詳細については、「EOP のスプーフィング インテリジェンス分析」を参照してください。

• 適用対象:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

Exchange Online のメールボックスを持つ Microsoft 365 組織または Exchange Online メールボックスのないスタンドアロン Exchange Online Protection (EOP) 組織では、受信メール メッセージはスプーフィングから自動的に保護されます。 EOP は、組織のフィッシングに対する全体的な防御の一環として 、なりすましインテリジェンス を使用します。 詳細については、「 EOP でのなりすまし対策保護」を参照してください。

送信者がメール アドレスになりすました場合、送信者は組織のドメインの 1 つのユーザーであるか、組織に電子メールを送信する外部ドメインのユーザーである可能性があります。 送信者を偽装してスパムまたはフィッシングメールを送信する攻撃者は、ブロックする必要があります。 しかし、正当な送信者がなりすましを行うシナリオもあります。 例:

• 内部ドメインのスプーフィングに関する正当なシナリオ:

  • サードパーティの送信者が、ドメインを使用して、会社の投票のために自分の従業員にバルク メールを送信する場合。
  • 外部企業は、広告または製品の更新を生成して送信します。
  • アシスタントは、組織内の別のユーザーの電子メールを定期的に送信する必要があります。
  • 内部アプリケーションは電子メール通知を送信します。

• 外部ドメインのスプーフィングに関する正当なシナリオ:

  • 送信者はメーリング リスト (ディスカッション リストとも呼ばれます) にあり、メーリング リストは元の送信者からのメールをメーリング リストのすべての参加者に中継します。
  • 外部企業は、別の会社 (例えば、自動化されたレポートやサービスとしてのソフトウェア企業など) に代わって電子メールを送信します。

Microsoft Defender ポータルの スプーフィング インテリジェンスの分析情報 を使用すると、認証されていないメール (SPF、DKIM、または DMARC チェックに合格しないドメインからのメッセージ) を正当に送信しているなりすまし送信者をすばやく特定し、それらの送信者を手動で許可できます。

既知の送信者が既知の場所からなりすましメッセージを送信できるようにすることで、誤検知 (不適切とマークされた良好なメール) を減らすことができます。 許可されたなりすまし送信者を監視することで、安全でないメッセージが組織に到着するのを防ぐためのセキュリティレイヤーを追加します。

同様に、スプーフィング インテリジェンスの分析情報を使用して、なりすましインテリジェンスによって許可されたなりすまし送信者を確認し、それらの送信者を手動でブロックできます。

この記事の残りの部分では、Microsoft Defender ポータルと PowerShell でスプーフィング インテリジェンスの分析情報を使用する方法について説明します (Exchange Online のメールボックスを持つ Microsoft 365 組織の Exchange Online PowerShell、Exchange Online メールボックスのない組織のスタンドアロン EOP PowerShell)。

注:

• スプーフィング インテリジェンスによって検出されたなりすましの送信者のみが、スプーフィング インテリジェンス分析情報に表示されます。 分析情報で許可またはブロックの判定をオーバーライドすると、スプーフィングされた送信者は、https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemの [テナント許可/ブロック リスト] ページの [なりすまし送信者] タブにのみ表示される手動の許可またはブロック エントリになります。 また、スプーフィング インテリジェンスで検出される前に、手動でなりすましの送信者の許可またはブロック エントリを作成することもできます。 詳細については、「 テナント許可/ブロック リストのなりすまし送信者」を参照してください。

• スプーフィング インテリジェンス分析情報の [アクション ] 値 [ 許可] または [ブロック ] は、スプーフィング 検出 を指します (Microsoft 365 がメッセージをスプーフィングとして識別したかどうか)。 アクション値は、メッセージの全体的なフィルター処理に必ずしも影響を与えるわけではありません。 たとえば、誤検知を回避するために、悪意がない場合は、なりすましメッセージが配信される可能性があります。

