Loading...

Event ID 514/516/519, Warning, Process **\VSTSKMGR.EXE pid (XXXX) contains signed but untrusted code (トラブルシューティング)
技術的な記事 ID:   KB71083
最終更新:  2019/03/08
評価:


環境

McAfee VirusScan Enterprise (VSE) 8.8 パッチ 1
McAfee Agent 4.5 以降

VirusScan Enterprise のサポート環境については、KB51111 を参照してください。

概要

重要: イベント ID 514/516/519 は VirusScan Enterprise (VSE) 製品の問題ではなく、VSE の新しいセキュリティ機能に関する問題を示しています。

イベント 516 は、適正な理由により、McAfee のコードが改ざんされた可能性について管理者に警告するために発生しました。 プロセスが McAfee プロセスのアドレス空間内からの外部コードの実行を許可されている場合、ほとんどのアクセス保護ルールが McAfee プロセスを信頼するため、一部のアクセス保護ルールを回避できます。 サードパーティのアプリケーションの多くがこのテクニックを使用して、組織に有益な機能を提供しています。 ただし、これらのイベント ID は、システムがルートキット型のマルウェアに感染していることや、ユーザーが侵入型の他社製アプリケーションを実行していることなどを示している場合もあります。

以下に示すいずれかの条件に該当する場合に、VSE によってこのイベントが生成されます。
  • 上記のプロセスでロードされた 1 つまたは複数の DLL ファイルが McAfee や Microsoft 以外のサードパーティのベンダーから提供されたもので、信頼されていないコードを含んでいる。
  • 上記のプロセスでロードされた DLL ファイルが Microsoft のものである (信頼されたファイルであると予測される) のに、信頼検証ルーチンがエラーを返す。
  • McAfee Agent が、VSE 8.8 による検査に必要な McAfee の署名が含まれていない DLL ファイルをロードする。

問題

Windows システム イベント ログにイベント ID 514/516/519 の複数のエントリが報告されています。 次のようなエントリが Windows システム イベント ログに記録されます。
イベントの種類: Warning
イベントのソース: mfehidk
イベントのカテゴリー: (256)
Event ID: 514
説明:
プロセス  C:\Program \mcafee\virusscan \ pid (###) に未署名または壊れたコードが含まれているため、McAfee ドライバーによる特権操作の実行がブロックされました

イベントの種類: Warning
イベントのソース: mfehidk
イベントのカテゴリー: (256)
Event ID: 516
説明:
プロセス **\VSTSKMGR.EXE pid (XXXX) に、署名付きであるものの信頼されていないコードが含まれていますが、McAfee ドライバーによる特権操作の実行が許可されました

イベントの種類: Warning
イベントのソース: mfehidk
イベントのカテゴリー: (256)
Event ID: 519
説明:
プロセス **\VSTSKMGR.EXE pid (####) は mfevtp サービスによって正常に検証できず、McAfee ドライバーによる特権操作の実行がブロックされました
システムによっては、数分ごとにイベントが記録されるため、システム イベント ログが短時間のうちに非常に大きくなることがあります。

クライアントについて他の症状は報告されていません。

重要: VSE の機能とパフォーマンスが影響を受けることはありません。 イベント 514/516/519 は VirusScan Enterprise (VSE) 製品の問題ではなく、VSE の新しいセキュリティ機能に関する問題を示しています。

システムの変更

VirusScan Enterprise (VSE) 8.8 または VSE 8.8 パッチ 1 がインストール済み。

原因

VSE がこのイベントを生成するのは、上記のプロセスでロードされた 1 つまたは複数の DLL ファイルが McAfee や Microsoft 以外のサードパーティーのベンダーから提供されたもので、信頼されていないコードを含んでいる場合です。 この問題は、以下のようなシナリオで発生する可能性があります。 この問題の原因を判断するために、問題に関連するレポートを調査することを強くお勧めします。

