詳細については、「EOP のスプーフィング インテリジェンス分析」を参照してください。

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用しますこちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

Exchange Online メールボックスのないExchange Onlineまたはスタンドアロン Exchange Online Protection (EOP) 組織のメールボックスを持つ Microsoft 365 組織では、受信メール メッセージはスプーフィングから自動的に保護されます。 EOP は、フィッシングに対するorganizationの全体的な防御の一部としてなりすましインテリジェンスを使用します。 詳細については、「 EOP でのなりすまし対策保護」を参照してください。

送信者がメール アドレスになりすました場合、送信者は組織のドメインの 1 つのユーザーであるか、組織に電子メールを送信する外部ドメインのユーザーである可能性があります。 送信者を偽装してスパムまたはフィッシングメールを送信する攻撃者は、ブロックする必要があります。 しかし、正当な送信者がなりすましを行うシナリオもあります。 例:

  • 内部ドメインのスプーフィングに関する正当なシナリオ:

    • サードパーティの送信者が、ドメインを使用して、会社の投票のために自分の従業員にバルク メールを送信する場合。
    • 外部企業は、広告または製品の更新を生成して送信します。
    • アシスタントは、組織内の別のユーザーの電子メールを定期的に送信する必要があります。
    • 内部アプリケーションは電子メール通知を送信します。

  • 外部ドメインのスプーフィングに関する正当なシナリオ:

    • 送信者はメーリング リスト (ディスカッション リストとも呼ばれます) にあり、メーリング リストは元の送信者からのメールをメーリング リストのすべての参加者に中継します。
    • 外部企業は、別の会社 (例えば、自動化されたレポートやサービスとしてのソフトウェア企業など) に代わって電子メールを送信します。

Microsoft Defender ポータルのスプーフィング インテリジェンスの分析情報を使用して、認証されていないメール (SPF、DKIM、または DMARC チェックに合格しないドメインからのメッセージ) を正当に送信しているなりすまし送信者をすばやく特定し、それらの送信者を手動で許可できます。

既知の送信者が既知の場所からなりすましメッセージを送信できるようにすることで、誤検知 (不適切とマークされた良好なメール) を減らすことができます。 許可されたなりすまし送信者を監視することで、安全でないメッセージがorganizationに到着するのを防ぐためのセキュリティレイヤーを追加します。

同様に、スプーフィング インテリジェンスの分析情報を使用して、なりすましインテリジェンスによって許可されたなりすまし送信者を確認し、それらの送信者を手動でブロックできます。

この記事の残りの部分では、Microsoft Defender ポータルと PowerShell (Exchange Online PowerShell for Microsoft 365 組織でメールボックスがExchange Onlineにメールボックスがある場合は PowerShell、Exchange Onlineのない組織のスタンドアロン EOP PowerShell) でスプーフィング インテリジェンスの分析情報を使用する方法について説明します。メールボックス)。

注:

  • スプーフィング インテリジェンスによって検出されたなりすましの送信者のみが、スプーフィング インテリジェンス分析情報に表示されます。 分析情報で許可またはブロックの判定をオーバーライドすると、なりすましされた送信者は、 の [テナント許可/ブロック] Lists ページhttps://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemの [なりすまし送信者] タブにのみ表示される手動の許可またはブロック エントリになります。 また、スプーフィング インテリジェンスで検出される前に、手動でなりすましの送信者の許可またはブロック エントリを作成することもできます。 詳細については、「 テナント許可/ブロック リストのなりすまし送信者」を参照してください

  • スプーフィング インテリジェンス分析情報の [アクション ] 値 [ 許可] または [ブロック ] は、スプーフィング 検出 を指します (Microsoft 365 がメッセージをスプーフィングとして識別したかどうか)。 アクション値は、メッセージの全体的なフィルター処理に必ずしも影響を与えるわけではありません。 たとえば、誤検知を回避するために、悪意がない場合は、なりすましメッセージが配信される可能性があります。

  • [テナントの許可/ブロック] リストのスプーフィング インテリジェンス分析情報と [ なりすまし送信者 ] タブは、セキュリティ & コンプライアンス センターのスパム対策ポリシー ページで使用できるスプーフィング インテリジェンス ポリシーの機能を置き換えます。

  • スプーフィング インテリジェンスの分析情報には、7 日分のデータが表示されます。 Get-SpoofIntelligenceInsight コマンドレットには、30 日分のデータが表示されます。