• [テナントの許可/ブロック] リストのスプーフィング インテリジェンス分析情報と [ なりすまし送信者 ] タブは、セキュリティ & コンプライアンス センターのスパム対策ポリシー ページで使用できるスプーフィング インテリジェンス ポリシーの機能を置き換えます。

• スプーフィング インテリジェンスの分析情報には、7 日分のデータが表示されます。 Get-SpoofIntelligenceInsight コマンドレットには、30 日分のデータが表示されます。

はじめに把握しておくべき情報

• 「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [テナントの許可/ブロック リスト] ページの [なりすまし送信者] タブに直接移動するには、https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemを使用します。 [スプーフィング インテリジェンス分析情報] ページに直接移動するには、https://security.microsoft.com/spoofintelligenceを使用します。

• Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。 スタンドアロンの EOP PowerShell に接続するには、「Exchange Online Protection PowerShell への接続」を参照してください。

• この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

  • Microsoft Defender XDR 統合ロールベースのアクセス制御 (RBAC) (電子メール & コラボレーションの場合>Office 365 の既定のアクセス許可はアクティブです。Defender ポータルにのみ影響します。PowerShell ではなく、承認と設定/セキュリティ設定/コア セキュリティ設定 (管理) または承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り))。

  • Exchange Online のアクセス許可:

    • なりすまし送信者を許可またはブロックするか、なりすましインテリジェンスを有効または無効にする: 次のいずれかの役割グループのメンバーシップ。
      • 組織の管理
      • セキュリティ管理者とビューのみの構成 または 表示専用の組織管理。
    • スプーフィング インテリジェンス分析情報への読み取り専用アクセス: グローバル閲覧者、 セキュリティ閲覧者、または 表示専用組織管理 役割グループのメンバーシップ。

  • Microsoft Entra のアクセス許可: グローバル管理者^*、セキュリティ管理者、グローバル 閲覧者、またはセキュリティ閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。

    重要

    ^* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

• フィッシング対策ポリシーの推奨設定については、「 EOP フィッシング対策ポリシーの設定」を参照してください。

• EOP および Microsoft Defender for Office 365 のフィッシング対策ポリシーで、スプーフィング インテリジェンスを有効または無効にします。 スプーフィング インテリジェンスは既定で有効になっています。 詳細については、「 EOP でフィッシング対策ポリシーを構成する 」または「 Microsoft Defender for Office 365 でフィッシング対策ポリシーを構成する」を参照してください。

• スプーフィング インテリジェンスの推奨設定については、「 EOP フィッシング対策ポリシー設定」を参照してください。

Microsoft Defender ポータルでスプーフィング インテリジェンスの分析情報を見つける

1. https://security.microsoft.comの Microsoft Defender ポータルで、[Email & Collaboration>Policies & Rules>Threat ポリシー>[ルール] セクションの [テナント許可/ブロック リスト] に移動します。 または、[ テナントの許可/ブロック リスト] ページに直接移動するには、 https://security.microsoft.com/tenantAllowBlockListを使用します。

2. [ なりすまし送信者 ] タブを選択します。

3. [ スプーフィングされた送信者 ] タブでは、スプーフィング インテリジェンスの分析情報は次のようになります。

   

   分析情報には、次の 2 つのモードがあります。

   • 分析情報モード: スプーフィング インテリジェンスが有効になっている場合、分析情報には、過去 7 日間にスプーフィング インテリジェンスによって検出されたメッセージの数が表示されます。
   • モードの場合: スプーフィング インテリジェンスが無効になっている場合、分析情報には、過去 7 日間にスプーフィング インテリジェンスによって検出 された メッセージの数が表示されます。

スプーフィング インテリジェンス検出に関する情報を表示するには、なりすましインテリジェンス分析情報で [スプーフィング アクティビティの表示 ] を選択して、[ なりすましインテリジェンス分析情報 ] ページに移動します。

なりすまし検出に関する情報を表示する

注:

