疑わしいメール転送アクティビティのアラート分類

適用対象:

• Microsoft Defender XDR

脅威アクターは、ユーザーの受信トレイでのメールの読み取り、外部受信者へのメールの転送、フィッシングメールの送信など、いくつかの悪意のある目的で侵害されたユーザー アカウントを使用できます。 対象ユーザーは、メールが転送されていることを認識できない可能性があります。 これは、ユーザー アカウントが侵害されたときに攻撃者が使用する一般的な戦術です。

メールは、転送ルールを使用して手動または自動で転送できます。 自動転送は、受信トレイ ルール、Exchange トランスポート ルール (ETR)、SMTP 転送など、複数の方法で実装できます。 手動転送ではユーザーからの直接の操作が必要ですが、自動転送されたすべてのメールを認識していない可能性があります。 Microsoft 365 では、ユーザーが悪意のある可能性のあるメール アドレスに電子メールを自動転送すると、アラートが発生します。

このプレイブックは、不審なEmail転送アクティビティ アラートを調査し、真陽性 (TP) または誤検知 (FP) としてすばやく評価するのに役立ちます。 その後、TP アラートに対して推奨されるアクションを実行して、攻撃を修復できます。

Microsoft Defender for Office 365とMicrosoft Defender for Cloud Appsのアラート分類の概要については、概要に関する記事を参照してください。

このプレイブックを使用した結果は次のとおりです。

• 自動転送されたメールに関連付けられているアラートは、悪意のある (TP) アクティビティまたは問題のない (FP) アクティビティとして識別します。

  悪意のある場合は、影響を受けるメールボックスの メール自動転送を停止 します。

• 悪意のあるメール アドレスにメールが転送された場合は、必要なアクションを実行します。

転送ルールのEmail

Email転送ルールを使用すると、ユーザーのメールボックスに送信されたメール メッセージを、organization内または外部の別のユーザーのメールボックスに転送するルールを作成できます。 一部のメール ユーザー (特に複数のメールボックスを持つユーザー) は、勤務先のメールをプライベート メール アカウントに移動するように転送ルールを構成します。 Email転送は便利な機能ですが、情報が漏洩する可能性があるため、セキュリティ リスクを引き起こす可能性もあります。 攻撃者はこの情報を使用して、organizationまたはそのパートナーを攻撃する可能性があります。

疑わしいメール転送アクティビティ

攻撃者は、侵害されたユーザー メールボックス内の受信メールを非表示にして、悪意のあるアクティビティをユーザーから隠すように電子メール ルールを設定する可能性があります。 また、侵害されたユーザー メールボックスにルールを設定してメールを削除したり、メールを RSS フォルダーなどの別のあまり目立たないフォルダーに移動したり、メールを外部アカウントに転送したりすることもできます。

ルールによっては、すべてのメールを別のフォルダーに移動して "読み取り" としてマークする場合もあれば、メール メッセージまたは件名に特定のキーワードを含むメールのみを移動するルールもあります。 たとえば、受信トレイ ルールは、"請求書"、"フィッシング"、"返信しない"、"疑わしいメール"、または "スパム" などのキーワードを検索し、それらを外部のメール アカウントに移動するように設定される場合があります。 攻撃者は、侵害されたユーザー メールボックスを使用して、スパム、フィッシングメール、またはマルウェアを配布する可能性もあります。

Microsoft Defender for Office 365は、疑わしいメール転送ルールを検出してアラートを生成できるため、ソースで非表示のルールを見つけて削除できます。

詳細については、次のブログ投稿を参照してください。

• ビジネス Email侵害
• ビジネス メール侵害の背景: クロスドメイン脅威データを使用して大規模な BEC キャンペーンを中断する

アラートの詳細

[不審なEmail転送アクティビティ] アラートを確認するには、[アラート] ページを開いて [アクティビティの一覧] セクションを表示します。 次に例を示します。

[ アクティビティ] を選択して、サイドバーでそのアクティビティの詳細を表示します。 次に例を示します。

調査ワークフロー

このアラートの調査中に、次の情報を確認する必要があります。

• ユーザー アカウントとそのメールボックスが侵害されていますか?
• アクティビティは悪意がありますか?

ユーザー アカウントとそのメールボックスが侵害されていますか?

送信者の過去の動作と最近のアクティビティを調べることで、ユーザーのアカウントが侵害されたと見なされるかどうかを判断できます。 発生したアラートの詳細は、Microsoft Defender ポータルのユーザーのページから確認できます。

また、影響を受けるメールボックスについて、次の他のアクティビティを分析することもできます。

• 脅威エクスプローラーを使用してメール関連の脅威を理解する

  • 送信者が最近送信したメールのうち、フィッシング、スパム、またはマルウェアとして検出されたメールの数を確認します。
  • 送信された電子メールに機密情報が含まれている数を確認します。

• Microsoft Azure portalでの危険なサインイン動作を評価します。

• ユーザーのデバイスで悪意のあるアクティビティがないか確認します。

アクティビティは悪意がありますか?