はじめに把握しておくべき情報

Microsoft Defender ポータルでスプーフィング インテリジェンスの分析情報を見つける

  1. のMicrosoft Defender ポータルでhttps://security.microsoft.com、[ルール] セクションの [Email & コラボレーション>ポリシー] & [脅威>ポリシー>] [テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、 を使用https://security.microsoft.com/tenantAllowBlockListします。

  2. [ なりすまし送信者 ] タブを選択します。

  3. [ スプーフィングされた送信者 ] タブでは、スプーフィング インテリジェンスの分析情報は次のようになります。

    フィッシング対策ポリシー ページのスプーフィング インテリジェンスの分析情報

    分析情報には、次の 2 つのモードがあります。

    • 分析情報モード: スプーフィング インテリジェンスが有効になっている場合、分析情報には、過去 7 日間にスプーフィング インテリジェンスによって検出されたメッセージの数が表示されます。
    • モードの場合: スプーフィング インテリジェンスが無効になっている場合、分析情報には、過去 7 日間にスプーフィング インテリジェンスによって検出 された メッセージの数が表示されます。

スプーフィング インテリジェンス検出に関する情報を表示するには、なりすましインテリジェンス分析情報で [スプーフィング アクティビティの表示 ] を選択して、[ なりすましインテリジェンス分析情報 ] ページに移動します。

なりすまし検出に関する情報を表示する

注:

このページには、スプーフィング インテリジェンスによって検出されたなりすまし送信者のみが表示されることに注意してください。

[スプーフィング インテリジェンス分析情報] ページhttps://security.microsoft.com/spoofintelligenceは、[テナントの許可/ブロック] Lists ページの [なりすましの送信者] タブのスプーフィング インテリジェンス分析情報から [スプーフィング アクティビティの表示] を選択したときに使用できます。

[ スプーフィング インテリジェンス分析情報 ] ページで、使用可能な列ヘッダーをクリックしてエントリを並べ替えることができます。 次の列を使用できます。

  • スプーフィングされたユーザー: メール クライアントの [出人] ボックスに表示されるなりすましユーザーのドメイン。 From アドレスは、アドレスとも呼ばれます 5322.From
  • 送信インフラストラクチャ: インフラストラクチャとも呼ばれます。 送信インフラストラクチャは、次のいずれかの値です。
    • 送信元メール サーバーの IP アドレスの逆引き DNS 参照 (PTR レコード) で見つかったドメイン。
    • 送信元 IP アドレスに PTR レコードがない場合、送信インフラストラクチャは、<発信元 IP>/24 (たとえば、192.168.100.100/24) として識別されます。
    • 検証済みの DKIM ドメイン。
  • メッセージ数: 過去 7 日以内にスプーフィングされたドメイン送信インフラストラクチャの組み合わせからorganizationへのメッセージの数。
  • 最終表示日: スプーフィングされたドメインを含む送信インフラストラクチャからメッセージが受信された最後の日付。
  • スプーフィングの種類: 次のいずれかの値。
    • 内部: なりすまし送信者は、organization (承認済みドメイン) に属するドメイン内にあります。
    • 外部: スプーフィングされた送信者が外部ドメインにあります。
  • アクション: この値は [許可] または [ブロック] です
    • 許可: ドメインで明示的な電子メール認証チェック SPFDKIMDMARC が失敗しました。 ただし、ドメインは暗黙的な電子メール認証チェックに合格しました (複合認証)。 その結果、メッセージに対してスプーフィング対策アクションは実行されませんでした。
    • ブロック: スプーフィングされたドメイン 送信インフラストラクチャの組み合わせからのメッセージは、スプーフィング インテリジェンスによって無効としてマークされます。 悪意のあるなりすましメッセージに対して実行されるアクションは、 Standard または Strict の事前設定されたセキュリティ ポリシー、既定のフィッシング対策ポリシー、またはカスタムのフィッシング対策ポリシーによって制御されます。 詳細情報については、「Microsoft Defender for Office 365 のフィッシング詐欺対策ポリシーを構成する」を参照してください。

スプーフィングされた送信者の一覧を通常の間隔からコンパクトな間隔に変更するには、[リストの間隔をコンパクトまたは標準に変更する] を選択し、[コンパクト リスト] を選択します。

エントリをフィルター処理するには、[フィルター] を選択 します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。

