Advanced Threat Protection (ATP) の Safe Attachments によりマルウェアが検知された場合の挙動
こんにちは、プロダクティビティ担当の杉山 卓弥です。
Office 365 E5 のセキュリティ コンポーネントの 1 つである Advanced Threat Protection (ATP) ですが、未知のマルウェア対策の機能である Safe Attachments (安全な添付ファイル) の動作検証が難しいというお声をよくいただきます。本記事では、ATP の Safe Attachments にてマルウェアが検知された場合の挙動、特に設定いただいているケースが多い 「置換」 アクションについて詳しくご紹介します。
Safe Attachments ポリシーでは、マルウェアが検知された場合のアクションとして以下の設定オプションが提供されています。
- オフ : 添付ファイルのマルウェアをスキャンしません。
- モニター : マルウェアの検出後もメッセージの配信を続行し、スキャン結果のみ追跡します。
- ブロック : マルウェアが検出されたメッセージと添付ファイルをブロックします。
- 置換 : マルウェアが検出された添付ファイルのみブロックし、メッセージの配信を続行します。
- 動的配信 (※記事執筆時点ではパブリック プレビュー)
設定画面 
「置換」 アクションは、添付ファイル内で未知のマルウェアが検出された場合に添付ファイルのみブロックし、メッセージ自体はスキャン完了後に配信をするアクションです。Safe Attachments によりマルウェアが検知されると、ユーザー メールボックスには検知されたことを示すテキスト ファイルが添付された状態で配信されます。
受信メッセージ例 
添付テキストの内容例 
また、Safe Attachments ポリシーの [設定] にて [リダイレクトを有効にする] が有効になっていると、指定したメール アドレス宛にスキャン前の状態のメッセージが添付された状態でリダイレクトされます。添付メッセージ内にはマルウェアが添付されているので取り扱いは十分注意が必要ですが、管理者にて独自で調査するといったことも可能です。
リダイレクトされたメッセージ例 
最後に ATP の Safe Attachments によりスキャンされた場合は、Exchange 管理センターの [メール フロー] - [メッセージ追跡] で該当メッセージを調査すると、Advanced Threat Protection イベントが記録されていることが確認できます。以下は、添付ファイルがマルウェアとして検知された一例となります。
Advanced Threat Protection イベント例 
<参考>
Title: 未知の脅威から企業をしっかり守るSaaS
URL: https://special.nikkeibp.co.jp/atcl/ITP/16/msatp1128/
Title: メールに対する高度な脅威からの保護
Title: Office 365 でセキュリティとコンプライアンスにインテリジェンスを活用