侵害されたメール アカウントへの応答

• 適用対象:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

ヒント

Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。

資格情報は、Microsoft 365 メールボックス、データ、およびその他のサービスへのアクセスを制御します。 誰かがこれらの資格情報を盗むと、関連付けられているアカウントが侵害されたと見なされます。

攻撃者は資格情報を盗み、アカウントにアクセスすると、関連付けられている Microsoft 365 メールボックス、SharePoint フォルダー、またはユーザーの OneDrive 内のファイルにアクセスできます。 攻撃者は、多くの場合、侵害されたメールボックスを使用して、元のユーザーとしてメールをorganizationの内外の受信者に送信します。 電子メールを使用して外部受信者にデータを送信する攻撃者は、 データ流出と呼ばれます。

この記事では、アカウント侵害の症状と、侵害されたアカウントの制御を回復する方法について説明します。

侵害された Microsoft メール アカウントの症状

ユーザーは、Microsoft 365 メールボックスで異常なアクティビティに気付いて報告する場合があります。 以下に例を示します。

• 電子メールの欠落や削除など、疑わしいアクティビティ。
• 送信者の [送信済みアイテム] フォルダー内の対応するメールなしで、侵害されたアカウントからメールを受信しているユーザー。
• 不審な受信トレイルール。 これらのルールは、メールを自動的に不明なアドレスに転送したり、メッセージを Notes、迷惑メール Email、または RSS サブスクリプション フォルダーに移動したりする場合があります。
• ユーザーの表示名は、グローバル アドレス一覧で変更されます。
• ユーザーのメールボックスが電子メールの送信をブロックされる。
• Microsoft Outlook または Outlook on the web (旧称 Outlook Web App) の [送信済みアイテム] フォルダーまたは [削除済みアイテム] フォルダーには、侵害されたアカウントの一般的なメッセージが含まれています (たとえば、"ロンドンで立ち往生している、お金を送信しています")。
• 通常とは異なるプロファイルの変更。 たとえば、名前、電話番号、郵便番号の更新などです。
• 複数の頻繁なパスワード変更。
• 最近追加された外部メール転送。
• 通常とは異なる電子メール メッセージの署名。 たとえば、偽の銀行署名や処方薬の署名などです。

ユーザーがこのような症状やその他の異常な症状を報告した場合は、直ちに調査する必要があります。 Microsoft Defender ポータルとAzure portalには、ユーザー アカウントの疑わしいアクティビティを調査するのに役立つ次のツールが用意されています。

• Microsoft Defender ポータルの統合監査ログ: 疑わしいアクティビティが今日に発生する直前に開始される日付範囲を使用して、アクティビティのログをフィルター処理します。 検索中に特定のアクティビティをフィルター処理しないでください。 詳細については、「監査ログの検索」を参照してください。

• Microsoft Entra 管理センターのサインイン ログとその他のリスク レポートをMicrosoft Entraする: これらの列の値を調べます。

  • IP アドレスの確認
  • サインインの場所
  • サインインの時刻
  • サインインの成功/失敗

重要

次のボタンを使用すると、疑わしいアカウント アクティビティをテストして特定できます。 この情報を使用して、侵害されたアカウントを回復できます。

テストの実行: 侵害されたアカウント

セキュリティで保護され、侵害された Microsoft 365 アカウントとメールボックスに電子メール機能を復元する

ユーザーが自分のアカウントへのアクセスを回復した後でも、攻撃者はアカウントの制御を回復できるバックドア エントリを残す可能性があります。

アカウントの制御を回復するには、次 のすべての 手順を実行します。 問題が疑われるとすぐに手順を実行し、できるだけ早く、攻撃者がアカウントの制御を回復しないようにします。 これらの手順は、攻撃者がアカウントに追加したバックドア エントリを削除するのにも役立ちます。 これらの手順を実行した後は、ウイルス スキャンを実行して、クライアント コンピューターが侵害されていないことを確認することをお勧めします。

手順 1: ユーザーのパスワードをリセットする

「誰かのビジネス パスワードをリセットする」の手順に従います。

重要

• 攻撃者はこの時点でもメールボックスにアクセスできるため、新しいパスワードを電子メールでユーザーに送信しないでください。

• 必ず、大文字と小文字、少なくとも 1 つの数字、少なくとも 1 つの特殊文字という強力なパスワードを使用してください。

• パスワード履歴の要件で許可されている場合でも、最後の 5 つのパスワードを再利用しないでください。 攻撃者が推測できない一意のパスワードを使用します。

• ユーザーの ID が Microsoft 365 とフェデレーションされている場合は、オンプレミス環境でアカウント パスワードを変更し、管理者に侵害を通知する必要があります。

