生しているか否かをチェックすることができます。
 

本事象の原因およびエラーの発生タイミング

発生原因とエラー発生のタイミングについては以下となります。

原因

ウイルスバスター Corp. クライアントおよびウイルスバスター Corp. サーバ では、製品のファイル改ざん検知のためにデジタル証明書を使用します。

また、ウイルスバスター Corp. 10.6 SP3 CP5495 及び 11.0 以降では、プロセス間通信の検証のためにデジタル証明書を使用します。

このエラーは、上記のデジタル証明書のチェックに失敗することにより発生します。

 

エラー発生のタイミング

以下のようなタイミングでエラーが発生します。

  1. ウイルスバスター Corp. 10.6 SP3 CP5495 及び 11.0 以降
    プロセス間通信が発生した時

  2. ウイルスバスター Corp. サーバがインストールされた端末
    コンポーネントのアップデート時
    Service Pack や Patch などの修正モジュール適用時、およびバージョンアップ時

  3. ウイルスバスター Corp. クライアントがインストールされた端末
    コンポーネントのアップデート時(※1)
    Service Pack や Patchなどの修正モジュール適用時、およびバージョンアップ時(※1)
    クライアントプログラムのリロード時(※1)
    ウイルス検索エンジンのロールバック時(※1)
    クライアントセルフプロテクションを有効にした場合

※1
クライアントセルフプロテクションが有効な場合はデジタル署名を持つ特定の製品ファイルが 更新される・されないにかかわらずエラーが発生します。
クライアントセルフプロテクションが無効な場合はデジタル署名を持つ特定の製品ファイルが更新された場合にのみエラーが発生します。

回避策

本事象を回避するためには以下の方法があります。

  1. インターネットに接続し、Windows Update サーバに接続する
    ルート証明書の更新を行うには、対象の端末がWindows Updateサーバへ接続できる必要があります。 後述の【方法1】の手順を実施してください。
     
  2. ルート証明書を手動でインストールする
    後述の【方法2】に記載しているの全ての証明書をインストールしてください。
     
    • 【方法2】に記載している全ての証明書をインストールしても、事象が改善しない場合、Windowsのルート証明書が不足している可能性が思慮されます。インターネットに接続でき、Windows Updateサーバへ接続ができる環境にある同一OSの端末から各証明書を手動でエクスポートし、問題が発生している端末へインポートしてください。
      確認する証明書はMMC>証明書>コンピュータアカウント>ローカルコンピュータ>信頼されたルート証明機関>証明書 配下に表示される証明書です。
      不足しているWindowsのルート証明書は環境によって異なるため、証明書のエクスポートおよびインポート方法などの詳細に関しては開発元であるマイクロソフト社へご確認ください。 
    • 証明書のインストールなどはすべて管理者アカウントで実施ください。
    • 証明書のインストールの際に「ローカルコンピュータ」が選択できない場合、作業を管理者アカウントで実施していない可能性があります。管理者アカウントで実施しても表示されない場合、MMC を利用して適切な証明書ストアに証明書をインポートしてください。
    • Windows 8/2012以降のOSで証明書のインポートウィザードを実行すると、保存場所を指定する画面が表示されますので、その画面で「ローカルコンピュータ」を選択してください。
  3. ウイルスバスター Corp. のデジタル署名に対するチェック機能を無効にする
    ウイルスバスター Corp. サーバやクライアントがインターネットに接続できず、対象端末へのルート証明書の手動インストールが非常に困難な場合には【方法3】での回避をご検討ください。

    本設定によってデジタル署名に対するチェック機能が全て無効になるわけではありません。【方法3】を実施しても事象が回避しない場合、サポートセンターまでご連絡ください。

    【方法3】を実施し回避する場合、本来の機能 (ファイル改ざん検知など) が使用できなくなるため、可能であれば 【方法1】または【方法2】を実施していただくことを強くお勧めします。
     
  • 【方法1】【方法2】【方法3】のいずれかを実施した後、本製品Q&A の末尾にある
    「リネームされたファイルの修正」手順をご確認および実施してください。
 
