ARPは攻撃確率「None」で過剰なスナップショットを作成します

• ONTAP 9.14.1以降
• ARPが有効なすべてのFAS、AFF、およびASAプラットフォーム

• ONTAP 9.17.1P6を実行しているクラスターで自律型ランサムウェア対策（ARP）を有効にした後、攻撃の可能性が「none」のままであるにもかかわらず、複数のボリュームで過剰なAnti_ransomware_attack_backupスナップショットが作成されます。
• これらのスナップショットは、 「New file extension detected」という理由でトリガーされ、頻繁な間隔（一部のケースでは30分ごと）で作成されるため、ボリュームのスペース消費量が2〜3日以内に約3×増加します。
• 影響を受けるボリュームでARPを無効にしてから再度有効にし、リセットを試みます。無効化と再有効化の後、ボリュームは正常に動作し始めましたが、一部のボリュームでは高頻度で攻撃スナップショットが生成され続けました。
• 攻撃の可能性がコールホーム生成に必要なしきい値である「Moderate」にエスカレーションされなかったため、 callhome.arw.activity.seenアラートやEMS通知はトリガーされませんでした。
• この動作を示すEMSログの例：

[cluster-n01: wafl_arp_block_device_worker_: arw.snapshot.created:notice]: ARP snapshot created on volume "db_vol01_roc" (UUID: "aade7a6f-xxxx-xxxx-xxxx-xxxxxxxxxxxx") in SVM "svm_db01" (UUID: "3beec5b2-xxxx-xxxx-xxxx-xxxxxxxxxxxx") at "2026-06-03_0138". Reason: "New file extension detected".[cluster-n01: wafl_arp_block_device_worker_: arw.snapshot.created:notice]: ARP snapshot created on volume "db_vol01_roc" (UUID: "aade7a6f-xxxx-xxxx-xxxx-xxxxxxxxxxxx") in SVM "svm_db01" (UUID: "3beec5b2-xxxx-xxxx-xxxx-xxxxxxxxxxxx") at "2026-06-03_0208". Reason: "New file extension detected".
[cluster-n01: wafl_arp_block_device_worker_: arw.snapshot.created:notice]: ARP snapshot created on volume "db_vol01_roc" (UUID: "aade7a6f-xxxx-xxxx-xxxx-xxxxxxxxxxxx") in SVM "svm_db01" (UUID: "3beec5b2-xxxx-xxxx-xxxx-xxxxxxxxxxxx") at "2026-06-03_0238". Reason: "New file extension detected".

• 主な所見：
  • 攻撃スナップショットは、「新しいファイル拡張子が検出されました」という理由で約30分ごとに作成されます。
  • 攻撃の可能性は「なし」のままであり、中程度または高レベルへのエスカレーションはありません。
  • arw.activity.seenのコールホームはトリガーされません。
  • 定期的なARPスナップショット（Anti-ransomware periodic snapshot created）は通常通り継続し、上限は6です。
  • 「新しいファイル拡張子が検出されました」によってトリガーされた攻撃スナップショットは上限なしであり、arw.snap.new.extns.interval.hoursに基づいて保持されます（最低24時間）。
  • 無効化/再有効化後、ワークロード特性（学習済みベースライン/急増）は空として表示されます。
  • arw.snap.new.extns.interval.hoursパラメータには最小強制値24があります（これより低い値に設定しようとすると、次の結果が返されます：value must be between 24 and 8760）。