EOP のマルウェア対策保護

ヒント

Office 365プラン2のMicrosoft 365 Defenderの機能を無料で試すことができることをご存知でしたか? Microsoft 365 Defender ポータル試用版ハブで 90 日間のDefender for Office 365試用版を使用します。 サインアップできるユーザーと試用版の条件については、 こちらを参照してください。

適用対象

• Exchange Online Protection
• Microsoft Defender for Office 365 プラン 1 およびプラン 2
• Microsoft 365 Defender

Exchange Online のメールボックスを使用している Microsoft 365 の組織、または Exchange Online のメールボックスを使用していないものの、スタンドアロンの Exchange Online Protection (EOP) をお使いの組織の場合、メール メッセージは EOP によってマルウェアから自動的に保護されます。 マルウェアの主なカテゴリーには次のようなものがあります。

• 他のプログラムやデータに感染し、感染するプログラムを探しているコンピュータまたはネットワークを介して広がるウイルス。
• サインイン情報や個人データなどの個人情報を収集し、作成者に送信するスパイウェア。
• ランサムウェアは、データを暗号化し、暗号化解除のための支払いを要求します。 マルウェア対策ソフトウェアは、暗号化されたファイルの暗号化を解除するのに役立ちませんが、ランサムウェアに関連付けられているマルウェア ペイロードを検出できます。

EOP は、組織内外に移動する Windows、Linux、Mac のすべての既知のマルウェアをキャッチするように設計された多層マルウェア保護を提供します。 次のオプションは、マルウェア対策保護を提供します。

• 階層化された対マルウェア防御: 複数のマルウェア対策スキャン エンジンによって、既知の脅威と未知の脅威の両方から保護します。 これらのエンジンには、強力な発見的検出機能が組み込まれており、マルウェアのアウトブレイクの初期段階であっても保護が可能です。 このマルチエンジン アプローチが、1 種類のマルウェア対策エンジンを使用するよりはるかに強力な保護を提供することは明らかです。
• リアルタイムの脅威対応: 一部の大規模感染時に、マルウェア対策チームは、ウイルスやその他の形式のマルウェアに関する十分な情報を持ち、サービスで使用されるスキャン エンジンから定義を入手する前であっても、脅威を検出する高度なポリシー ルールを記述できる可能性があります。 これらのルールは、グローバル ネットワークで 2 時間ごとに公開されるため、各組織はそれを使用して攻撃に対する保護層をさらに強化できます。
• マルウェア対策定義の迅速な展開: マルウェア対策チームは、マルウェア対策エンジンを開発するパートナーとの緊密な関係を維持します。 その結果、サービスは、マルウェア定義が一般にリリースされる前に、その定義を受け取って統合し修正することができます。 多くの場合、これらのパートナーとの関係が、Microsoft 独自の優れた修正方法の開発につながっています。 サービスは、すべてのマルウェア対策エンジンの更新された定義を 1 時間ごとに確認します。

EOP では、 添付 ファイルにマルウェアが含まれていると検出されたメッセージが検疫されます。 受信者が検疫されたメッセージを表示できるか、それ以外の方法で操作できるかは、 検疫ポリシーによって制御されます。 既定では、マルウェアが原因で検疫されたメッセージは、管理者のみが表示および解放できます。 詳細については、次のトピックをご覧ください。

• 検疫ポリシー
• 検疫されたメッセージとファイルを管理者として EOP で管理します。

次のセクションで説明するように、マルウェア対策ポリシーには 一般的な添付ファイル フィルターも含まれています。 指定したファイルの種類を含むメッセージは 、マルウェアとして自動的に 識別されます。 メッセージを検疫するか拒否するかを選択できます。