詳細すべて確認

方法1: インターネットに接続し、Windows Updateサーバに接続する

インターネットに接続している場合についてもプロキシサーバ設定が WinHTTP に適切に与えられていないことが原因で Windows Update サーバに接続できず、結果的にエラーとなっている場合があります。 その場合は以下の手順に沿ってプロキシ設定を反映します。

  1. 【Windows XP / Windows 2003】
    スタートボタンをクリックし、「ファイル名を指定して実行」をクリックします。
    以下のコマンドを実行し、Enter キーを押すか [OK] をクリックします。
    コマンドプロンプト画面が一瞬表示され、消えれば完了です。

    proxycfg -u

  2. 【Windows Vista / Windows 2008 / Windows 7】
    管理者権限でコマンドプロンプトを開きます。
    以下のコマンドを実行します。

    netsh winhttp import proxy source=ie


    関連リンク
    アプリケーション ログにイベント ID 8 が出力される

方法2: ルート証明書を手動でインストールする

インターネットに接続できない端末に関しては、下記の手順で掲載している全ての証明書をインストールしてください。

証明書のインストール手順について不明点がある場合は、恐れ入りますがマイクロソフト社へお問い合わせください。

  1. インターネット接続が可能な端末で、以下のサイトにアクセスして、「DETAILS」の手順1「Download the root and intermediate certificates from the following Comodo links:」に記載している4つの証明書のファイルをダウンロードします。
  2. インターネット接続が可能な Windows 8.1、Windows 10、Windows Server 2012 R2、Windows Server 2016 で、Windows Update サイトにある証明書情報を同期します。

    Windows 8、Windows Server 2012 以前の OS で 証明書情報を同期する場合は、KB2813430を適用してください。

    • 証明書ファイルを保存するフォルダを作成します。
      作成例:c:\cert-files

    • コマンドプロンプト ( cmd.exe ) を管理者として実行します。

    • 下記コマンドを実行します。
      CertUtil -syncWithWU <証明書ファイル保存パス>
      実行例:CertUtil -syncWithWU c:\cert-files

    • 証明書ファイルを保存したフォルダから、以下のファイルを取得します。

      VeriSign Class 3 Public Primary Certification Authority - G5
      ファイル名 : 4eb6d578499b1ccf5f581ead56be3d9b6744a5e5.crt

      VeriSign Universal Root Certification Authority
      ファイル名 : 3679ca35668772304d30a5fb873b0fa77bb70d54.crt

      Thawte Timestamping CA
      ファイル名 : be36a4562fb2ee05dbb3d32323adf445084ed656.crt

  3. 手順 1 と手順 2 で取得した証明書のファイルをウイルスバスター Corp. サーバとウイルスバスター Corp. クライアントが動作しているOSの任意のパスに保存します。
     
  4. 各証明書のファイルをダブルクリックします。
     
  5. 【証明書のインストール】ボタンを押します。
    Windows 8/2012以降ではここで「ローカルコンピュータ」を選択します。
     
  6. 【次へ】をクリックします。
     
  7. 証明書ストアで「証明書をすべて次のストアに配置する」を選択し、【参照】ボタンをクリックします。

  8. 表示された「証明書ストアの選択」の画面で、「物理ストアを表示する」にチェックを入れます。
    • 以下の証明書をインストールする時は、[信頼されたルート証明機関] → [ローカルコンピュータ] を選択します。

      「AddTrustExternalCARoot.crt」
      「UTN-USERFirst-Object.crt」
      「4eb6d578499b1ccf5f581ead56be3d9b6744a5e5.crt」
      「3679ca35668772304d30a5fb873b0fa77bb70d54.crt」
      「be36a4562fb2ee05dbb3d32323adf445084ed656.crt」
       
    • 以下の証明書をインストールする時は、[中間証明機関] → [ローカルコンピュータ] を選択します。

      「COMODOCodeSigningCA2.crt」
      「UTNAddTrustObject_CA.crt」
       
    ※Windows 8/2012以降のOSでは既に「ローカルコンピュータ」を選択しているため、証明書ストアの選択で「ローカルコンピュータ」は表示されません。

    ※Windows 7/2008 R2までのOSで、証明書ストアの選択で「ローカルコンピュータ」が表示されない場合は、MMCを利用して証明書をインストールしてください。
  9. 【次へ】をクリックします。
     