このページには、スプーフィング インテリジェンスによって検出されたなりすまし送信者のみが表示されることに注意してください。

https://security.microsoft.com/spoofintelligenceのスプーフィング インテリジェンス分析情報ページは、[テナントの許可/ブロック リスト] ページの [なりすましの送信者] タブのスプーフィング インテリジェンスの分析情報から [スプーフィング アクティビティの表示] を選択すると表示されます。

[ スプーフィング インテリジェンス分析情報 ] ページで、使用可能な列ヘッダーをクリックしてエントリを並べ替えることができます。 次の列を使用できます。

• スプーフィングされたユーザー: メール クライアントの [差出人] ボックスに表示されるなりすましユーザーのドメイン。 From アドレスは、 5322.From アドレスとも呼ばれます。
• 送信インフラストラクチャ: インフラストラクチャとも呼ばれます。 送信インフラストラクチャは、次のいずれかの値です。
  • 送信元メール サーバーの IP アドレスの逆引き DNS 参照 (PTR レコード) で見つかったドメイン。
  • 送信元 IP アドレスに PTR レコードがない場合、送信インフラストラクチャは、<発信元 IP>/24 (たとえば、192.168.100.100/24) として識別されます。
  • 検証済みの DKIM ドメイン。
• メッセージ数: 過去 7 日以内に、スプーフィングされたドメイン と 送信インフラストラクチャの組み合わせから組織に送信されたメッセージの数。
• 最終表示日: スプーフィングされたドメインを含む送信インフラストラクチャからメッセージが受信された最後の日付。
• スプーフィングの種類: 次のいずれかの値。
  • 内部: なりすまし送信者は、組織 (承認済みドメイン) に属する ドメイン内にあります。
  • 外部: スプーフィングされた送信者が外部ドメインにあります。
• アクション: この値は [許可] または [ブロック] です。
  • 許可: ドメインで明示的な電子メール認証チェック SPF、 DKIM、 DMARC が失敗しました。 ただし、ドメインは暗黙的な電子メール認証チェックに合格しました (複合認証)。 その結果、メッセージに対してスプーフィング対策アクションは実行されませんでした。
  • ブロック: スプーフィングされたドメイン と 送信インフラストラクチャの組み合わせからのメッセージは、スプーフィング インテリジェンスによって無効としてマークされます。 悪意のあるなりすましメッセージに対して実行されるアクションは、 Standard または Strict の事前設定されたセキュリティ ポリシー、既定のフィッシング対策ポリシー、またはカスタムのフィッシング対策ポリシーによって制御されます。 詳細情報については、「Microsoft Defender for Office 365 のフィッシング詐欺対策ポリシーを構成する」を参照してください。

スプーフィングされた送信者の一覧を通常の間隔からコンパクトな間隔に変更するには、 [リストの間隔をコンパクトまたは標準に変更する] を選択し、[Compact リスト] を選択します。

エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。

• スプーフィングの種類: 使用可能な値は 内部 と 外部です。
• アクション: 使用可能な値は [許可] と [ブロック] です

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。

検索ボックスと対応する値を使用して、特定のエントリを検索します。

Export を使用して、スプーフィング検出の一覧を CSV ファイルにエクスポートします。

なりすまし検出の詳細を表示する

最初の列の横にあるチェック ボックス以外の行をクリックして、一覧からスプーフィング検出を選択すると、次の情報を含む詳細ポップアップが開きます。

• なぜ私たちはこれをキャッチしたのですか? セクション: この送信者がスプーフィングとして検出された理由と、詳細については何ができるか。

• [ドメインの概要 ] セクション: メインの スプーフィング インテリジェンス分析情報 ページから同じ情報が含まれます。

• WhoIs データ セクション: 送信者のドメインに関する技術情報。

• エクスプローラーの調査セクション: Defender for Office 365 組織のこのセクションには、[フィッシング] タブで送信者に関する詳細を表示する脅威エクスプローラーを開くリンクが含まれています。

• [類似メール ] セクション: なりすまし検出に関する次の情報が含まれています。

  • Date
  • 件名
  • [受信者]
  • Sender
  • [Sender IP (送信者の IP)]

