現在オフラインです。再接続するためにインターネットの接続を待っています

Exchange とウイルス対策ソフトウェア

重要 : この資料には、コンピュータのセキュリティ設定を低くする方法、またはコンピュータのセキュリティ機能を無効にする方法が記載されています。これらの変更によって特定の問題を回避できますが、これらの変更を行う前に、記載された回避策を現在の環境に使用した場合の危険性を評価することをお勧めします。この資料の回避策の使用を決定した場合は、記載されている手順以外にも、システムを保護するための適切な手順を実行してください。
概要
この資料では、Exchange 2000 Server で使用されることの多い、さまざまな種類のウイルス検索プログラムの概要について説明し、その長所や短所、およびトラブルシューティング上の注意について紹介します。この資料では、通常 Exchange 2000 Server ベースのコンピュータ以外のネットワーク サーバーにインストールされる SMTP フィルタ ソリューションについては説明しません。

先頭に戻る

ファイル レベルのウイルス検索プログラム

ファイル レベルのウイルス検索プログラムは、よく使用されるプログラムですが、Exchange 2000 Server で使用すると問題が発生する可能性が高くなる場合もあります。ファイル レベルのウイルス検索プログラムは、"メモリ常駐型" の場合と "オンデマンド型" の場合があります。
  • "メモリ常駐型" は、常にメモリに読み込まれているタイプのファイル レベルのウイルス対策ソフトウェアです。ハード ディスク上やコンピュータのメモリ内で使用されているすべてのファイルをチェックします。
  • "オンデマンド型" は、手動またはスケジュールに従って、ハード ディスク上のファイルをスキャンするように構成できる、ファイル レベルのウイルス対策ソフトウェアです。"オンデマンド型" のウイルス対策ソフトウェアの中には、ウイルス シグネチャが更新されると、オンデマンドのウイルス検索を自動的に開始し、すべてのファイルが最新のシグネチャでスキャンされるようになっているものもあります。
Exchange 2000 Server でファイル レベルのウイルス検索プログラムを使用すると、以下の問題が発生する場合があります。
  • ファイル レベルのウイルス検索プログラムは、実行されると、またはスケジュールされた間隔で、ファイルをスキャンします。しかし、Exchange 2000 Server がファイルを使用中に、Exchange ログやデータベース ファイルが、ウイルス検索プログラムによりロックされたり隔離されたりする場合があります。この動作により、Exchange 2000 Server でサーバー エラーが発生することや、-1018 エラーが生成されることがあります。
  • ファイル レベルのウイルス検索プログラム ソフトウェアで、M ドライブをスキャンすると、さらに多くの問題が発生する場合があります。

    以下は、M ドライブをファイル レベルのウイルス検索プログラムでスキャンした場合にログ出力されるイベントの例です。

    イベント ID : 6ソース : Norton Antivirus イベント ID (6) (ソース Norton AntiVirus 内) に関する説明が見つかりませんでした。リモート コンピュータからメッセージを表示するために必要なレジストリ情報またはメッセージ DLL ファイルがローカル コンピュータにない可能性があります。Scan could not open file M:\ORG_NAME.COM\MBX\User_Name\Inbox\No Subject-15.EML

    以下は、ファイル レベルのウイルス検索プログラムで //./backofficestorage/ パスのファイルをスキャンした場合にログ出力されるイベントの例です。

    イベント ID : 2045ソース : McAfee GroupShield イベント ID (2045) (ソース McAfee GroupShield 内) に関する説明が見つかりませんでした。リモート コンピュータからメッセージを表示するために必要なレジストリ情報またはメッセージ DLL ファイルがローカル コンピュータにない可能性があります。The On-Demand 4 Hours Cycle scanner failed to scan the item 'file://./backofficestorage/domain.com/mbx/Soverholt/Calendar/Jan-24 Email_Subject.EML' with error 80040e19.