  10. 【完了】をクリックします。
      
  11. すべての証明書のファイルを上記の手順 4 から手順 10 までを実施してインストールしてください。

方法3: ウイルスバスター Corp. のデジタル署名に対するチェック機能を無効にする

本手順はウイルスバスター Corp. 11.0 ではビルド6540 以降の環境では無効となります。詳細については以下製品Q&Aをご確認ください。

インターネットに接続できない環境やルート証明書を手動でインストールできない環境については、デジタル署名に対するチェック機能を無効にすることで 本事象を回避することができます。

事象発生環境がウイルスバスター Corp. サーバの場合と、ウイルスバスター Corp. クライアントの場合で設定変更内容が異なります。
ウイルスバスター Corp. サーバとクライアントの両環境で事象が発生している場合は、両方の設定変更を実施してください。

ウイルスバスター Corp. サーバで事象が発生している場合

ウイルスバスター Corp. サーバ上で、以下の手順に沿って設定を変更します。
  1. <ウイルスバスター Corp. サーバのインストールフォルダ>\PCCSRV\ofcscan.ini をテキストエディタで開きます。

    初期設定でインストールフォルダは、以下の通りになります。
    32 bitの場合:C:\Program Files\Trend Micro\OfficeScan
    64 bitの場合:C:\Program Files (x86)\Trend Micro\OfficeScan
     
  2. [INI_SERVER_SECTION] に、以下の値を追記します。
    CheckDigitalSignatureForHotfix=0

  3. ofcscan.ini を上書き保存します。

  4. 「ファイルのリネーム」項目に記載している手順を実施します。

ウイルスバスター Corp. クライアントで事象が発生している場合

ウイルスバスター Corp. サーバ上で、以下の手順に沿って設定を変更して、設定をクライアントに配信します。
  1. <ウイルスバスター Corp. サーバのインストールフォルダ>\PCCSRV\ofcscan.ini をテキストエディタで開きます。

    初期設定でインストールフォルダは、以下の通りになります。
    32 bitの場合:C:\Program Files\Trend Micro\OfficeScan
    64 bitの場合:C:\Program Files (x86)\Trend Micro\OfficeScan
     
  2. [Global Setting] に、以下の値を追記します。
    CheckDigitalSignatureForUpgrade=0
    DisableTSCSignatureCheck=1 (※1)
    DOVF=1 (※2)

    ※1 : XG クライアント ビルド 1406 以降、11.0 クライアント ビルド 4797 以降の環境で使用可能
    ※2 : XG クライアント ビルド 1406 以降、11.0 クライアント ビルド 6245 以降の環境で使用可能

  3. ofcscan.ini を上書き保存します。
     
  4. ウイルスバスター Corp. Web 管理コンソールを開き、[クライアント]→[グローバルクライアント設定] の順に選択して、画面下の【保存】ボタンをクリックしてグローバルクライアント設定をクライアントに配信します。
     


いずれかの手順を実施後、必ず以下の手順を確認および実施して下さい。


ファイルのリネーム

OS のデジタル証明書の情報を更新いただいた後は、 ウイルスバスター Corp. サーバの
インストールフォルダ内に「_Invalid」を含む名称のファイルの有無を確認します。
「_Invalid」のファイルがある場合は、以下の手順を実施します。


  1. ウイルスバスター Corp. サーバのインストールフォルダに移動します。
     

初期設定でインストールフォルダは、以下の通りになります

  • 32 bitの場合:C:\Program Files\Trend Micro\OfficeScan
  • 64 bitの場合:C:\Program Files (x86)\Trend Micro\OfficeScan
  1. 「*_Invalid 」とついているファイルがある場合、 「_Invalid」を削除した上で
    当該ファイルをすべて元の名前にリネームします。
「invalid.gif」 というファイルはもともと存在しますので、消さないでください。

このソリューションに関して、ご意見をお聞かせください。

  • このソリューションは問題解決に役に立ちましたか。

  • このソリューションの内容を改善するために、ご提案/ご意見がありましたらお聞かせください。
    • ※こちらに技術的なご質問などをいただきましてもご返答する事ができません。
      何卒ご了承いただきますようお願いいたします。

再検索する

検索

こんなQ&Aもチェックされています

問い合わせする

お役立ち情報