ビュー:
エージェントをインストールする前に、ソフトウェアの.zipパッケージおよびインストーラーファイルのデジタル署名を確認してください。正しいデジタル署名は、ソフトウェアがトレンドマイクロからのものであり、破損や改ざんされていないことを示します。
また、セキュリティ更新とエージェントモジュールのチェックサムおよびデジタル署名を検証することもできます。更新の整合性をServer & Workload Protectionがどのように検証するかをご覧ください。
関連情報

ソフトウェアの.zipパッケージの署名を確認する

トレンドマイクロ は、Deep Security エージェントとオンラインヘルプを .zip パッケージで提供します。これらのパッケージはデジタル署名されています。.zip ファイルのデジタル署名を次の方法で確認できます

マネージャから.zipをエクスポート

手順

  • エージェントインストーラーのエクスポートの指示に従って.zipファイルをエクスポートします。
    エクスポート時に、Server & Workload Protection は .zip ファイルのデジタル署名を確認します。
    • 署名が有効であれば、Server & Workload Protection はエクスポートを続行できます。
    • 署名が無効または存在しない場合、Server & Workload Protection はアクションを禁止し、ファイルを削除し、イベントを記録します。

.zipファイルのプロパティを表示

手順

  1. Server & Workload Protection にログイン。
  2. 上部の [管理] をクリックします。
  3. [Updates ][ Software ][ Local] を選択します。
  4. 確認したいデジタル署名がある.zipパッケージを見つけてダブルクリックしてください。
    [プロパティ]の.zipファイルが開き、マネージャがデジタル署名を確認します。
    署名が有効であれば、[署名]に緑色のチェックマークが表示されます。
    署名が無効または存在しない場合、マネージャは.zipを削除し、イベントを記録します。

jarsigner を使用

マネージャを通じて署名を確認できない場合、jarsigner Javaユーティリティを使用して.zipの署名を確認します。例えば、Deep Securityソフトウェアページからエージェント.zipパッケージを手動でインストールしたい場合です。このシナリオでは、マネージャが関与しないため、jarsignerユーティリティを使用します。

手順

  1. 最新のJava Development Kit (JDK)をインストールしてください。
  2. JDK の jarsigner ユーティリティ を使用して署名を確認します。コマンドは次のとおりです:
    jarsigner -verify -verbose -certs -strict <.zip_file>
    jarsigner -verify -verbose -certs -strict Agent-RedHat_EL7-11.2.0-124.x86_64.zip
  3. 証明書の内容およびエラーを確認して、署名を信頼するかどうかを判断してください。

インストーラーファイル (.exe、.msi、.rpm、.deb) の署名を確認してください

トレンドマイクロ は、Rivest–Shamir–Adleman (RSA) 公開鍵暗号システムを使用して、Deep Security エージェントおよび Deep Security Notifier のインストーラーにデジタル署名を行います。インストーラーは、Windows の .exe または .msi ファイル、Linux オペレーティングシステム (Amazon、CloudLinux、Oracle、Red Hat、SUSE) の .rpm ファイル、または Debian および Ubuntu の .deb ファイルです。
以下の手順は、インストーラーファイルのデジタル署名を手動で確認する方法を説明しています。この確認を自動化するには、エージェントのデプロイスクリプトに含めてください。
確認したいインストーラー ファイルの種類に対応する指示に従ってください。

exe または msi ファイルの署名を確認する

手順

  1. .exe または .msi ファイルを右クリックし、[プロパティ] を選択します。
  2. [Digital Signatures] をクリックして署名を確認します。

