Microsoft Defender SmartScreen での拡張フィッシング保護
Windows 11 バージョン 22H2 以降、Microsoft Defender SmartScreen の拡張フィッシング保護は、Microsoft 学校または職場のパスワードを、サイトやアプリでのフィッシングや安全でない使用から保護するのに役立ちます。
ユーザーがパスワードを使用して Windows にサインインした場合、拡張フィッシング保護は Windows セキュリティ保護と共に機能し、次の方法で Windows 11 へのサインインに使用される型指定された職場または学校のパスワードを保護するのに役立ちます。
- ユーザーが任意のブラウザーで職場または学校のパスワードを入力または貼り付けた場合、Microsoft Defender SmartScreen によって悪意があると見なされるサイトに、拡張フィッシング保護によって警告が表示されます。 また、攻撃者が自分のアカウントにアクセスできないようにパスワードを変更するよう警告します。
- 職場または学校のパスワードを再利用すると、ユーザーのパスワードを侵害する攻撃者が他のアカウントに簡単にアクセスできるようになります。 強化されたフィッシング保護は、職場または学校の Microsoft アカウントのパスワードをサイトやアプリで再利用し、パスワードを変更するようユーザーに警告する場合に警告できます。
- テキスト エディターにプレーンテキスト パスワードを格納するのは安全ではないため、Enhanced Phishing Protection では、職場または学校のパスワードをメモ帳、Word、または Microsoft 365 Office アプリに保存し、ファイルからパスワードを削除することをお勧めします。
- SmartScreen が疑わしいと検出した Web サイトまたはアプリに職場または学校のパスワードを入力すると、セキュリティ上の脅威を特定するために、その Web サイトまたはアプリから情報を自動的に収集できます。 たとえば、表示されたコンテンツ、再生されたサウンド、アプリケーション メモリなどです。
注
ユーザーが Windows Hello for Business PIN または生体認証を使用してデバイスにサインインした場合、拡張フィッシング保護はユーザーに警告したり、 Microsoft Defender for Endpoint (MDE) にイベントを送信したりしません。
Microsoft Defender SmartScreen での強化されたフィッシング保護の利点
強化されたフィッシング保護は、Windows 11 へのサインインに使用される職場または学校のパスワードに堅牢なフィッシング保護を提供します。 拡張フィッシング保護の利点は次のとおりです。
フィッシング対策のサポート: フィッシング攻撃は、安全なコンテンツの模倣を説得力のあるものにしたり、信頼されたサイトやアプリケーション内でホストされている資格情報の収集コンテンツを通じてユーザーを欺いたりします。 強化されたフィッシング保護は、サイトまたはアプリが接続している URL と他の特性を評価して、安全でないコンテンツを配布またはホストすることがわかっているかどうかを判断することで、報告されたフィッシング サイトからユーザーを保護するのに役立ちます。
セキュリティで保護されたオペレーティング システムの統合: 拡張フィッシング保護は Windows 11 オペレーティング システムに直接統合されているため、任意のブラウザーまたはアプリでユーザーのパスワード 入力コンテキスト (プロセス接続、URL、証明書情報を含む) を理解できます。 拡張フィッシング保護には、OS レベルで何が起こっているかについての比類のない分析情報があるため、ユーザーが職場または学校のパスワードを安全に入力するタイミングを特定できます。 ユーザーが職場または学校のパスワードを安全に使用しない場合、この機能により、ユーザーはパスワードを変更して、侵害された資格情報が侵害される可能性を最小限に抑えることができます。
Microsoft のセキュリティ スイート全体で共有される比類のないテレメトリ: 強化されたフィッシング保護は、Microsoft セキュリティ スタック全体で見られるフィッシング攻撃から常に学習します。 これは、他の Microsoft セキュリティ製品と共に機能し、特にパスワードレス認証の初期段階の組織向けに、パスワード セキュリティに対する階層化されたアプローチを提供します。 組織で Microsoft Defender for Endpoint を使用している場合は、Microsoft 365 Defender ポータルで貴重なフィッシング センサー データを確認できます。 このポータルを使用すると、環境内での安全でないパスワードの使用に関する拡張フィッシング保護のアラートとレポートを表示できます。
グループ ポリシーと Microsoft Intune を使用した簡単な管理: 拡張フィッシング保護は、グループ ポリシーとモバイル デバイス管理 (MDM) 設定と連携して、組織のコンピューター設定を管理するのに役立ちます。 拡張フィッシング保護の設定方法に基づいて、ユーザーの警告ダイアログを表示するフィッシング保護シナリオをカスタマイズできます。 たとえば、[サービスが有効] 設定は、拡張フィッシング保護サービスがオンかオフかを決定します。 通知ポリシーに対応する他の設定が有効になっていない場合、この機能は監査モードになります。
Windows エディションとライセンスに関する要件
次の表に、SmartScreen で拡張フィッシング保護をサポートする Windows エディションを示します。
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| はい | ○ | はい | はい |
SmartScreen ライセンスエンタイトルメントによる強化されたフィッシング保護は、次のライセンスによって付与されます。
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| はい | はい | はい | ○ | ○ |
Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。
組織の拡張フィッシング保護を構成する
拡張フィッシング保護は、MDM サービスを使用して、Microsoft Intune、グループ ポリシー オブジェクト (GPO) または構成サービス プロバイダー (CSP) を使用して構成できます。 これらの設定は、Microsoft Intune、GPO、または CSP を使用してデバイスを構成するために使用できます。
