フィッシング対策保護を調整する

• 適用対象:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Microsoft 365 には、既定で有効になっているさまざまなフィッシング対策機能が付属していますが、一部のフィッシング メッセージが引き続きorganization内のメールボックスに到達する可能性があります。 この記事では、フィッシング メッセージが通過した理由を発見するためにできることと、誤って事態を悪化させることなく、Microsoft 365 organizationのフィッシング対策設定を調整するためにできることについて説明します。

最初に、侵害されたアカウントに対処し、フィッシング メッセージの通過をブロックする

フィッシング メッセージの結果として受信者のアカウントが侵害された場合は、「 Microsoft 365 で侵害されたメール アカウントに応答する」の手順に従います。

サブスクリプションにMicrosoft Defender for Office 365が含まれている場合は、Office 365脅威インテリジェンスを使用して、フィッシング メッセージも受信した他のユーザーを特定できます。 フィッシング メッセージをブロックする追加のオプションがあります。

• Microsoft Defender for Office 365 の安全なリンク
• Defender for Office 365 の安全な添付ファイル
• Microsoft Defender for Office 365のフィッシング対策ポリシー。 ポリシーの高度なフィッシングのしきい値を一時的にStandardから [積極的]、[より積極的]、または [最も積極的] に増やすことができます。

これらのポリシーが機能していることを確認します。 事前設定されたセキュリティ ポリシーの組み込み保護により、安全なリンクと安全な添付ファイルの保護が既定で有効になっています。 フィッシング対策には、既定でなりすまし対策保護が有効になっているすべての受信者に適用される既定のポリシーがあります。 偽装保護はポリシーで有効になっていないため、構成する必要があります。 手順については、「Microsoft Defender for Office 365でフィッシング対策ポリシーを構成する」を参照してください。

フィッシング メッセージを Microsoft に報告する

フィッシング メッセージの報告は、Microsoft 365 のすべての顧客を保護するために使用されるフィルターの調整に役立ちます。 手順については、「 送信ページを使用して、疑わしいスパム、フィッシング、URL、正当なメールの受信がブロックされ、電子メールの添付ファイルを Microsoft に送信する」を参照してください。

メッセージ ヘッダーを検査する

フィッシング メッセージのヘッダーを調べて、より多くのフィッシング メッセージが通過するのを防ぐために自分でできることがあるかどうかを確認できます。 言い換えると、メッセージ ヘッダーを調べると、フィッシング メッセージを許可する役割を担っていたorganization内の設定を特定するのに役立ちます。

具体的には、スパムフィルター判定 (SFV) 値でスパムまたはフィッシングに対してスキップされたフィルター処理の表示については、メッセージ ヘッダーの X-Forefront-Antispam-Report ヘッダー フィールドをチェックする必要があります。 フィルター処理をスキップするメッセージには、 SCL:-1のエントリがあります。つまり、サービスによって決定されたスパムまたはフィッシングの判定をオーバーライドすることで、このメッセージを許可した設定の 1 つを意味します。 メッセージ ヘッダーを取得する方法と、使用可能なすべてのスパム対策およびフィッシング対策メッセージ ヘッダーの完全な一覧については、「 Microsoft 365 のスパム対策メッセージ ヘッダー」を参照してください。

ヒント

メッセージ ヘッダーの内容は、コピーしてメッセージ ヘッダー アナライザー ツールに貼り付けることができます。 このツールは、ヘッダーを解析し、より読みやすい形式にします。

構成アナライザーを使用して、EOP とDefender for Office 365のセキュリティ ポリシーをStandardと厳密な推奨事項と比較することもできます。

保護を維持するためのベスト プラクティス

• 毎月、Secure Score を実行して、organizationのセキュリティ設定を評価します。

• 誤って検疫されるメッセージ (誤検知) の場合、またはを介して許可されるメッセージ (偽陰性) の場合は、[脅威のエクスプローラーとリアルタイム検出] でそれらのメッセージを検索することをお勧めします。 送信者、受信者、またはメッセージ ID で検索できます。 メッセージを見つけたら、件名をクリックして詳細に移動します。 検疫されたメッセージについては、適切なメソッドを使用してオーバーライドできるように、"検出テクノロジ" が何であったかを確認します。 許可されたメッセージについては、メッセージを許可するポリシーを確認します。