  [ 列のカスタマイズ] を選択して、表示される列を削除します。 完了したら、[適用] を選択 します。

ヒント

詳細ポップアップを残さずに他のエントリの詳細を表示するには、ポップアップの上部にある Previous 項目 と 次の項目 を使用します。

スプーフィング検出を [許可] から [ブロック ] に、またはその逆に変更するには、次のセクションを参照してください。

スプーフィング インテリジェンスの判定をオーバーライドする

https://security.microsoft.com/spoofintelligenceの [スプーフィング インテリジェンス分析情報] ページで、次のいずれかの方法を使用して、スプーフィング インテリジェンスの判定をオーバーライドします。

• 最初の列の横にあるチェック ボックスをオンにして、一覧から 1 つ以上のエントリを選択します。

  1. 表示される [ Bulk アクション] アクションを選択します。
  2. 開いた [一括操作 ] ポップアップで、[ なりすましを許可する ] または [ スプーフィングからブロック] を選択し、[ 適用] を選択します。

• チェック ボックス以外の行の任意の場所をクリックして、一覧からエントリを選択します。

  開いた詳細ポップアップで、ポップアップの上部にある [ スプーフィングを許可する ] または [スプーフィングをブロック する] を選択し、[ 適用] を選択します。

[スプーフィング インテリジェンス分析情報] ページに戻ると、エントリが一覧から削除され、https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemの [テナントの許可/ブロック リスト] ページの [なりすまし送信者] タブに追加されます。

許可されたなりすましの送信者について

許可されたなりすまし送信者からのメッセージ (自動的に検出または手動で構成) は、スプーフィングされたドメイン と 送信インフラストラクチャの組み合わせを使用してのみ許可されます。 たとえば、次のなりすましの送信者はなりすましが許可されます。

• ドメイン: gmail.com
• インフラストラクチャ: tms.mx.com

スプーフィングできるのは、そのドメイン/送信インフラストラクチャ ペアからの電子メールのみです。 gmail.com をなりすまそうとしている他の送信者は、自動的には許可されません。 tms.mx.com から送信された他のドメインの送信者からのメッセージは、スプーフィング インテリジェンスによって引き続きチェックされ、ブロックされることがあります。

Exchange Online PowerShell またはスタンドアロン EOP PowerShell でスプーフィング インテリジェンスの分析情報を使用する

PowerShell では、 Get-SpoofIntelligenceInsight コマンドレットを使用して、スプーフィング インテリジェンスによって検出された許可およびブロックされたなりすまし送信者を 表示 します。 スプーフィングされた送信者を手動で許可またはブロックするには、 New-TenantAllowBlockListSpoofItems コマンドレットを使用する必要があります。 詳細については、「PowerShell を使用して、テナント許可/ブロック リストでなりすまし送信者の許可エントリを作成する」および「テナント許可/ブロック リストでなりすまし送信者のブロック エントリを作成する PowerShell を使用する」を参照してください。

スプーフィング インテリジェンスの分析情報で情報を表示するには、次のコマンドを実行します。

Get-SpoofIntelligenceInsight

構文とパラメーターの詳細については、「 Get-SpoofIntelligenceInsight」を参照してください。

なりすましとフィッシングを管理するその他の方法

なりすましとフィッシング保護に熱心に取り組む。 ドメインのなりすましを行っている送信者を確認し、組織に損害を与えるのを防ぐのに役立つ関連する方法を次に示します。

• なりすましメール レポートを確認します。 このレポートは、多くの場合、なりすまし送信者の表示と管理に役立ちます。 詳細については、「 なりすまし検出レポート」を参照してください。

• SPF、DKIM、DMARC の構成を確認します。 詳細については、次の記事を参照してください。

  • Microsoft 365 のメール認証
  • SPF を設定して、スプーフィングを防止する
  • DKIM を使用して、カスタム ドメインから送信される送信電子メールを検証する
  • DMARC を使用してメールを検証する
  • 信頼できる ARC シーラーを構成する