マルウェア対策保護の詳細については、「 マルウェア対策の保護に関する FAQ」を参照してください。

マルウェア対策ポリシーを構成するには、「 マルウェア対策ポリシーを構成する」を参照してください。

Microsoft にマルウェアを送信するには、「 メッセージとファイルを Microsoft に報告する」を参照してください。

マルウェア対策ポリシー

マルウェア対策ポリシーは、マルウェア検出の設定と通知オプションを制御します。 マルウェア対策ポリシーの重要な設定は次のとおりです。

• 受信者フィルター: カスタムマルウェア対策ポリシーの場合は、ポリシーが適用されるユーザーを決定する受信者の条件と例外を指定できます。 条件や例外には次のプロパティを使用できます。

  • Users
  • グループ
  • ドメイン

  各条件や例外は 1 回しか使用できませんが、条件や例外には複数の値を含めることができます。 同じ条件や例外に複数の値がある場合は、OR ロジック (たとえば、<recipient1> or <recipient2>) を使用します。 別の条件や例外がある場合は AND ロジック (たとえば、<recipient1> and <member of group 1>) を使用します。

  重要

  複数の異なる条件または例外は可算的ではありません。包括的です。 ポリシーは、指定されたすべての受信者フィルターに一致する受信者にのみ適用されます。 たとえば、次の値を使用してポリシーで受信者フィルター条件を構成します:

  • ユーザー： romain@contoso.com
  • グループ: エグゼクティブ

  ポリシーは、エグゼクティブ グループのメンバーでもある場合にのみ適用romain@contoso.comされます。 グループのメンバーでない場合、ポリシーは適用されません。

  同様に、ポリシーの例外として同じ受信者フィルターを使用する場合、ポリシーは、エグゼクティブ グループのメンバーでもある場合にのみ適用romain@contoso.comされません。 グループのメンバーでない場合でも、ポリシーは適用されます。

• 一般的な添付ファイル フィルターを有効にする: 電子メールで送信してはならない特定の種類のファイル (実行可能ファイルなど) があります。 とにかく、これらのタイプのファイルをマルウェアでスキャンする必要があるのはなぜですか? そこで、一般的な添付ファイル フィルターが表示されます。 指定したファイルの種類は、自動的にマルウェアとして扱われます。

  • 既定のファイルの種類: ace, apk, app, appx, ani, arj, bat, cab, cmd,com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z。

  • Microsoft 365 Defender ポータル^*で選択できるその他の定義済みファイルの種類: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bin, bundle, bz, bz2, bzip2, cab, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dot, dotm, dtox, dylib, font, gz, gzip, hlp, htm, html, imp, inf, ins, ipa, isp, its, jnlp, js, jse, ksh, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, package, pages, pbix, pdb, pdf, php, pkg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shtm, shx, so, tar, tarz, terminal, tgz, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, zi, zip, zipx。

    ^*Defender ポータルで任意のテキスト値を入力するか、PowerShell の New-MalwareFilterPolicy コマンドレットまたは Set-MalwareFilterPolicy コマンドレットで FileTypes パラメーター Exchange Online使用できます。

  一般的な添付ファイル フィルターでは、ファイル名拡張子に関係なく、ベスト エフォートの true 型指定を使用してファイルの種類を検出します。 true 型指定が失敗した場合、または指定したファイルの種類でサポートされていない場合は、単純な拡張機能の一致が使用されます。

  • これらのファイルの種類が見つかった場合: ファイルが共通の添付ファイル フィルターによって検出された場合は、[ 配信不能レポート (NDR)] または [ メッセージの検疫] を選択できます。

• マルウェアの 0 時間自動消去 (ZAP): マルウェアがExchange Onlineメールボックスに配信された後にマルウェアが含まれていると検出されたマルウェア検疫メッセージの ZAP。 既定では、マルウェアに対する ZAP が有効になっていて、オンのままにしておくことをお勧めします。

• 検疫ポリシー: マルウェアとして検疫されたメッセージに適用される検疫ポリシーを選択します。 検疫ポリシーは、検疫されたメッセージに対してユーザーが実行できる操作と、ユーザーが検疫通知を受け取るかどうかを定義します。 既定では、受信者はマルウェアとして検疫されたメッセージの通知を受け取りません。 詳細については、「検疫ポリシー」を参照してください。