    M ドライブをスキャンする際に発生する可能性のある問題の関連情報については、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    299046 [XADM] 予定表アイテムがユーザーのフォルダから削除される
    300608 [XADM] データベースをマウントしようとすると、C1041737 エラーとイベント ID 470 のメッセージが表示される
    307824 Exchange Notifications Component を Exchange 2000 Server のドライブ M にインストールできない
    298924 Exchange 2000 の M ドライブのバックアップまたはスキャンを行うと問題が発生する
  • ファイル レベルのウイルス検索プログラムを使用しても、"Melissa" ウイルスなどの電子メール ウイルスは防止できません。

    : "Melissa" ウイルスは、電子メール メッセージを介して増殖する、Microsoft Word のマクロ ウイルスです。このウイルスに感染すると、Microsoft Outlook メール クライアントの個人用アドレス帳に登録されているアドレスに対して、悪質な電子メール メッセージが送信されます。類似のウイルスでは、データが破壊される場合もあります。
"オンデマンド型" および "メモリ常駐型" のファイル レベルのウイルス検索プログラムのスキャン対象から、次のフォルダを除外します。
  • Exchange 2000 Server コンピュータのドライブ M。
  • Exchange データベースおよびログ ファイル。デフォルトでは、これらは Exchsrvr\Mdbdata フォルダにあります。
  • Exchsrvr\Mtadata フォルダ内の Exchange MTA ファイル。
  • Exchsrvr\server_name.log ファイルなど、追加ログ ファイル。
  • Exchsrvr\Mailroot 仮想サーバー フォルダ。
  • メッセージ変換に使用される一時的なストリーミング ファイルを格納する作業フォルダ。デフォルトでは、このフォルダは \Exchsrvr\MDBData にありますが、この場所は変更可能です。
  • Eseutil.exe などのオフライン保守ユーティリティで使用される一時フォルダ。デフォルトでは、このフォルダから .exe ファイルが実行されますが、ファイルの実行場所はユーティリティの実行時に構成できます。
  • Exchsrvr\Srsdata フォルダ内のサイト複製サービス (SRS) のファイル。
  • %SystemRoot%\System32\Inetsrv フォルダ内の Microsoft インターネット インフォメーション サービス (IIS) のシステム ファイル。

    : Exchsrvr\address、Exchsrvr\bin、Exchsrvr\Exchweb、Exchsrvr\Res、および Exchsrvr\Schema の各フォルダは、通常はスキャンに含めても安全です。しかし、Exchsrvr フォルダ全体を、"オンデマンド型" および "メモリ常駐型" の両方のファイル レベルのウイルス検索プログラムの対象から除外することをお勧めします。オペレーティング システムや Exchange のアップグレード中は、ファイル ベースのウイルス検索ソフトウェアを一時的に無効にすることを強く推奨します。これには、新しいバージョンの Exchange またはオペレーティング システムへのアップグレード、および Exchange またはオペレーティング システムの修正プログラムや Service Pack の適用も含まれます。
作業フォルダの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
822936 ローカル配信キューへのメッセージ フローが遅い
"オンデマンド型"、"メモリ常駐型" にかかわらず、ファイル レベルのウイルス検索プログラムのスキャン対象から、次の種類のファイルを除外します。
  • .edb
  • .stm (Exchange 2000 Server 上のファイル)
  • .log
"メモリ常駐型" および "オンデマンド型" のウイルス検索プログラムのスキャン対象から、チェックポイント (.chk) ファイルを含むフォルダを除外します。

: Exchange データベースおよびログ ファイルを別の場所に移動して、これらのフォルダをスキャン対象から除外しても、.chk ファイルのスキャンが行われる場合があります。chk ファイルがスキャンされると発生する可能性のある問題の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
253111 [XADM] イベント : シャドウ ヘッダーを書き込めません
176239 [XADM] 循環ログによるログ ファイルの削除が早すぎたため、データベースが起動しない
先頭に戻る

MAPI ウイルス検索プログラム

Exchange エージェントを含む第一世代のウイルス検索プログラムは、MAPI ベースのプログラムでした。これらのウイルス検索プログラムは、各メールボックスに MAPI ログオンを実行し、既知のウイルスを検索します。