• なりすまし送信者からのEmail (メッセージの送信元アドレスがメッセージの送信元と一致しません) は、Defender for Office 365でフィッシングとして分類されます。 スプーフィングが問題ない場合や、特定のスプーフィングされた送信者からのメッセージを検疫したくない場合があります。 ユーザーへの影響を最小限に抑えるには、 スプーフィング インテリジェンスの分析情報、 テナントの許可/ブロック リストのなりすまし送信者のエントリ、 なりすまし検出レポートを定期的に確認します。 許可およびブロックされたなりすまし送信者を確認し、必要なオーバーライドを行った後、フィッシング対策ポリシーでスプーフィング インテリジェンスを、ユーザーの迷惑メール Email フォルダーに配信するのではなく、疑わしいメッセージを検疫するように自信を持って構成できます。

• Defender for Office 365では、https://security.microsoft.com/impersonationinsightの [偽装分析情報] ページを使用して、ユーザーの偽装またはドメイン偽装の検出を追跡することもできます。 詳細については、「Defender for Office 365の偽装分析情報」を参照してください。

• フィッシング検出の 脅威保護状態レポート を定期的に確認します。

• 一部のお客様は、スパム対策ポリシーの [送信者の許可] または [ドメインの許可] の一覧に独自のドメインを配置することで、フィッシング メッセージを誤って許可します。 この構成では、いくつかの正当なメッセージを介して許可されますが、通常はスパムやフィッシング フィルターによってブロックされる悪意のあるメッセージも許可されます。 ドメインを許可する代わりに、基になる問題を修正する必要があります。

  ドメイン内の送信者を含む Microsoft 365 (誤検知) によってブロックされる正当なメッセージに対処する最善の方法は、 すべての メール ドメインに対して DNS の SPF、DKIM、DMARC レコードを完全かつ完全に構成することです。

  • SPF レコードで、ドメイン内の送信者のすべての メール ソースが 識別されていることを確認します (サードパーティのサービスを忘れないでください)。

  • ハード フェイル (-all) を使用して、承認されていない送信者が、そのように構成された電子メール システムによって拒否されるようにします。 スプーフィング インテリジェンスの分析情報を使用して、ドメインを使用している送信者を特定し、SPF レコードに承認されたサード パーティの送信者を含めることができます。

  構成手順については、次を参照してください。

  • SPF を設定して、スプーフィングを防止する
  • DKIM を使用して、カスタム ドメインから送信される送信電子メールを検証する
  • DMARC を使用してメールを検証する

• 可能な限り、ドメインのメールを Microsoft 365 に直接配信することをお勧めします。 つまり、Microsoft 365 ドメインの MX レコードを Microsoft 365 にポイントします。 Exchange Online Protection (EOP) は、メールが Microsoft 365 に直接配信されるときに、クラウド ユーザーに最適な保護を提供できます。 EOP の前でサード パーティ製の電子メール検疫システムを使用する必要がある場合は、コネクタの拡張フィルター処理を使用します。 手順については、「Exchange Online のコネクタの拡張フィルター」を参照してください。

• ユーザーに Outlook の組み込みの [レポート] ボタンを使用させるか、Microsoft レポート メッセージまたはレポート フィッシング アドインをorganizationに展開します。 ユーザーが報告したメッセージをレポート メールボックス、Microsoft、またはその両方に送信するように、ユーザーが報告した設定を構成します。 ユーザーが報告したメッセージは、https://security.microsoft.com/reportsubmission?viewid=userの [申請] ページの [ユーザー報告] タブで管理者が使用できるようになります。 管理は、「迷惑メール、フィッシング、URL、正当なメールの受信がブロックされ、電子メールの添付ファイルを Microsoft に送信するには、[送信] ページを使用する」の説明に従って、ユーザーが報告したメッセージまたはメッセージを Microsoft に報告できます。 検出システムのトレーニングに役立つため、ユーザーまたは管理者が誤検知または誤検知を Microsoft に報告することが重要です。

• 多要素認証 (MFA) は、侵害されたアカウントを防ぐ良い方法です。 すべてのユーザーに対して MFA を有効にすることを強くお考えください。 段階的なアプローチでは、すべてのユーザーに対して MFA を有効にする前に、最も機密性の高いユーザー (管理者、エグゼクティブなど) に対して MFA を有効にすることから始めます。 手順については、「 多要素認証を設定する」を参照してください。

• 外部受信者へのルールの転送は、多くの場合、攻撃者がデータを抽出するために使用されます。 Microsoft Secure Score の [メールボックス転送ルールの確認] 情報を使用して、外部受信者へのルールの転送を見つけて防止します。 詳細については、「 Secure Score を使用したクライアント外部転送ルールの軽減」を参照してください。

  転送されたメールに関する特定の詳細を表示するには、 自動転送メッセージ レポート を使用します。