電子メール転送アクティビティを調査します。 たとえば、メールの種類、このメールの受信者、メールの転送方法をチェックします。

詳細については、次の記事を参照してください。

• EAC の自動転送メッセージ レポート
• EAC で電子メール分析情報を転送する新しいユーザー
• 侵害された電子メール アカウントへの対応
• Outlook の誤検出と検出漏れを報告する

不審なメール転送アクティビティを特定するワークフローを次に示します。

Microsoft Defender ポータルの機能の可用性に基づいて、Threat エクスプローラーまたは高度なハンティング クエリを使用して、電子メール転送アラートを調査できます。 必要に応じて、プロセス全体またはプロセスの一部に従うことを選択できます。

脅威エクスプローラーの使用

脅威エクスプローラーは、電子メール関連の脅威に対して対話型の調査エクスペリエンスを提供し、このアクティビティが疑わしいかどうかを判断します。 アラート情報から次のインジケーターを使用できます。

• SRL/RL: (不審な) 受信者リスト (SRL) を使用して、次の詳細を見つけます。

  

  • 他に誰がこれらの受信者にメールを転送したのですか?
  • これらの受信者に転送されたメールの数はいくつですか?
  • これらの受信者にメールが転送される頻度はどのくらいですか?

• MTI: メッセージ トレース ID/ネットワーク メッセージ ID を使用して、次の詳細を見つけます。

  

  • このメールに関するその他の詳細は何ですか? たとえば、subject、return path、timestamp などです。
  • このメールの配信元は何ですか? 同様のメールはありますか?
  • このメールには URL が含まれていますか? URL は機密データを指していますか?
  • 電子メールには添付ファイルが含まれていますか? 添付ファイルに機密情報が含まれていますか?
  • 電子メールに対して実行されたアクションは何でしたか? 削除されたか、読み取りとしてマークされたか、別のフォルダーに移動されたか。
  • このメールに脅威は関連付けられていますか? このメールはキャンペーンの一部ですか?

これらの質問に対する回答に基づいて、電子メールが悪意があるか問題ないかを判断できる必要があります。

高度なハンティング クエリ

高度なハンティング クエリを使用してアラートに関連する情報を収集し、アクティビティが疑わしいかどうかを判断するには、次の表にアクセスできることを確認します。

• EmailEvents - 電子メール フローに関連する情報が含まれています。

• EmailUrlInfo - メール内の URL に関連する情報が含まれます。

• CloudAppEvents - ユーザー アクティビティの監査ログが含まれています。

• IdentityLogonEvents - すべてのユーザーのサインイン情報が含まれます。

注:

特定のパラメーターは、organizationまたはネットワークに固有です。 各クエリの指示に従って、これらの特定のパラメーターを入力します。

このクエリを実行して、他の受信者に電子メールを転送したユーザー (SRL/RL) を確認します。

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| distinct SenderDisplayName, SenderFromAddress, SenderObjectId

このクエリを実行して、これらの受信者に転送されたメールの数を確認します。

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress

このクエリを実行して、電子メールがこれらの受信者に転送される頻度を確認します。

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress, bin(Timestamp, 1d)

このクエリを実行して、電子メールに URL が含まれているかどうかを確認します。

let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailUrlInfo
| where NetworkMessageId == mti

このクエリを実行して、電子メールに添付ファイルが含まれているかどうかを確認します。

let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailAttachmentInfo
| where NetworkMessageId == mti

フォワーダー (送信者) が新しいルールを作成したかどうかを調べるには、このクエリを実行します。

let sender = "{SENDER}"; //Replace {SENDER} with display name of Forwarder
let action_types = pack_array(
    "New-InboxRule",
    "UpdateInboxRules",
    "Set-InboxRule",
    "Set-Mailbox",
    "New-TransportRule",
    "Set-TransportRule");
CloudAppEvents
| where AccountDisplayName == sender
| where ActionType in (action_types)

このクエリを実行して、このユーザーからの異常なサインイン イベントがあるかどうかを確認します。 たとえば、不明な IP、新しいアプリケーション、一般的でない国/地域、複数の LogonFailed イベントなどです。

let sender = "{SENDER}"; //Replace {SENDER} with email of the Forwarder
IdentityLogonEvents
| where AccountUpn == sender

転送ルールの調査

また、ルールの種類 (アラートの FT 値) に基づいて、Exchange 管理センターを使用して疑わしい転送ルールを見つけることもできます。

• ETR

  Exchange トランスポート ルールは、[ ルール ] セクションに一覧表示されます。 すべてのルールが想定どおりにであることを確認します。

• SMTP

  メールボックス転送ルールを表示するには、送信者のメールボックス > [メール フローの設定>の管理] Email [編集] を>選択します。

• InboxRule

  受信トレイ ルールは、電子メール クライアントで構成されます。 Get-InboxRule PowerShell コマンドレットを使用して、ユーザーによって作成された受信トレイ ルールを一覧表示できます。

追加の調査

これまでに検出された証拠と共に、新しい転送ルールが作成されているかどうかを判断できます。 ルールに関連付けられている IP アドレスを調査します。 異常な IP アドレスではなく、ユーザーが実行する通常のアクティビティと一致していることを確認します。

推奨処理

関連付けられているアクティビティによってこのアラートが True Positive になると判断したら、アラートを分類し、修復のために次のアクションを実行します。

1. 受信トレイ転送ルールを無効にして削除します。

2. InboxRule 転送の種類として、ユーザーのアカウント資格情報をリセットします。

3. SMTP または ETR 転送の種類については、アラートを作成したユーザー アカウントのアクティビティを調査します。

   • その他の疑わしい管理アクティビティを調査します。

   • ユーザー アカウントの資格情報をリセットします。

4. 影響を受けたアカウント、IP アドレス、疑わしい送信者から発生したその他のアクティビティを確認します。

関連項目

• アラート分類の概要
• 疑わしい受信トレイ転送ルール
• 疑わしい受信トレイ操作ルール
• アラートの調査

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。