MAPI ウイルス検索プログラムは、ファイル ベースのウイルス検索プログラムと比較して、以下の利点があります。
  • MAPI ウイルス検索プログラムでは、"Melissa" ウイルスなどの電子メール ウイルスの検索が可能です。
  • MAPI ウイルス検索プログラムを実行しても、Exchange のログ ファイルやデータベース ファイルに影響はありません。
MAPI ウイルス検索プログラムには次のような短所があります。
  • MAPI ウイルス検索プログラムでは、ユーザーが電子メール メッセージを開く前に、感染している電子メール メッセージがスキャンされない場合があります。電子メール メッセージがウイルスに感染していることが検出されない場合、MAPI ウイルス検索プログラムでは、感染している電子メール メッセージの開封を防止できません。
  • MAPI ウイルス検索プログラムでは、送信メッセージはスキャンできません。
  • MAPI ウイルス検索プログラムでは、Exchange 単一インスタンス記憶域フィルタが認識されないため、複数のメールボックスに同じメッセージが存在する場合、1 つのメッセージが何度もスキャンされる場合があります。そのため、MAPI ウイルス検索プログラムではスキャンの実行にかかる時間が比較的長くなることがあります。
MAPI ウイルス検索プログラムは、電子メール ウイルスを検出できるため、ファイル レベルのウイルス検索プログラムよりも適切な方法ですが、MAPI ウイルス検索プログラムより優れたプログラムもあります。この資料の後半では、これらのプログラムについて説明します。

先頭に戻る

VAPI、AVAPI、または VSAPI ウイルス検索プログラム

VAPI (Virus Application Programming Interface、Virus API) は、AVAPI (Antivirus API) または VSAPI (Virus Scanning API) とも呼ばれます。

VAPI 1.0 は、Exchange Server 5.5 Service Pack 3 (SP3) で導入され、Exchange 2000 Server がリリースされるまで使用されていました。Exchange Server 5.5 のパフォーマンスを向上させるために、VAPI 1.0 ではさまざまな点が強化されました。このトピックの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
248838 [XADM] Exchange Server 5.5 SP3 以降にリリースされたインフォメーション ストアの修正モジュール
Exchange 2000 Server Service Pack 1 (SP1) では、VAPI 2.0 が導入されました。VAPI 2.0 は、Exchange Server 5.5 ではサポートされていません。VAPI 1.0 と VAPI 2.0 は、いずれもオンデマンドのスキャンをサポートしています。

VAPI ウイルス検索プログラムを使用しているときに、クライアントでメッセージが開かれると、メッセージ本文と添付ファイルが最新のウイルス シグネチャ ファイルでスキャン済みであることを確認するための比較が行われます。最新のベンダ ファイルまたはシグネチャ ファイルによってメッセージの内容のスキャンが行われていない場合、該当するメッセージ コンポーネントはウイルス対策ソフトウェアのベンダに送信され、スキャン終了後に解放されてクライアントが使用できるようになります。クライアントとして使用できるのは、POP3 (Post Office Protocol Version 3)、Microsoft Outlook Web Access (OWA)、IMAP4 (Internet Message Access Protocol, Version 4rev1) など、従来の MAPI クライアントまたは IP ベースのクライアントです。

VAPI 2.0 では、1 つのキューですべてのメッセージ本文と添付ファイルのデータが処理されます。このキューに "オンデマンド" アイテムとして送信されるアイテムは、優先度の高いアイテムとして送信されます。現在、このキューは、一連のスレッドにより処理されており、優先度の高いアイテムが優先的に処理されます。デフォルトでは、スレッドの数は 2 * 'number_of_processors' + 1 です。このスレッド数では、複数のアイテムを同時にウイルス対策ソフトウェアのベンダに送信できます。また、クライアント スレッドでは、アイテムの解放を待機している "タイムアウト" 値との関連付けがなくなりました。アイテムがスキャンされ、安全であるとマークされると、アイテムが利用できることがクライアント スレッドに通知されます。デフォルトでは、クライアント スレッドは、要求したデータが利用できることを示す通知を受け取るまで最大 3 分間待機し、それ以上の時間が経過した場合にはタイムアウトします。

