ZEROスーパーセキュリティでMicrosoft Edge絡みでセキュリティの通知メッセージが表示される症状に遭遇したのでご報告です。
ひとまず深刻な問題ではないようなので一安心。
ZEROスーパーセキュリティがメッセージを出す
Windows11 ProにZEROスーパーセキュリティを導入している環境で、何も通信するアプリケーションを起動していないタイミングで不自然に「疑わしい通信をブロックした」という感じのメッセージが表示されました。
ZERO スーパーセキュリティ画面で確認してみると、どうもMicrosoft Edge絡みのようなメッセージが記録されていました。
--------------------------------------------------------------
msedge.exe は、deff.nelreports.net に有効期限が切れた証明書を使用した接続を確立しようと試みました。Web サイトはその証明書を随時更新する必要があり、古い証明書はデータのセキュリティリスクを高める恐れがあるため、この接続をブロックしました。
--------------------------------------------------------------
msedge.exeはEdgeのプロセス名です。Microsoft Edgeが問題?
この動作はMicrosoft Edgeを起動していない状況で発生しました。ただMicrosoft Edgeは起動していなくてもWindows11の起動でバックグラウンドにプロセスが動作しており、フォアグラウンドのアプリとしてMicrosoft Edgeが起動しているかどうかは(今回の動作とは)関係なさそうです。
公式の見解
ソースネクスト公式のFAQにこのメッセージについての記載がありました。
■「msedge.exe は、****.nelreports.net に有効期限が切れた証明書を使用した接続を確立しようと試みました」と表示される
https://faq.sourcenext.com/app/answers/detail/a_id/16071/
ざっくりと解釈をメモしておきます。
Microsoft Edgeは起動の際に、xxx.nelreports.net(今回はdeff.nelreports.net)にアクセスするという動作をする。そのアクセスに使う証明書が有効期限切れとなっており、スーパーセキュリティZEROでブロック対象の疑わしい接続として検出されてしまう。
Edgeの動作(あるいはWindowsの動作)にて有効期限がより新しい証明書の更新などが根本的な対処となる。
(スーパーセキュリティZERO側でできることではない)このため、いったんこの通信を信用してブロックしないような除外設定をスーパーセキュリティZEROに入れる。
除外設定の確認
除外設定自体は通知画面上にある「除外設定に追加」ボタンで設定を追加してしまったので、ここでは除外設定を確認する手順を記載しておきます。
まずは、設定画面から「保護」を選択し、保護機能画面を開きます。
この中から「オンライからの攻撃防御」の項にある「設定」をクリック。
次の画面、「オンライからの攻撃防御」画面が開くので、
画面中の「除外」とある箇所の「除外設定」をクリック。
次の画面で「除外設定」画面が開くので、
ここで「オンラインからの攻撃防御」が選択されていれば、確認したい内容が記載されています。スクロールすると、対象となっていた<deff.nelreports.net>が除外設定に登録されていました。(※事前に通知画面から「除外設定に追加」ボタンをクリックしていたのでここに追加されています。)
イントラネット内のWebサーバなどで誤検知されるから追加したいURLがあれば、この画面で「除外の追加」ボタンをクリックしてURL(になるホスト名の部分)を入力して除外設定に追加することも出来ます。
※信用できないインターネット上のURL文字列を登録するときは注意深く登録して良いかどうかを吟味したほうがいいと思われます。
※今回はMicrosoftのURLであることや、ZEROスーパーセキュリティ公式のFAQで安全であることを確認した(いや安全じゃないから、ってツッコミはいったん置いておく)ので除外設定を追加することにしました。