現在のシナリオ:
  • 他社製アプリケーション (フック)
    他社製アプリケーションのコードを McAfee の各種プロセスにフックしたり挿入したりして特定の機能を作成しようとすると、この問題が発生します。 マルウェアはこのようなテクニックも使用します。 McAfee 製品は、こうした他社製プログラムを信頼していないため、イベントを生成することにより、McAfee のプロセスが感染している可能性があることを管理者に通知します。

  • McAfee Agent
    McAfee Agent によって特定の DLL ファイルがロードされた場合に、この問題が発生します。 cryptocme2.dll ライブラリまたは ccme_base.dll ライブラリには、VSE 8.8 による検査に必要な McAfee の署名が含まれていません。 このシナリオで発生する問題については、McAfee Agent の新しいリリースで修正されます。

  • 更新が必要な Microsoft 証明書ストア
    信頼されている Microsoft の DLL ファイルで、信頼検証ルーチンからエラーが返されることが、この問題の原因として考えられます。 この問題は、ファイルに対応する証明書や有効な証明書がない場合に発生します (この問題は、MSI Installer 4.5.6001.22159MSI.dll で報告されています)。
このイベントによってイベント ログが一杯になり、ディスク容量が枯渇することはありません。 これは、このメッセージの目的ではありません。 McAfee プロセスの VSTSKMGR.EXE で、システム イベント ログ内に過剰な数の項目が作成されるという問題が特定されています。

イベント 514/516/519 は McAfee コードが改ざんされた可能性あることを管理者に報告するという正当な理由で発生します。 プロセスが McAfee プロセスのアドレス空間内からの外部コードの実行を許可されている場合、ほとんどのアクセス保護ルールが McAfee プロセスを信頼するため、一部のアクセス保護ルールを回避できます。 サードパーティのアプリケーションの多くがこのテクニックを使用して、組織に有益な機能を提供しています。 ただし、これらのイベント ID は、システムがルートキット型のマルウェアに感染していることや、ユーザーが侵入型の他社製アプリケーションを実行していることなどを示している場合もあります。

解決策

この問題は、VSE 8.8 パッチ 2 リリースで修正されています。このパッチは、製品のダウンロード サイトで入手することができます。

新しいパッチには、それまでのパッチの内容がすべて含まれているため、最新のパッチをインストールすることをお勧めします。

VSE 8.8 Patch 11 が最新のパッチです。ServicePortal https://support.mcafee.com/downloads のダウンロード タブから入手可能です。

注記: VSE 8.8 Patch 11 は、すべてのサポートされている Windows オペレーティング システムに対応しています。


マカフィーの製品ソフトウェア、アップグレード、メンテナンス リリース、およびドキュメントは製品ダウンロード サイト http://www.mcafee.com/us/downloads/downloads.aspx から入手可能です。

注記: アクセスするには有効な承認番号が必要です。 KB56057 には、製品ダウンロード サイトに関する追加情報と、いくつかの製品に関する別のダウンロード サイトの場所が掲載されています。

解決策

この問題を論理的な順序で解決するには、以下に示す記事をこのとおりの順序で参照してください。これは、製品の専門家が指定した順序です。
  • McAfee Agent 4.5 で、信頼されている特定の DLL ファイルがロードされるという問題を修正するには、KB74177 を参照してください。
  • 他社製アプリケーションのコードを McAfee の各種プロセスにフックしたり挿入することによって特定の機能を作成する場合に発生する問題を修正するには、KB74176 を参照してください。
  • Microsoft DLL ファイルは信頼できるファイルであることが予期されるが、信頼の検証ルーチンが失敗を返す場合、この問題を解決するには、KB74174 に記載されているアドバイスに従ってください。

以前のドキュメント ID

KB74295 KB73485

免責事項

この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。

このドキュメントを評価する

影響を受ける製品

Beta Translate with

Select a desired language below to translate this page.