VAPI 2.0 の新機能の 1 つに、予防型のメッセージ スキャン機能があります。VAPI 1.0 では、メッセージの添付ファイルの情報は、使用時にのみスキャンされます。VAPI 2.0 では、アイテムは、インフォメーション ストアへの送信時に、共通のインフォメーション ストア キューにも送信されます。優先度の高いアイテムのスキャンを妨げることがないように、これらのアイテムはキュー内では低い優先度に設定されます。VAPI 2.0 では、優先度の高いアイテムのスキャンがすべて終了したときに、優先度の低いアイテムのスキャンが開始されます。優先度の低いキューに登録されているアイテムがクライアントで使用される場合、そのアイテムの優先度は動的に高い優先度に更新されます。優先度の低いキューに一度に登録できるアイテムは 30 個までで、キューの内容は先入れ先出し (FIFO) 方式で決定されます。

また、バックグラウンドでのスキャン処理機能も強化されています。VAPI 1.0 では、バックグラウンドでのスキャン処理は、添付ファイル テーブル全体を一度処理し、最新のベンダ ファイルまたはウイルス シグネチャ ファイルでスキャンされなかった添付ファイルをウイルス対策ソフトウェアの DLL に直接渡しています。各プライベート インフォメーション ストアおよびパブリック インフォメーション ストアには、それぞれ 1 つずつスレッドが割り当てられ、バックグラウンドでのスキャン処理が実行されます。スレッドによる添付ファイル テーブルのスキャン処理が完了すると、インフォメーション ストア プロセスが再開するまで待ってから、次のスキャン処理を実行します。VAPI 2.0 では、従来と同様、メッセージ データベース (MDB) ごとにスレッドを 1 つずつ受信し、バックグラウンドでのスキャン処理を実行します。ただし、各ユーザーのメールボックスを構成している一連のフォルダでも、バックグラウンドでのスキャン処理が実行されるように変更されました。スキャンが実行されていないアイテムが検出されると、アイテムはウイルス対策ソフトウェアのベンダに渡され、スキャン処理は続行されます。ウイルス対策ソフトウェア ベンダは、レジストリ キーを設定することによってバックグラウンドでのスキャンを強制的に開始することもあります。

VAPI 1.0 の追加機能として最も要望が高かったものは、メッセージの詳細を表示する機能でした。これは、Exchange 管理者がウイルスの存在の有無を追跡し、組織へのウイルスの侵入方法を特定して、影響を受けているユーザーを特定できるようにするためです。この機能は、VAPI 2.0 に追加されました。これは、ウイルス スキャン処理で添付ファイル テーブルが直接使用されなくなったためです。

VAPI のトラブルシューティング機能を強化するため、Exchange 2000 Server SP1 では新しい VAPI パフォーマンス モニタ カウンタが追加されました。Exchange 管理者は、このカウンタを使用して、ウイルス検索 API のパフォーマンスを追跡できます。これらのカウンタを使用すると、管理者は、スキャンが実行された情報量とスキャンされた情報の割合を把握することができます。この機能により、管理者はより厳密にサーバーを管理できるようになります。

3 つ目の機能は、VAPI に固有の新しいイベント ログ機能です。ログに出力される新しいイベントの内容は以下のとおりです。
  • ウイルス対策ソフトウェア ベンダが作成した DLL の読み込みとアンロード
  • 正常に実行されたアイテムのスキャン
  • インフォメーション ストア内に存在するウイルス
  • VAPI の予期しない動作
VAPI ウイルス検索プログラムを使用しているかどうかは、次のレジストリ キーを参照して確認できます。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\VirusScan
VAPI ウイルス検索プログラムがインストールされていない場合、このレジストリ キーは存在しません。