• 管理通知: 内部または外部の送信者からのメッセージで検出されたマルウェアの通知を受信する追加の受信者 (管理者) を指定できます。 内部通知と外部通知の 送信元アドレス、 件名、 およびメッセージ テキスト をカスタマイズできます。

  注:

  管理者の通知は、マルウェアとして分類された添付ファイルについてのみ送信されます。

  マルウェア対策ポリシーに割り当てられた検疫ポリシーは、受信者がマルウェアとして検疫されたメッセージの電子メール通知を受信するかどうかを決定します。

• 優先度: 複数のカスタムマルウェア対策ポリシーを作成する場合は、適用する順序を指定できます。 2つのポリシーが同じ優先順位を持つことはできません。最初のポリシーが適用されると、ポリシーの処理は停止します。

  優先順位と複数のポリシーを評価し適用する方法の詳細については、「メール保護の優先順位」を参照してください。

Microsoft 365 Defender ポータルと PowerShell のマルウェア対策ポリシー

マルウェア対策ポリシーの基本的な要素は次のとおりです。

• マルウェア フィルター ポリシー: 受信者通知、送信者と管理者の通知、ZAP、および一般的な添付ファイル フィルター設定を指定します。
• マルウェア フィルター規則: マルウェア フィルター ポリシーの優先度と受信者フィルター (ポリシーが適用されるユーザー) を指定します。

これらの 2 つの要素の違いは、Microsoft 365 Defender ポータルでマルウェア対策ポリシーを管理する場合には明らかではありません。

• マルウェア対策ポリシーを作成すると、実際には、両方に同じ名前を使用して、マルウェア フィルター ルールと関連するマルウェア フィルター ポリシーが同時に作成されます。
• マルウェア対策ポリシーを変更すると、名前、優先度、有効または無効、および受信者フィルターに関連する設定によってマルウェア フィルター規則が変更されます。 その他の設定 (受信者通知、送信者と管理者の通知、ZAP、および一般的な添付ファイル フィルター) は、関連付けられているマルウェア フィルター ポリシーを変更します。
• マルウェア対策ポリシーを削除すると、マルウェア フィルター規則と関連するマルウェア フィルター ポリシーが削除されます。

PowerShell またはスタンドアロン EOP PowerShell Exchange Onlineでは、マルウェア フィルター ポリシーとマルウェア フィルター 規則の違いが明らかです。 マルウェア フィルター ポリシーは 、*-MalwareFilterPolicy コマンドレットを使用して管理し、 *-MalwareFilterRule コマンドレットを使用してマルウェア フィルター規則を管理します。

• PowerShell では、最初にマルウェア フィルター ポリシーを作成してから、ルールが適用されるポリシーを識別するマルウェア フィルター 規則を作成します。
• PowerShell では、マルウェア フィルター ポリシーとマルウェア フィルター規則の設定を個別に変更します。
• PowerShell からマルウェア フィルター ポリシーを削除しても、対応するマルウェア フィルター規則は自動的に削除されません。その逆も同様です。

既定のマルウェア対策ポリシー

すべての組織には、Default という名前の組み込みのマルウェア対策ポリシーがあり、次のプロパティがあります。

• ポリシーに関連付けられているマルウェア フィルター規則 (受信者フィルター) がない場合でも、ポリシーは組織内のすべての受信者に適用されます。
• ポリシーにはカスタムの優先順位の値 Lowest が設定されており、変更することはできません (このポリシーは常に最後に適用されます)。 作成するどのカスタムのマルウェア対策ポリシーも、Default という名前のポリシーより高い優先順位を持ちます。
• ポリシーは既定のポリシー (IsDefault のプロパティが True の値になっている) であり、既定のポリシーを削除することはできません。