EOP のスプーフィング対策保護

ヒント

Office 365プラン2のMicrosoft 365 Defenderの機能を無料で試すことができることをご存知でしたか? Microsoft 365 Defender ポータル試用版ハブで 90 日間のDefender for Office 365試用版を使用します。 サインアップできるユーザーと試用版の条件については、 こちらを参照してください。

適用対象

• Exchange Online Protection
• Microsoft Defender for Office 365 プラン 1 およびプラン 2
• Microsoft 365 Defender

Exchange Online のメールボックスを使用している Microsoft 365 組織または Exchange Online のメールボックスを使用していないスタンドアロンの Exchange Online Protection (EOP) 組織では、なりすましの (偽装) 送信者から組織を保護するための機能が EOP に含まれています。

ユーザーの保護について、Microsoft はフィッシングの脅威を重大視しています。 スプーフィングは、攻撃者が一般的に使用する手法です。 スプーフィングされたメッセージは、実際の送信元とは異なるユーザーまたは場所から発信されたように見えます。 この手法は、多くの場合、ユーザーの認証情報を詐取しようとするフィッシング活動で使用されます。 EOP のスプーフィング対策テクノロジは、メッセージ本文の From ヘッダー (メール クライアントでメッセージ送信者を表示するために使用されます) の偽造を特に調べます。 EOP が From へッダーが偽造されていると判断する場合、メッセージはスプーフィングされたものとして識別されます。

EOP では、次のスプーフィング対策テクノロジを使用できます。

• メール認証: スプーフィング対策の不可欠な部分は、DNS のSPF、DKIM、DMARC レコードによるメール認証 (メール検証とも呼ばれます) を使用することです。 ドメインのこれらのレコードを構成して、送信先のメール システムがドメインの送信者からのものであると主張するメッセージの有効性をチェックできるようにすることができます。 受信メッセージの場合、Microsoft 365 では送信者のドメインのメール認証が必要です。 詳細については、「Microsoft 365 でのメール認証」をご覧ください。

  EOP は、標準のメール認証方法と送信者評価手法の組み合わせによって認証されないメッセージを分析してブロックします。

  

• スプーフィング インテリジェンス分析: 7 日間で内部および外部ドメインの送信者からのスプーフィングされたメッセージを確認し、その送信者を許可またはブロックします。 詳細については、「EOP でのスプーフィング インテリジェンス分析」を参照してください。

• テナント許可/ブロックリストでなりすまし送信者を許可またはブロックする: スプーフィング インテリジェンス分析情報で判定をオーバーライドすると、なりすまし送信者は、テナント許可/ブロックリストの [ なりすまし送信者 ] タブにのみ表示される手動の許可またはブロックエントリになります。 また、スプーフィング インテリジェンスで検出される前に、手動でなりすまし送信者の許可またはブロック エントリを作成することもできます。 詳細については、「EOP でテナント許可/ブロック リストを管理する」を参照してください。

• フィッシング詐欺対策ポリシー: EOP と Microsoft Defender for Office 365 では、フィッシング詐欺対策ポリシーに以下のなりすまし対策の設定が含まれます。

  • スプーフィング インテリジェンスのオン/オフを切り替える。
  • Outlook で認証されていない送信者インジケーターをオンまたはオフにします。
  • なりすまし送信者をブロックするアクションを指定する。

  詳細については、「フィッシング詐欺対策ポリシーでのなりすまし設定」を参照してください。

  注: Defender for Office 365 のフィッシング対策ポリシーには、なりすまし保護などの保護機能が追加されています。 詳細については、「Microsoft Defender for Office 365 のフィッシング対策ポリシーにおける排他的な設定」を参照してください。

• スプーフィング検出レポート: 詳細については、「スプーフィング検出レポート」を参照してください。

  注: Microsoft Defender for Office 365 の組織は、「リアルタイム検出」(プラン 1) または「Threat Explorer」(プラン 2) を使用して、フィッシングの試行に関する情報を表示することもできます。 詳細については、「Microsoft 365 脅威の調査と対応」をご覧ください。

