印刷 ブックマーク 友達に教える トレンドマイクロ Q&Aページ

デジタル署名により発生する問題について

Solution ID
1309456
対象製品 
ウイルスバスター コーポレートエディション - 10.6, 11.0, XG; 
対象OS 
Windows - すべて 
公開日 
2010/01/05 12:26 午後 
最終更新日 
2017/09/20 12:04 午後 

ウイルスバスター コーポレートエディション (以下、ウイルスバスター Corp.) 導入端末において、デジタル署名により発生する問題とその対処方法について教えてください。

本製品Q&Aでは、デジタル署名により発生する問題とその対処方法について以下に記載します。
 

発生する事象

以下に記載するメッセージ、事象が発生します。

詳細すべて確認

発生する事象の例

  1. 「ウイルスバスターCorp. クライアントをインストールできません。[ファイル名]のコピーにエラーが発生しました。
    ウイルスバスターCorp. 管理者にお問い合わせください。」というポップアップメッセージがクライアントマシンに表示される。
    ※[ファイル名] は、ウイルスバスターCorp.で使用するファイル名が記載されます。
     
  2. 「ダウンロードされた1つ以上のファイルに有効なデジタル署名が
    含まれていませんでした」というエラーメッセージがウイルスバスターCorp. の
    イベントログに出力される。
     
  3. 新規にインストールしたクライアントが Corp.管理コンソールに登録されない。
     
  4. ウイルスを検出した際,ウイルスログを正常に更新できない。
     
  5. Corp. 管理コンソールに表示される各クライアントのパターン番号が正常に更新されない。
     
  6. ウイルスバスターCorp. クライアントのバージョンアップに失敗する
     
  7. ウイルスバスターCorp. サーバのバージョンアップに失敗する
     
  8. ウイルスバスターCorp. サーバから各種設定をウイルスバスターCorp. クライアントへ正しく同期できない
     

任意:デジタル署名に起因するエラーが発生しているか確認する方法

下記の製品Q&Aに記載のツールを使用することで、ウイルスバスターCorp.クライアント上で
デジタル署名に起因した問題が発生しているか否かをチェックすることができます。
 

本事象の原因およびエラーの発生タイミング

発生原因とエラー発生のタイミングについては以下となります。

原因

ウイルスバスター Corp. クライアントおよび、ウイルスバスターCorp.サーバ では、製品のファイル改ざん検知のため、デジタル証明書を使用します。
また、ウイルスバスターCorp. 10.6SP3 CP5495 及び Corp.11 以降では、プロセス間通信の検証のためデジタル証明書を使用します。
このエラーは、上記のデジタル証明書のチェックに失敗することにより発生します。

 

エラー発生のタイミング

以下のようなタイミングでエラーが発生します。

  1. ウイルスバスターCorp. 10.6SP3 CP5495 及び Corp. 11 以降
    プロセス間通信が発生した時

  2. ウイルスバスター Corp.サーバがインストールされた端末
    コンポーネントのアップデート時
    Patchや修正モジュールの適用、およびバージョンアップ時

  3. ウイルスバスター Corp.クライアントがインストールされた端末
    Patchや修正モジュールの適用時、およびバージョンアップ時(※1)
    クライアントプログラムのリロード時(※1)
    コンポーネントのアップデート時(※1)
    ウイルス検索エンジンのロールバック時(※1)
    クライアントセルフプロテクションを有効にした場合

※1
クライアントセルフプロテクションが有効な場合はデジタル署名を持つ特定の製品ファイルが 更新される・されないにかかわらずエラーが発生します。
クライアントセルフプロテクションが無効な場合はデジタル署名を持つ特定の製品ファイルが更新された場合にのみエラーが発生します。

回避策

本事象を回避するためには以下の方法があります。

  1. インターネットに接続し、Windows Update サーバに接続する
    ルート証明書の更新を行うには、対象の端末がWindows Updateサーバへ接続できる必要があります。 後述の方法1の手順を実施してください。
     
  2. ルート証明書の更新プログラムを入手する
    ルート証明書を手動でインストールする必要があります。後述の方法2-1~2-3まで全ての手順を実施ください。
     
    • 方法2-1~2-3のルート証明書を手動でインストールしても、事象が改善しない場合、Windowsのルート証明書が不足している可能性が思慮されます。インターネットに接続でき、Windows Updateサーバへ接続ができる環境にある同一OSの端末から各証明書を手動でエクスポートし、問題が発生している端末へインポートしてください。
      確認する証明書はMMC>証明書>コンピュータアカウント>ローカルコンピュータ>信頼されたルート証明機関>証明書 配下に表示される証明書です。
      不足しているWindowsのルート証明書は環境によって異なるため、証明書のエクスポートおよびインポート方法などの詳細に関しては開発元であるマイクロソフト社へご確認ください。 
    • 証明書のインストールなどはすべて管理者アカウントで実施ください。
    • 証明書のインストールの際に「ローカルコンピュータ」が選択できない場合、作業を管理者アカウントで実施していない可能性があります。管理者アカウントで実施しても表示されない場合、MMCを利用して適切な証明書ストアに証明書をインポートしてください。
    • Windows 8/2012以降のOSで証明書のインポートウィザードを実行すると、保存場所を指定する画面が表示されますので、その画面で「ローカルコンピュータ」を選択してください。
  3. ウイルスバスター Corp. のデジタル署名に対するチェック機能を無効にする
    ウイルスバスターCorp. サーバやクライアントがインターネットに接続できず、対象端末へのルート証明書の手動インストールが非常に困難な場合には 方法3での回避をご検討ください。
    また、本設定によってデジタル署名に対するチェック機能が全て無効になるわけではありません。方法3を実施しても事象が回避しない場合、サポートセンターまでご連絡ください。
     