  • スプーフィングの種類: 使用可能な値は 内部外部です。
  • アクション: 使用可能な値は [許可] と [ブロック] です

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[フィルターのクリア] を選択 します

Search ボックスと対応する値を使用して、特定のエントリを検索します。

[エクスポート] を使用して、なりすまし検出の一覧を CSV ファイルにエクスポートします。

なりすまし検出の詳細を表示する

最初の列の横にある [チェック] ボックス以外の行をクリックして、一覧からスプーフィング検出を選択すると、次の情報を含む詳細ポップアップが開きます。

  • なぜ私たちはこれをキャッチしたのですか? セクション: この送信者がスプーフィングとして検出された理由と、詳細については何ができるか。

  • [ドメインの概要] セクション: メインスプーフィング インテリジェンス分析情報ページから同じ情報が含まれます。

  • WhoIs データ セクション: 送信者のドメインに関する技術情報。

  • エクスプローラー調査セクション: Defender for Office 365 organizationでは、このセクションには[脅威] エクスプローラーを開き、[フィッシング] タブで送信者に関する詳細を表示するためのリンクが含まれています。

  • [類似メール ] セクション: なりすまし検出に関する次の情報が含まれています。

    • Date
    • 件名
    • [受信者]
    • Sender
    • [Sender IP (送信者の IP)]

    [ 列のカスタマイズ] を選択して、表示される列を削除します。 完了したら、[適用] を選択 します

ヒント

詳細ポップアップを残さずに他のエントリの詳細を表示するには、ポップアップの上部にある [前の項目] と [次の項目] を使用します。

スプーフィング検出を [許可] から [ブロック ] に、またはその逆に変更するには、次のセクションを参照してください。

スプーフィング インテリジェンスの判定をオーバーライドする

[スプーフィング インテリジェンス分析情報 ] ページで https://security.microsoft.com/spoofintelligence、次のいずれかの方法を使用して、スプーフィング インテリジェンスの判定をオーバーライドします。

  • 最初の列の横にある [チェック] ボックスを選択して、一覧から 1 つ以上のエントリを選択します。

    1. 表示される [ 一括アクション] アクションを選択します。
    2. 開いた [一括操作 ] ポップアップで、[ なりすましを許可する ] または [ スプーフィングからブロック] を選択し、[ 適用] を選択します。

  • [チェック] ボックス以外の行の任意の場所をクリックして、一覧からエントリを選択します。

    開いた詳細ポップアップで、ポップアップの上部にある [ スプーフィングを許可する ] または [スプーフィングをブロック する] を選択し、[ 適用] を選択します。

[スプーフィング インテリジェンス分析情報] ページに戻ると、エントリが一覧から削除され、 の [テナントの許可/ブロック] Lists ページの [なりすまし送信者] タブにhttps://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem追加されます。

許可されたなりすましの送信者について

許可されたなりすまし送信者からのメッセージ (自動的に検出または手動で構成) は、スプーフィングされたドメイン 送信インフラストラクチャの組み合わせを使用してのみ許可されます。 たとえば、次のなりすましの送信者はなりすましが許可されます。

  • ドメイン: gmail.com
  • インフラストラクチャ: tms.mx.com

スプーフィングできるのは、そのドメイン/送信インフラストラクチャ ペアからの電子メールのみです。 gmail.com をなりすまそうとしている他の送信者は、自動的には許可されません。 tms.mx.com から送信された他のドメインの送信者からのメッセージは、スプーフィング インテリジェンスによって引き続きチェックされ、ブロックされることがあります。

Exchange Online PowerShell またはスタンドアロン EOP PowerShell でスプーフィング インテリジェンスの分析情報を使用する

PowerShell では、 Get-SpoofIntelligenceInsight コマンドレットを使用して、スプーフィング インテリジェンスによって検出された許可およびブロックされたなりすまし送信者を 表示 します。 スプーフィングされた送信者を手動で許可またはブロックするには、 New-TenantAllowBlockListSpoofItems コマンドレットを使用する必要があります。 詳細については、「PowerShell を使用して、テナント許可/ブロック リストでなりすまし送信者の許可エントリを作成する」および「テナント許可/ブロック リストでなりすまし送信者のブロック エントリを作成する PowerShell を使用する」を参照してください。

スプーフィング インテリジェンスの分析情報で情報を表示するには、次のコマンドを実行します。

Get-SpoofIntelligenceInsight

構文とパラメーターの詳細については、「 Get-SpoofIntelligenceInsight」を参照してください。

なりすましとフィッシングを管理するその他の方法

なりすましとフィッシング保護に熱心に取り組む。 ドメインのなりすましを行っている送信者をチェックし、organizationを損なわないようにする関連する方法を次に示します。