フィッシング攻撃でスプーフィングが使用される方法

スプーフィング メッセージは、ユーザーに次のようなの悪影響を及ぼします。

• ユーザーがスプーフィングされたメッセージにだまされる: スプーフィングされたメッセージが受信者にリンクをクリックするように誘導し、認証情報を提出させたり、マルウェアをダウンロードさせたり、機密コンテンツを含めてメッセージに返信させたりします (ビジネス メール詐欺または BEC と呼ばれます)。

  以下のメッセージは、なりすましの差出人 msoutlook94@service.outlook.com を使ったフィッシングの例です。

  

  このメッセージは service.outlook.com から送信されていまでしたが、攻撃者は From ヘッダー フィールドをスプーフィングして、そこから送信されたように見せかけていました。 これは、受信者をだまして、パスワードを変更するリンクをクリックさせたり、認証情報を提供させたりしようとする試みでした。

  次のメッセージは、スプーフィングされたメールドメイン contoso.com を使用する BEC の例です。

  

  メッセージは正当なものに見えますが、送信者はスプーフィングされています。

• ユーザーが本物と偽物のメッセージを混同する: フィッシング詐欺を知っているユーザーでも、実際のメッセージとスプーフィングされたメッセージの違いを見分けるのが難しい可能性があります。

  次のメッセージは、Microsoft Security アカウントからの実際のパスワード リセット メッセージの例です。

  

  メッセージは実際には Microsoft から送信されたものですが、ユーザーは疑っています。 本物と偽物のパスワード リセット メッセージを見分けることが難しいため、ユーザーは、メッセージを無視したり、スパムとして報告したり、フィッシング詐欺として Microsoft に不要な報告を返したりすることがあります。

スプーフィングのさまざまな種類

Microsoft では、2 種類のスプーフィングされたメッセージを区別しています。

• 組織内スプーフィング: 自己完結型スプーフィングとも呼ばれます。 以下に例を示します。

  • 送信者と受信者は同じドメインにあります。

    差出人: chris@contoso.com
    宛先: michelle@contoso.com

  • 送信者と受信者は同じドメインのサブドメインにあります。

    差出人: laura@marketing.fabrikam.com
    宛先: julia@engineering.fabrikam.com

  • 送信者と受信者は同じ組織に属する異なるドメインに属しています (つまり、両方のドメインが同じ組織内の承認済みドメインとして構成されています)。

    From: sender @ microsoft.com
    To: recipient @ bing.com

    スパムボットの収集活動を阻止するために、メールアドレスにスペースが使用されます。

  組織内のスプーフィングのために複合認証に失敗したメッセージには、次のヘッダー値が含まれます。

  Authentication-Results: ... compauth=fail reason=6xx

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11

  • reason=6xx は組織内スプーフィングを示します。

  • SFTY はメッセージの安全レベルです。 9 はフィッシング詐欺、11 は組織内スプーフィングを示します。

• クロスドメイン スプーフィング: 送信者ドメインと受信者ドメインは異なり、互いに関係がありません (外部ドメインとも呼ばれます)。 例:

  差出人: chris@contoso.com
  宛先: michelle@tailspintoys.com

  クロスドメイン スプーフィングのために複合認証に失敗したメッセージには、次のヘッダー値が含まれます。

  Authentication-Results: ... compauth=fail reason=000/001

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22

  • reason=000 は、メッセージが明示的なメール認証に失敗したことを示します。 reason=001 は、メッセージが暗黙的なメール認証に失敗したことを示します。

  • SFTY はメッセージの安全レベルです。 9 はフィッシング詐欺、22 はクロスドメイン スプーフィングを示します。

注:

compauth=fail reason=### のようなメッセージが表示され、複合認証 (compauth) となりすましに関連する値について知る必要がある場合は、「Microsoft 365 のスパム対策メッセージ ヘッダー」を参照してください。 または、 reason コードに直接移動します。

DMARC の詳細については、「DMARC を使用して Microsoft 365 でメールを検証する」を参照してください。

スプーフィング対策保護の問題

メーリング リスト (ディスカッション リストとも呼ばれます) では、メッセージの転送方法と変更方法が原因で、スプーフィング対策に関する問題があることがわかっています。

たとえば、Gabriela Laureano (glaureano@contoso.com) はバード ウォッチングに関心があり、メーリング リスト birdwatchers@fabrikam.comに参加し、次のメッセージをリストに送信します。

差出人: "Gabriela Laureano" <glaureano@contoso.com>
宛先: Birdwatcher のディスカッション リスト<birdwatchers@fabrikam.com>
件名: 今週、レーニア山からアオカケス を見ることができます

今週、レーニア山からの風景を 眺めてみませんか?

