侵害された電子メール アカウントへ対応する

• 適用対象:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

ヒント

Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。

ユーザー資格情報は、Microsoft Entra ID アカウントへのアクセスを制御します。これは、侵害調査の中心です。 攻撃者は、アカウントにアクセスすると、関連付けられている Microsoft 365 メールボックス、SharePoint フォルダー、またはユーザーの OneDrive 内のファイルにアクセスできます。 侵害されたユーザーの修復と調査では、影響を受けるアカウントとアカウントに関連付けられているサービスに焦点を当てます。

攻撃者は、侵害されたユーザーのメールボックスを使用して、organizationの内外の受信者に送信することがよくあります。 ビジネス Email侵害 (BEC) は、多くの種類の攻撃であり、この記事で説明します。

この記事では、アカウント侵害の症状 (具体的にはメールボックス) と、侵害されたアカウントの制御を回復する方法について説明します。

重要

次のボタンを使用すると、疑わしいアカウント アクティビティをテストして特定できます。 このテストをこの記事のガイダンスと共に使用して、侵害される可能性のあるアカウントに関する分析情報を取得し、必要な修復アクションを決定します。

テストの実行: 侵害されたアカウント

侵害された Microsoft 365 メール アカウントの一般的な症状

次の 1 つ以上のアクティビティは、Microsoft 365 メールボックスに関連付けられているアカウントが侵害されていることを示している可能性があります。

• メールボックスは電子メールの送信をブロックされます。
• 疑わしいアクティビティ。 たとえば、メールが見つからない、削除された場合などです。
• 不審な 受信トレイルール。 例:
  • 不明なアドレスにメールを自動的に転送するルール。
  • ノート、迷惑メール Email、または RSS サブスクリプション フォルダーにメッセージを移動するルール。
• [送信済みアイテム] フォルダーまたは [削除済みアイテム] フォルダーには、疑わしいメッセージが含まれています。 たとえば、「私はロンドンで立ち往生している、お金を送る」。
• グローバル アドレス一覧 (GAL) のユーザーの連絡先に対する変更。 たとえば、名前、電話番号、郵便番号などです。
• パスワードの変更や原因不明のアカウントロックアウトが頻繁に発生します。
• 最近追加された 外部メール転送。
• 疑わしい電子メール メッセージの署名。 たとえば、偽の銀行署名や処方薬の署名などです。

メールボックスでこれらの現象のいずれかが発生する場合は、次のセクションの手順を使用して、アカウントの制御を回復します。

セキュリティで保護され、侵害された Microsoft 365 メールが有効なアカウントにEmail機能を復元する

攻撃者がアカウントにアクセスした後、できるだけ早くアカウントへのアクセスをブロックする必要があります。

次の手順では、攻撃者が永続化を維持し、後でアカウントの制御を取り戻すことのできる既知の方法に対処します。 各手順に必ず対処してください。

手順 1: 影響を受けるユーザー アカウントを無効にする

• 侵害されたアカウントを無効にすることをお勧めします。調査を完了するまでは、強くお勧めします。

  1. 必要に応じて、次のコマンドを実行して、PowerShell に Microsoft Graph PowerShell モジュールをインストールします。

     Install-Module -Name Microsoft.Graph -Scope CurrentUser
     

  2. 次のコマンドを実行して、Microsoft Graph に接続します。

     Connect-MgGraph -Scopes "User.ReadWrite.All"
     

  3. ユーザー アカウントの詳細を $user という名前の変数に格納するには、 <UPN> をユーザーのアカウント名 (ユーザー プリンシパル名または UPN) に置き換え、次のコマンドを実行します。

     $user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
     

     例:

     $user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
     

  4. 次のコマンドを実行して、ユーザー アカウントを無効にします。

     Update-MgUser -UserId $user.Id -AccountEnabled $false
     

  構文とパラメーターの詳細については、「Update-MgUser」を参照してください。

• アカウントを無効にできない場合は、次にパスワードをリセットすることをお勧めします。 手順については、「 ビジネス向け Microsoft 365 でパスワードをリセットする」を参照してください。