• アプリのパスワードは必ず更新してください。 パスワードをリセットしても、アプリ パスワードは自動的に取り消されません。 ユーザーは既存のアプリ パスワードを削除し、新しいパスワードを作成する必要があります。 手順については、「 2 段階認証のためのアプリ パスワードの管理」を参照してください。

• アカウントに対して多要素認証 (MFA) を有効にすることを強くお勧めします。 MFA は、アカウントの侵害を防ぐのに役立つ優れた方法であり、管理特権を持つアカウントにとって非常に重要です。 手順については、「 多要素認証を設定する」を参照してください。

手順 2: 疑わしいメール転送アドレスを削除する

1. https://admin.microsoft.comのMicrosoft 365 管理センターで、[ユーザー>アクティブ なユーザー] に移動します。 または、[ アクティブ ユーザー ] ページに直接移動するには、 https://admin.microsoft.com/Adminportal/Home#/usersを使用します。

2. [アクティブ ユーザー] ページで、ユーザー アカウントを見つけて、名前の横にある [チェック] ボックス以外の行内の任意の場所をクリックして選択します。

3. 開いた詳細ポップアップで、[ メール ] タブを選択します。

4. [メール] タブの [Email転送] セクションの [適用済み] の値は、メール転送がアカウントで構成されていることを示します。 削除するには、次の手順を実行します。

   • [ メール転送の管理] を選択します。
   • 開いた [メール転送の管理] ポップアップで、[このメールボックスに送信されたすべてのメールを転送する] チェックボックスをオフにし、[変更の保存] を選択します。

手順 3: 不審な受信トレイルールを無効にする

1. Outlook on the web を使用して、ユーザーのメールボックスにサインインします。

2. [ 設定 ] (歯車アイコン) を選択し、[ 検索設定 ] ボックスに「rules」と入力し、結果で [受信トレイルール ] を選択します。

3. 開いた [ ルール ] ポップアップで、既存のルールを確認し、疑わしいルールをオフまたは削除します。

手順 4: ユーザーのメール送信のブロックを解除する

アカウントがスパムまたは大量のメールの送信に使用された場合、メールボックスがメールの送信をブロックされている可能性があります。

メールボックスのメール送信のブロックを解除するには、「 制限付きエンティティからブロックされたユーザーを削除する」ページの手順に従います。

ステップ 5 オプション: ユーザー アカウントのサインインをブロックする

重要

アクセスを再度有効にしても安全であると思われるまで、アカウントのサインインをブロックできます。

1. https://admin.microsoft.comのMicrosoft 365 管理センターで次の手順を実行します。

   1. [ユーザー>アクティブ なユーザー] に移動します。 または、[ アクティブ ユーザー ] ページに直接移動するには、 https://admin.microsoft.com/Adminportal/Home#/usersを使用します。
   2. [ アクティブ ユーザー ] ページで、次のいずれかの手順を実行して、一覧からユーザー アカウントを見つけて選択します。
      • 名前の横にある [チェック] ボックス以外の行の任意の場所をクリックして、ユーザーを選択します。 開いた詳細ポップアップで、ポップアップの上部にある [ Block サインイン ] を選択します。
      • 名前の横にある [チェック] ボックスを選択して、ユーザーを選択します。 [ その他のアクション>サインイン状態の編集] を選択します。
   3. 開いた [ サインインのブロック ] ポップアップで、情報を読み取り、[ このユーザーのサインインをブロックする] を選択し、[ 変更の保存] を選択し、ポップアップの上部にある [ Close ] を選択します。

2. https://admin.exchange.microsoft.comの Exchange 管理センター (EAC) で次の手順を実行します。

   1. [Recipients>Mailboxes] に移動します。 または、[ メールボックス ] ページに直接移動するには、 https://admin.exchange.microsoft.com/#/mailboxesを使用します。

   2. [メールボックスの管理] ページで、名前の横に表示されるラウンド チェック ボックス以外の行の任意の場所をクリックして、一覧からユーザーを見つけて選択します。

   3. 開いた詳細ポップアップで、次の手順を実行します。

      1. [全般] タブが選択されていることを確認し、[Email アプリ & モバイル デバイス] セクションで [メール アプリ設定の管理] を選択します。
      2. 開いた [メール アプリの設定の管理] ポップアップで、トグルを [ Disabled] に変更して、使用可能なすべての設定を無効にします。
         • Outlook デスクトップ (MAPI)
         • Exchange Web サービス
         • モバイル (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook on the web