先頭に戻る

ESE ベースのウイルス検索プログラム

Antigen の一部のバージョンなど、ESE ベースのウイルス検索プログラムでは、マイクロソフトによってサポートされていない、インフォメーション ストアと ESE (Extensible Storage Engine) の間のインターフェイスが使用されます。この種類のソフトウェアを使用すると、ソフトウェアの実装にエラーがあった場合、データベースの破損やデータ紛失などのリスクが生じます。

ESE ベースのウイルス検索プログラムをインストールすると、Exchange Server Information Store サービスがベンダ固有のサービスに依存するように変更されます。この変更により、Exchange Server Information Store サービスが開始される前に、ベンダのサービスが開始されるようになります。起動プロセス中に、ウイルス検索プログラムのサービスにより、ソフトウェア、Exchange Server、および適切なファイルのバージョンのチェックが行われます。互換性のないバージョンが検出されると、ベンダのソフトウェアはソフトウェア自体を無効にし、ウイルス対策の保護機能なしでインフォメーション ストアを開始できるように変更し、そのことを管理者に通知します。

ESE ベースのウイルス検索プログラムが正常に起動すると、マイクロソフトのバージョンの Ese.dll ファイルの名前は一時的に Xese.dll に変更され、元の Ese.dll ファイルはベンダのバージョンの Ese.dll ファイルで置き換えられます。ベンダのバージョンの Ese.dll ファイルが読み込まれると、マイクロソフトのバージョンのファイルの名前が Ese.dll に戻され、Exchange Server インフォメーション ストアの開始処理を完了できるようになります。

ユーザーが Microsoft Product Support Services に問い合わせると、問題を特定するために Sybari Antigen のサービスを無効にするように依頼される場合がありますが、問題の根本的な原因の診断が終了した後は、サービスを再度有効にできます。マイクロソフトと Sybari は、これが問題の原因を特定するために有効なトラブルシューティングの手順であることに同意しています。Sybari Software の問い合わせ先については、次の Sybari Web サイトを参照してください。先頭に戻る

関連情報

Exchange Server で使用するウイルス検索ソフトウェアの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
285667 [XADM] Exchange 2000 Server SP1 のウイルス検索 API 2.0 について
298924 Exchange 2000 の M ドライブのバックアップまたはスキャンを行うと問題が発生する
245822 [XGEN] ウイルス対策ソフトウェアがインストールされている Exchange コンピュータのトラブルシューティングに関する推奨事項
253111 [XADM] イベント : シャドウ ヘッダーを書き込めません
176239 [XADM] 循環ログによるログ ファイルの削除が早すぎたため、データベースが起動しない
ウイルスやセキュリティ警告、ウイルス対策プログラムのベンダの最新情報については、以下のリソースを参照してください。

Microsoft

ICSA

GartnerGroup の 1 部門である ICSA では、インターネット セキュリティ保証サービスが提供されています。

CERT Coordination Center

CERT Coordination Center は、Software Engineering Institute の Survivable Systems Initiative の一部です。Software Engineering Institute は、米国国防省が出資する研究開発センターであり、Carnegie Mellon University によって運営されています。

Computer Incident Advisory Capability

Computer Incident Advisory Capability では、コンピュータのセキュリティ問題が発生している米国エネルギー省 (DOE) サイトに対して、要求に応じた技術支援および情報を提供しています。

Network Associates

Trend Micro

Computer Associates

Norton AntiVirus (Symantec)

他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、将来予告なしに変更されることがあります。マイクロソフトは、掲載している情報に対して、いかなる責任も負わないものとします。
この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。明示または黙示にかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。
先頭に戻る
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 328841 (最終更新日 2005-03-22) を基に作成したものです。
プロパティ

文書番号:328841 - 最終更新日: 09/27/2005 09:02:46 - リビジョン: 8.1

  • Microsoft Exchange 2000 Server Standard Edition
  • kb3rdparty kbenv kbinfo KB328841
フィードバック