  • 必ず、大文字と小文字、少なくとも 1 つの数字、少なくとも 1 つの特殊文字という強力なパスワードを使用してください。
  • この時点で攻撃者がメールボックスにアクセスできる可能性があるため、新しいパスワードを電子メールでユーザーに送信しないでください。
  • 攻撃者が推測できない一意のパスワードを使用します。 パスワード履歴の要件で許可されている場合でも、最後の 5 つのパスワードを再利用しないでください。
  • アカウントが Active Directory から同期されている場合は、Active Directory でパスワードをリセットし、2 回リセットして 、ハッシュパス 攻撃のリスクを軽減します。 手順については、「 Set-ADAccountPassword」を参照してください。
  • ユーザーの ID が Microsoft 365 とフェデレーションされている場合は、オンプレミス環境でアカウント パスワードを変更し、管理者に侵害を通知する必要があります。
  • アプリのパスワードは必ず更新してください。 パスワードをリセットしても、アプリ パスワードは自動的に取り消されません。 ユーザーは既存のアプリ パスワードを削除し、新しいパスワードを作成する必要があります。 詳細については、「 2 段階認証のためのアプリ パスワードの管理」を参照してください。

• アカウントの多要素認証 (MFA) を有効にして適用することを強くお勧めします。 MFA は、アカウントの侵害から効果的に保護し、管理者特権を持つアカウントに不可欠です。

  詳細については、次の記事を参照してください。

  • 多要素認証を設定する
  • 管理者にフィッシング耐性 MFA を要求する

手順 2: ユーザー アクセスを取り消す

この手順では、盗まれた資格情報を使用してアクティブなアクセスを直ちに無効にし、攻撃者がより機密性の高いデータにアクセスしたり、侵害されたアカウントに対して未承認のアクションを実行したりするのを防ぎます。

1. 管理者特権の PowerShell ウィンドウ ([ 管理者として実行] を選択して開く PowerShell ウィンドウ) で次のコマンドを実行します。

   Set-ExecutionPolicy RemoteSigned
   

2. 必要に応じて、次のコマンドを実行して、Microsoft Graph PowerShell に必要なモジュールをインストールします。

   Install-Module Microsoft.Graph.Authentication
   
   Install-Module Microsoft.Graph.Users.Actions
   

3. 次のコマンドを実行して、Microsoft Graph に接続します。

   Connect-MgGraph -Scopes User.RevokeSessions.All
   

4. ユーザー アカウントの詳細を $user という名前の変数に格納するには、 <UPN> をユーザーのアカウント (ユーザー プリンシパル名または UPN) に置き換え、次のコマンドを実行します。

   $user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
   

   例:

   $user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
   

5. 次のコマンドを実行して、ユーザーのサインイン セッションを取り消します。

   Revoke-MgUserSignInSession -UserId $user.Id
   

詳細については、「Microsoft Entra IDの緊急時にユーザー アクセスを取り消す」を参照してください。

手順 3: 影響を受けるユーザーの MFA 登録済みデバイスを確認する

攻撃者が追加した疑わしいデバイスを特定して削除します。 また、認識されない MFA メソッドが削除されていることを確認して、ユーザーのアカウントをセキュリティで保護します。

手順については、MFA メソッドの削除に関するページを参照してください。

手順 4: ユーザーの同意を得てアプリケーションの一覧を確認する

許可すべきではないアプリケーションを削除して取り消します。

手順については、「 アプリケーションレビュー」を参照してください。

手順 5: ユーザーに割り当てられている管理ロールを確認する

許可すべきではないロールを削除します。

詳細については、次の記事を参照してください。

• Azure portalを使用して Azure ロールの割り当てを一覧表示する
• Microsoft Entraロールの割り当てを一覧表示する
• Microsoft Purview コンプライアンス ポータルのアクセス許可
• Microsoft Defender ポータルでのアクセス許可のMicrosoft Defender for Office 365

手順 6: メール フォワーダーを確認する

攻撃者が追加した疑わしいメールボックス転送を削除します。

1. Exchange Online PowerShell に接続します。

2. メールボックスの転送 ( SMTP 転送とも呼ばれます) がメールボックスに構成されているかどうかを確認するには、 <Identity> をメールボックスの名前、電子メール アドレス、またはアカウント名に置き換え、次のコマンドを実行します。

   Get-Mailbox -Identity \<Identity\> | Format-List Forwarding*Address,DeliverTo*
   

   例:

   Get-Mailbox -Identity jason@contoso.com | Format-List Forwarding*Address,DeliverTo*
   