  • 方法1~3のいずれかを実施した後、FAQの末尾にある
    「リネームされたファイルの修正」手順をご確認および実施してください。
     

方法3を実施し回避する場合、本来の機能(ファイル改ざん検知など)が使用できなくなるため、可能であれば [方法1 または 方法2 を実施していただくことをお勧めします。
各手順の詳細については、以下をご参照ください。

 
※ご注意※
[ 方法2 ] を実施いただく場合は、必ず [ 方法2-1 ], [ 方法2-2 ], [ 方法2-3 ] に記載の証明書を全て確認してください。
詳細すべて確認

方法1: インターネットに接続し、Windows Updateサーバに接続する

      インターネットに接続している場合についてもプロキシサーバ設定が WinHTTP に適切に与えられていないことが原因で Windows Update サーバに接続できず、結果的にエラーとなっている場合があります。 その場合は以下の手順に沿ってプロキシ設定を反映します。


  1. 【Windows XP / Windows 2003】
    スタートボタンをクリックし、「ファイル名を指定して実行」をクリックします。
    以下のコマンドを実行し、Enter キーを押すか [OK] をクリックします。
    コマンドプロンプト画面が一瞬表示され、消えれば完了です。

    proxycfg -u

  2. 【Windows Vista / Windows 2008 / Windows 7】
    管理者権限でコマンドプロンプトを開きます。
    以下のコマンドを実行します。

    netsh winhttp import proxy source=ie


    関連リンク
    アプリケーション ログにイベント ID 8 が出力される

方法2-1: ルート証明書を手動でインストールする①

      インターネットに接続できない端末に関しては,下記の手順を用いてルート証明書の更新を行ってください。なお、証明書のインストール手順について不明点がある場合は、恐れ入りますがマイクロソフト社へお問い合わせください。


  1. インターネット接続が可能なマシンから、グローバルで公開している弊社の製品Q&Aにアクセスします。
  2. 「DETAILS」の下にある、手順1の「Download the root and intermediate certificates from the following Comodo links: 」を確認し、4つのルート証明書をダウンロードします。
     
  3. ダウンロードしたファイルをウイルスバスター Corp.サーバとウイルスバスター Corp.クライアントにインストールします。
     
  4. ポップアップが上がりますので、「証明書のインストール」ボタンを押します。
    Windows 8/2012以降ではここで「ローカルコンピュータ」を選択します。
     
  5. 「次へ」をクリックします。
     
  6. 証明書ストアで「証明書をすべて次のストアに配置する」を選択し、「参照」をボタンをクリックします。

  7. 表示された「証明書ストアの選択」の画面で、「物理ストアを表示する」にチェックを入れます。

    • "AddTrustExternalCARoot.crt","UTN-USERFirst-Object.crt" のインストール時は、[信頼されたルート証明機関] → [ローカルコンピュータ] を選択します。

    • "COMODOCodeSigningCA2.crt","UTNAddTrustObject_CA.crt" のインストール時は、[中間証明機関] → [ローカルコンピュータ] を選択します。

      ※Windows 8/2012以降のOSでは既に「ローカルコンピュータ」を選択しているため、この操作は必要ありません。

  8. 「次へ」をクリックします。
     
  9. 「完了」をクリックします。
      
  10. 「この証明書をインストールしますか?」と表示された場合、「はい」をクリックします。
      
  11. すべての.crtファイルに対して上記の4から10までの手順を実施します。

方法2-2: ルート証明書を手動でインストールする②

      インターネットに接続できない端末に関しては,下記の手順を用いてルート証明書の更新を行ってください。なお、証明書のインストール手順について不明点がある場合は、恐れ入りますがマイクロソフト社へお問い合わせください。


  1. インターネット接続が可能なマシンから、以下のサイトにアクセスします。
  2. VeriSign Class 3 Primary CA - G5の項目を確認し、ルート証明書をダウンロードします。
    ダウンロードしたファイルに名前を付けて保存します。(例:verisign-class-3-public-primary-certification-authority-g5-en.crt)
    PEMファイルとしてダウンロードした場合は、手動で拡張子を「.crt」に変更してください。
     
  3. ダウンロードしたファイルをウイルスバスター Corp.サーバとウイルスバスター Corp.クライアントにインストールします。
     
  4. 保存した.crtファイルをクリックします。
     
  5. ポップアップが上がりますので、「証明書のインストール」ボタンを押します。
    Windows 8/2012以降ではここで「ローカルコンピュータ」を選択します。
     