      [ メール アプリの設定の管理 ] ポップアップが完了したら、[ 保存] を選択し、ポップアップの上部にある [ Close ] を選択します。

手順 6 省略可能: すべての管理ロールから侵害された疑いのあるアカウントを削除する

注:

アカウントがセキュリティで保護された後、管理ロールでユーザーのメンバーシップを復元できます。

1. https://admin.microsoft.com の Microsoft 365 管理センターで、次の手順を実行します。

   1. [ユーザー>アクティブ なユーザー] に移動します。 または、[ アクティブ ユーザー ] ページに直接移動するには、 https://admin.microsoft.com/Adminportal/Home#/usersを使用します。

   2. [ アクティブ ユーザー ] ページで、次のいずれかの手順を実行して、一覧からユーザー アカウントを見つけて選択します。

      • 名前の横にある [チェック] ボックス以外の行の任意の場所をクリックして、ユーザーを選択します。 開いた詳細ポップアップで、[アカウント] タブが選択されていることを確認し、[ロール] セクションで [ロールの管理] を選択します。
      • 名前の横にある [チェック] ボックスを選択して、ユーザーを選択します。 [ その他のアクション>管理ロール] を選択します。

   3. 開いた [ 管理者ロールの管理 ] ポップアップで、次の手順を実行します。

      • 後で復元する情報を記録します。
      • [ ユーザー ] (管理センターへのアクセスなし) を選択して、管理ロールメンバーシップを削除します。

      [ 管理者ロールの管理 ] ポップアップが完了したら、[ 変更の保存] を選択します。

2. https://security.microsoft.comのMicrosoft Defender ポータルで、次の手順を実行します。

   1. [アクセス許可>Email &コラボレーション ロール>Roles] に移動します。 または、[アクセス許可] ページに直接移動するには、https://security.microsoft.com/emailandcollabpermissions を使用します。

   2. [アクセス許可] ページで、一覧から役割グループを選択します。名前の横にある [チェック] ボックス (組織の管理など) を選択し、表示される [編集] アクションを選択します。

   3. 開いた 役割グループの [メンバーの編集] ページで、メンバーの一覧を確認します。 ロール グループにユーザー アカウントが含まれている場合は、名前の横にある [チェック] ボックスを選択し、[メンバーの削除] 選択して、ユーザーを削除します。

      [ロール グループのメンバーの編集] ページが完了したら、[次へ] を選択します

   4. [ ロール グループを確認して完了] ページで情報を確認し、[保存] を選択 します。

   5. 一覧の各役割グループに対して前の手順を繰り返します。

3. https://admin.exchange.microsoft.com/ で Exchange 管理センターを使用して、次の手順に進みます。

   1. [ロール>管理 ロール] に移動します。 または、[ロールの管理] ページに直接移動するには、https://admin.exchange.microsoft.com/#/adminRolesを使用します。

   2. [ロールの管理] ページで、名前の横に表示されるラウンド チェック ボックス以外の行の任意の場所をクリックして、一覧から役割グループを選択します。

   3. 開いた詳細ポップアップで、[ 割り当て済み ] タブを選択し、ユーザー アカウントを探します。 役割グループにユーザー アカウントが含まれている場合は、次の手順を実行します。

      1. 名前の横に表示されるラウンド チェック ボックスを選択して、ユーザー アカウントを選択します。
      2. 表示される [ 削除 ] アクションを選択し、[ はい ] を選択し、警告ダイアログで削除してから、ポップアップの上部にある [ Close ] を選択します。

   4. 一覧の各役割グループに対して前の手順を繰り返します。

ステップ 7 オプション: その他の予防手順

1. Outlook または Outlook on the web のアカウントの [送信済みアイテム] フォルダーの内容を確認します。

   アカウントが侵害されたことをユーザーの連絡先に通知する必要がある場合があります。 たとえば、攻撃者が連絡先にお金を要求するメッセージを送信した場合や、攻撃者がコンピューターを乗っ取るためにウイルスを送信した可能性があります。

2. 代替メール アドレスとしてこのアカウントを使用する他のサービスも侵害される可能性があります。 この Microsoft 365 organizationのアカウントに関するこの記事の手順を実行した後、他のサービスで対応する手順を実行します。

3. アカウントの連絡先情報 (電話番号や住所など) を確認します。

関連項目

• Microsoft 365 で Outlook のルールとカスタム フォーム インジェクション攻撃の検出と修復を行う
• 不正な同意許可の検出と修復
• 米国インターネット犯罪苦情センター
• 米国証券取引委員会 - "フィッシング" 詐欺
• レポート メッセージ アドインを使用して 、スパム メールを Microsoft や管理者に直接報告します ( ユーザーが報告した設定 の構成方法に応じて)。