メーリングリスト サーバーはメッセージを受信し、その内容を変更して、リストのメンバーにリプレイします。 再生されたメッセージの From アドレス (glaureano@contoso.com) は同じですが、件名行にタグが追加され、フッターがメッセージの下部に追加されます。 この種の変更は、メーリング リストでは一般的なものですが、スプーフィングの誤検出の原因になることがあります。

差出人: "Gabriela Laureano" <glaureano@contoso.com>
宛先: Birdwatcher のディスカッション リスト<birdwatchers@fabrikam.com>
件名: [BIRDWATCHERS] 今週、レーニア山からアオカケス を見ることができます

今週、レーニア山からの風景を 眺めてみませんか?

このメッセージは、Birdwatchers ディスカッション リストに送信されました。 いつでも購読を解除できます。

メーリング リストのメッセージがスプーフィング対策チェックにパスできるようにするには、メーリングリストを制御するかどうかに応じて、次の手順を実行します。

• 組織でメーリング リストを所有している場合:

  • DMARC.org で次のよくある質問を確認してください: I operate a mailing list and I want to interoperate with DMARC, what should I do?。

  • 次のブログ記事の手順を参照してください: DMARC との相互運用で失敗を回避するためのメーリング リスト運営者向けのヒント。

  • メーリング リスト サーバーに ARC をサポートする更新プログラムをインストールすることを検討してください (http://arc-spec.org を参照)。

• 組織でメーリング リストを所有していない場合:

  • メーリング リストの管理者に、メーリング リストがリレーしているドメインのメール認証を構成するように依頼します。

    ドメインの所有者に対して相当数の送信者が電子メール認証レコードの設定が必要なことを返信することで、ドメインの所有者の行動を促します。 Microsoft は必要なレコードを公開するためにドメインの所有者と協力しますが、個々のユーザーの要求が大きな支援になります。

  • メール クライアントで、メッセージを受信トレイに移動する受信トレイ ルールを作成してください。 また、「EOP でのスプーフィング インテリジェンス分析」や「テナントの許可/ブロック リストを管理する」で説明しているように、管理者に上書きの構成を依頼することもできます。

  • ナントの許可/禁止リストを使用して、メーリング リストを正当なものとして扱うためのオーバーライドを作成します。 詳細については、「 なりすまし送信者の許可エントリを作成する」を参照してください。

他のすべてが失敗した場合は、Microsoft に対してメッセージを誤検知として報告できます。 詳細については、「メッセージとファイルを Microsoft に報告する」を参照してください。

スプーフィング対策保護に関する考慮事項

現在、Microsoft 365 にメッセージを送信している管理者である場合は、メールが正しく認証されていることを確認する必要があります。 それ以外の場合は、スパムまたはフィッシング詐欺としてマークされる可能性があります。 詳細については、「認証されていないメールを送信している正当な送信者のためのソリューション」をご覧ください。

個人ユーザー (または管理者) の [信頼できる差出人のリスト] に含まれる送信者は、スプーフィング保護を含む、フィルター処理スタックの一部をバイパスします。 詳細については、「Outlook の信頼できる差出人」を参照してください。

管理者は、可能な場合、許可された送信者リストまたは許可されたドメイン リストを使用して回避する必要があります。 これらの送信者は、迷惑メール、スプーフィング、およびフィッシング詐欺保護をすべてバイパスします。また、送信者認証 (SPF、DKIM、DMARC) も使用できません。 詳細については、「許可された送信者リストまたは許可されたドメイン リストを使用する」を参照してください。