rpmファイルの署名を確認する

手動で.rpmファイルの署名を確認する代わりに、デプロイスクリプトを使用することを検討してください。それ以外の場合は、以下の手順に従ってください。

手順

  1. エージェントコンピュータにGnuPG (GPG) をインストールして、署名を確認します。このユーティリティには、署名キーのインポートとデジタル署名の確認のためのGPGコマンドラインツールが含まれています。GPGはほとんどのLinuxディストリビューションにデフォルトでインストールされています。
  2. 3trend_public.asc ファイルを .zip ファイルのルートフォルダに見つけてください。この .asc ファイルには、デジタル署名を検証するための GPG 公開署名キーが含まれています。
  3. ハッシュユーティリティを使用して.ascファイルのSHA-256ハッシュダイジェストを検証します。
    • エージェントバージョン20.0.0-2971以降のハッシュは:
      bd3b00763db11cee2a6b990428d506f11cf86c68354388fe9cc41fa7e6c9ddae
    • エージェントバージョン20.0.0-2593以前のハッシュは:
      c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7
  4. .ascファイルをインポート:
    gpg --import 3trend_public.asc
    次のようなメッセージが表示されます:
    gpg: directory '/home/build/.gnupg' created
gpg: new configuration file '/home/build/.gnupg/gpg.conf' created
gpg: WARNING: options in '/home/build/.gnupg/gpg.conf' are not yet active during this run
gpg: keyring '/home/build/.gnupg/secring.gpg' created
gpg: keyring '/home/build/.gnupg/pubring.gpg' created
gpg: /home/build/.gnupg/trustdb.gpg: trustdb created
gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
  5. ASCファイルからGPG公開署名キーをエクスポートする:
    gpg --export -a 'トレンドマイクロ' > .rpm-GPG-KEY-CodeSign
  6. GPG公開署名キーを.rpmデータベースにインポートします:
    sudo rpm --import .rpm-GPG-KEY-CodeSign
  7. GPG公開署名キーのインポートを確認:
    rpm -qa gpg-pubkey*
    インポートされたGPG公開鍵のフィンガープリントが表示されます。署名鍵をインポートしたので、エージェントの.rpmファイルのデジタル署名を確認するために使用できます。
    • エージェントバージョン20.0.0-3180以降のトレンドマイクロキーはgpg-pubkey-e1051cbd-659d0a3eです。
    • エージェントバージョン20.0.0-2593以前のトレンドマイクロキーはgpg-pubkey-e1051cbd-5b59ac99です。
  8. このコマンドをエージェント-**PGP**Core-<...>.rpmで実行してください。
    rpm -K エージェント-PGPCore-<OS agent version>.rpm
    rpm -K Agent-PGPCore-RedHat_EL7-11.0.0-950.x86_64.rpm
    Agent-PGPCore-<...>.rpm がエージェントの.zipファイルに含まれていない場合、次の.zipファイルのいずれかを取得してください:
    • Deep Security エージェント 11.0 更新 15 以降
    • Deep Security エージェント 12 アップデート 2 以降
    • Deep Security エージェント 20以降
    署名の検証が成功すると、次のメッセージが表示されます:
    Agent-PGPCore-RedHat_EL7-11.0.0-950.x86_64.rpm: rsa sha1 (md5) pgp md5 OK

DEBファイルの署名を確認する

.debファイルの署名を手動で確認する代わりに、デプロイスクリプトを使用することを検討してください。それ以外の場合は、以下の手順に従ってください。

手順

  1. dpkg-sigユーティリティをインストールします。このユーティリティには、署名キーのインポートとデジタル署名の確認のためのGPGコマンドラインツールが含まれています。
  2. 3trend_public.asc を.zipファイルのルートフォルダに見つけます。.ascファイルには、デジタル署名を検証するためのGPG公開署名キーが含まれています。
  3. ハッシュユーティリティを使用して.ascファイルのSHA-256ハッシュダイジェストを検証します。
    • エージェントバージョン20.0.0-2593以前のハッシュは:
      c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7
    • エージェントバージョン20.0.0-2971以降のハッシュは:
      bd3b00763db11cee2a6b990428d506f11cf86c68354388fe9cc41fa7e6c9ddae
  4. GPGキーリングに.ascファイルをインポートします:
    gpg --import 3trend_public.asc
    次のようなメッセージが表示されます:
    gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
  5. トレンドマイクロのキー情報を表示:
    gpg --list-keys
    次のようなメッセージが表示されます:
    /home/user01/.gnupg/pubring.gpg
-------------------------------
pub 2048R/E1051CBD 2018-07-26 [expires: 2021-07-25]
uid Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>
sub 2048R/202C302E 2018-07-26 [expires: 2021-07-25]
  6. .debファイルの署名を検証する:
    dpkg-sig --verify <agent_deb_file>
    <agent_deb_file> はエージェント .deb ファイルの名前とパスです
    dpkg-sig --verify Agent-Core-Ubuntu_16.04-12.0.0-563.x86_64.deb
    次のような処理メッセージが表示されます:
    エージェント-Core-Ubuntu_16.04-12.0.0-563.x86_64.debを処理中...
    署名が確認されると、次のメッセージが表示されます:
    GOODSIG _gpgbuilder CF5EBBC17D8178A7776C1D365B09AD42E1051CBD 1568153778