   次のプロパティの値を確認します。

   • ForwardingAddress: 非空白値は、指定された内部受信者に電子メールが転送されていることを意味します。
   • ForwardingSmtpAddress: 非空白値は、指定された外部受信者に電子メールが転送されていることを意味します。 ForwardingAddress と ForwardingSmtpAddress の両方が構成されている場合、メールは ForwardingAddress 内部受信者にのみ転送されます。
   • DeliverToMailboxAndForward: ForwardingAddress または ForwardingSmtpAddress で指定された受信者にメッセージを配信および転送する方法を制御します。
     • True: メッセージはこのメールボックスに配信され、指定した受信者に転送されます。
     • False: メッセージは、指定した受信者に転送されます。 メッセージはこのメールボックスに配信されません。

3. 受信トレイルールがメールボックスからメールを転送しているかどうかを確認するには、 <Identity> をメールボックスの名前、電子メール アドレス、またはアカウント名に置き換え、次のコマンドを実行します。

   Get-InboxRule -Mailbox <Identity> -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
   

   例:

   Get-InboxRule -Mailbox jason@contoso.com -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
   

   次のプロパティの値を確認します。

   • 有効: ルールが有効 (True) か無効 (False) か。

   • RedirectTo: 非空白値は、電子メールが指定された受信者にリダイレクトされていることを意味します。 メッセージはこのメールボックスに配信されません。

   • ForwardTo: 非空白値は、指定した受信者に電子メールが転送されていることを意味します。

   • ForwardAsAttachmentTo: 非空白値は、電子メールが電子メールの添付ファイルとして指定された受信者に転送されていることを意味します。

   • ID: ルールのグローバルに一意の値。 ルールの詳細を表示するには、 <Identity> を Identity 値に置き換え、次のコマンドを実行します。

     Get-InboxRule -Identity "<Identity>" -IncludeHidden | Format-List
     

     例:

     Get-InboxRule -Identity "jason\10210541742734704641" -IncludeHidden | Format-List
     

詳細については、「 Microsoft 365 での外部メール転送の構成と制御」を参照してください。

調査の実行

ユーザーが異常な症状を報告する場合は、徹底的な調査を行う必要があります。 Microsoft Entra 管理センターとMicrosoft Defender ポータルには、ユーザー アカウントの疑わしいアクティビティを調べるのに役立ついくつかのツールが用意されています。 修復手順を完了するまで、疑わしいアクティビティの開始から監査ログを確認してください。

• Microsoft Entra 管理センターのサインイン ログとその他のリスク レポートをMicrosoft Entraする: これらの列の値を調べます。

  • IP アドレス
  • サインインの場所
  • サインイン時間
  • サインインの成功または失敗

  詳細については、次の記事を参照してください。

  • Microsoft Entra監査ログとは
  • Microsoft Entraサインイン ログとは

• Azure 監査ログ: 詳細については、「 Azure セキュリティログと監査」を参照してください。

• Defender ポータルの監査ログ: 疑わしいアクティビティが発生する直前に開始される日付範囲を使用して、アクティビティのログをフィルター処理します。 最初の検索中に特定のアクティビティをフィルター処理しないでください。

  詳細については、「監査ログの検索」を参照してください。

提供されたログを分析することで、さらに注意が必要な特定の時間枠を特定できます。 特定されたら、この期間中にユーザーによって送信されたメッセージを確認して、より多くの洞察を得ることができます。

• Defender ポータルのメッセージ トレース: Outlook または Outlook on the web のアカウントの [送信済みアイテム] フォルダーの内容を確認します。

  詳細については、「Microsoft Defender ポータルのメッセージ トレース」を参照してください。

調査が完了した後

1. 調査中にアカウントを無効にした場合は、パスワードをリセットし、この記事で前述したようにアカウントを有効にします

2. アカウントがスパムまたは大量のメールの送信に使用された場合、メールボックスがメールの送信をブロックされている可能性があります。 「制限付きエンティティ ページからブロックされたユーザーを削除する」の説明に従って、 制限付きエンティティ ページからユーザーを削除します。

その他のリソース

Microsoft 365 で Outlook のルールとカスタム フォーム インジェクション攻撃の検出と修復を行う

不正な同意許可の検出と修復

スパム、スパム以外、フィッシング、疑わしいメール、ファイルを Microsoft に報告する