  6. 「次へ」をクリックします。
     
  7. 証明書ストアで「証明書をすべて次のストアに配置する」を選択し、「参照」をボタンをクリックします。
     
  8. 表示された「証明書ストアの選択」の画面で、「物理ストアを表示する」にチェックを入れます。
    その後、[信頼されたルート証明機関] → [ローカルコンピュータ] を選択します。

    ※Windows 8/2012以降のOSでは既に「ローカルコンピュータ」を選択しているため、この操作は必要ありません。

     
  9. 「次へ」をクリックします。
     
  10. 「完了」をクリックします。
      
  11. 「この証明書をインストールしますか?」と表示された場合、「はい」をクリックします。
     

方法2-3: ルート証明書を手動でインストールする③

      インターネットに接続できない端末に関しては,下記の手順を用いてルート証明書の更新を行ってください。なお、証明書のインストール手順について不明点がある場合は、恐れ入りますがマイクロソフト社へお問い合わせください。


  1. インターネット接続が可能なマシンから、以下のサイトにアクセスし、roots.zip をダウンロードします。
  2. ダウンロードしたroots.zip を解凍し、VeriSign Universal Root CA フォルダから
    VeriSign Universal Root Certification Authority.cer を取得します。

     
  3. VeriSign Universal Root Certification Authority.cer をウイルスバスター Corp.サーバとウイルスバスターCorp.クライアントの任意のパスに保存します。
     
  4. 保存した.cerファイルをクリックします。
     
  5. ポップアップが上がりますので、「証明書のインストール」ボタンを押します。
    Windows 8/2012以降ではここで「ローカルコンピュータ」を選択します。
     
  6. 「次へ」をクリックします。
     
  7. 証明書ストアで「証明書をすべて次のストアに配置する」を選択し、「参照」をボタンをクリックします。
     
  8. 表示された「証明書ストアの選択」の画面で、「物理ストアを表示する」にチェックを入れます。
    その後、[信頼されたルート証明機関] → [ローカルコンピュータ] を選択します。

    ※Windows 8/2012以降のOSでは既に「ローカルコンピュータ」を選択しているため、この操作は必要ありません。

     
  9. 「次へ」をクリックします。
     
  10. 「完了」をクリックします。
     
  11. 「この証明書をインストールしますか?」と表示された場合、「はい」をクリックします。
     

方法3: ウイルスバスター Corp. のデジタル署名に対するチェック機能を無効にする

      インターネットに接続できない環境やルート証明書を手動でインストールできない環境については、デジタル署名に対するチェック機能を無効にすることで 本事象を回避することができます。


      ウイルスバスター Corp.サーバ上で以下の手順に沿って設定を変更します。

  1. ウイルスバスターCorp. サーバのインストールフォルダ>PCCSRV\ofcscan.iniをテキストエディタで開きます。
    初期設定でインストールフォルダは、以下の通りになります。
    32 bitの場合:C:\Program Files\Trend Micro\OfficeScan
    64 bitの場合:C:\Program Files (x86)\Trend Micro\OfficeScan
     
  2. [INI_SERVER_SECTION]に、以下の値を追記します。
    CheckDigitalSignatureForHotfix=0
    本設定はウイルスバスター Corp. サーバで事象が発生している場合に有効です。
     
  3. [Global Setting]に、以下の値を追記します。
    CheckDigitalSignatureForUpgrade=0
    DisableTSCSignatureCheck=1 (※Corp. サーバのビルドがCP4797以降の環境のみ)
    本設定はウイルスバスター Corp. クライアントで事象が発生している場合に有効です。 
     
  4. ofcscan.iniを上書き保存します。
     
  5. ウイルスバスターCorp. クライアントで手動アップデートなどを行い、設定を同期させます。
     


いずれかの手順を実施後、必ず以下の手順を確認および実施して下さい。


ファイルのリネーム

OS のデジタル証明書の情報を更新いただいた後は、 ウイルスバスター Corp. サーバの
インストールフォルダ内に「_Invalid」を含む名称のファイルの有無を確認します。
「_Invalid」のファイルがある場合は、以下の手順を実施します。


  1. ウイルスバスター Corp. サーバのインストールフォルダに移動します。
     

初期設定でインストールフォルダは、以下の通りになります

  • 32 bitの場合:C:\Program Files\Trend Micro\OfficeScan
  • 64 bitの場合:C:\Program Files (x86)\Trend Micro\OfficeScan
  1. 「*_Invalid 」とついているファイルがある場合、 「_Invalid」を削除した上で
    当該ファイルをすべて元の名前にリネームします。
「invalid.gif」 というファイルはもともと存在しますので、消さないでください。

このソリューションに関して、ご意見をお聞かせください。

  • このソリューションは問題解決に役に立ちましたか。

  • このソリューションの内容を改善するために、ご提案/ご意見がありましたらお聞かせください。
    • ※こちらに技術的なご質問などをいただきましてもご返答する事ができません。
      何卒ご了承いただきますようお願いいたします。

再検索する

検索

こんなQ&Aもチェックされています

問い合わせする

お役立ち情報