| 設定 | 説明 |
|---|---|
| 自動データ収集 | このポリシー設定は、ユーザーが不審な Web サイトやアプリに職場または学校のパスワードを入力したときに、表示されるコンテンツ、再生されたサウンド、アプリケーション メモリなどの追加情報を、拡張フィッシング保護が収集できるかどうかを決定します。 この情報はセキュリティ目的でのみ使用され、SmartScreen が Web サイトまたはアプリが悪意のあるかどうかを判断するのに役立ちます。 |
| サービスが有効 | このポリシー設定は、拡張フィッシング保護が監査モードかオフかを決定します。 拡張フィッシング保護が監査モードの場合、保護シナリオに関する通知はユーザーに表示されません。 監査モードでは、拡張フィッシング保護は安全でないパスワード 入力イベントをキャプチャし、Microsoft Defender を介して診断データを送信します。 |
| 悪意のあるユーザーに通知する | このポリシー設定は、職場または学校のパスワードを、報告されたフィッシング サイト、無効な証明書を含むサインイン URL、または報告されたフィッシング サイトまたは無効な証明書を持つサインイン URL のいずれかに接続するアプリケーションに、職場または学校のパスワードを入力した場合に、ユーザーに警告するかどうかを決定します。 |
| パスワードの再利用を通知する | このポリシー設定は、ユーザーが職場または学校のパスワードを再利用した場合に、拡張フィッシング保護によってユーザーに警告するかどうかを決定します。 |
| Unsafe App に通知する | このポリシー設定は、ユーザーがメモ帳または Microsoft 365 Office Apps で職場または学校のパスワードを入力した場合に、拡張フィッシング保護によってユーザーに警告するかどうかを決定します。 |
強化されたフィッシング保護を使用すると、組織はカスタム ID プロバイダーのサインイン URL を認識された URL として追加できます。 その後、拡張フィッシング保護では、内部 ID プロバイダー (IdP) に入力された Microsoft パスワードは不明またはパスワードの再利用とは見なされません。 企業のカスタム ID プロバイダー URL に関する知識がなければ、SmartScreen には URL に関する十分な情報がない可能性があります。 拡張フィッシング保護の警告ダイアログを構成した場合、ユーザーが自分の Microsoft パスワードを URL に入力すると、安全でないパスワードの使用ダイアログが表示される可能性があります。
組織のカスタム サインイン URL を Enhanced Phishing Protection に追加するには、認証ポリシー CSP でEnableWebSignIn ポリシーを構成します。 詳細については、「 Windows の Web サインイン」を参照してください。
次の手順に従って、Microsoft Intune、GPO、または CSP を使用してデバイスを構成します。
Intune
GPO
CSPMicrosoft Intune を使用してデバイスを構成するには、 設定カタログ ポリシーを作成し、カテゴリ SmartScreen > Enhanced Phishing Protectionの下に一覧表示されている設定を使用します。
- 自動データ収集
- サービスが有効
- 悪意のあるユーザーに通知する
- パスワードの再利用を通知する
- Unsafe App に通知する
構成するデバイスまたはユーザーをメンバーとして含むセキュリティ グループにポリシーを割り当てます。
組織の推奨設定
既定では、拡張フィッシング保護は監査モードで展開され、保護シナリオに対するユーザーへの通知が防止されます。 監査モードでは、拡張フィッシング保護は安全でないパスワード 入力イベントをキャプチャし、Microsoft Defender を介して診断データを送信します。 職場または学校のパスワードをフィッシング サイトに入力した場合、パスワードを再利用した場合、またはパスワードをアプリケーションに安全に保存しない場合、ユーザーは警告されません。 この可能性があるため、すべての保護シナリオでユーザーに警告するように拡張フィッシング保護を構成することをお勧めします。
| 設定 | 既定値 | 推奨 |
|---|---|---|
| 自動データ収集 | MDM に登録されているドメイン参加済みデバイスまたはデバイスに対して有効です。 他のすべてのデバイスで無効になっています。 |
有効: Microsoft の脅威インテリジェンスを向上させるために、疑わしい Web サイトまたはアプリからのセキュリティ分析のための追加コンテンツの収集を有効にします。 この情報はセキュリティ目的でのみ使用され、SmartScreen が Web サイトまたはアプリが悪意のあるかどうかを判断するのに役立ちます。 |
| サービスが有効 | Enabled | 有効: 監査モードで拡張フィッシング対策を有効にします。これは、職場または学校のパスワード入力イベントをキャプチャし、診断データを送信しますが、ユーザーに通知は表示されません。 |
| 悪意のあるユーザーに通知する | MDE にオンボードされているデバイスでは無効になっています。 他のすべてのデバイスで有効になっています。 |
有効: ユーザーが職場または学校のパスワードを前述の悪意のあるシナリオのいずれかに入力し、パスワードの変更を促すと、拡張フィッシング保護通知を有効にします。 |
| パスワードの再利用を通知する | 無効 | 有効: ユーザーが職場または学校のパスワードを再利用し、パスワードの変更を促す場合に、拡張フィッシング防止通知を有効にします。 |
| Unsafe App に通知する | 無効 | 有効: ユーザーがメモ帳と Microsoft 365 Office Apps で職場または学校のパスワードを入力すると、拡張フィッシング防止通知を有効にします。 |
組織を保護するために、これらの特定の Microsoft Defender SmartScreen 設定を有効にして使用することをお勧めします。
| 設定カタログ要素 | 推奨値 |
|---|---|
| 自動データ収集 | Enabled |
| サービスが有効 | Enabled |
| 悪意のあるユーザーに通知する | Enabled |
| パスワードの再利用を通知する | Enabled |
| Unsafe App に通知する | Enabled |