MailItemsAccessed を使用して侵害されたアカウントを調査する

侵害されたユーザー アカウント (アカウントの乗っ取りとも呼ばれます) は、攻撃者がユーザー アカウントへのアクセス権を取得し、ユーザーとして操作する場合の攻撃の種類です。 これらの種類の攻撃は、攻撃者が意図したよりも多くの損害を引き起こす場合があります。 侵害されたメール アカウントを調査する場合は、攻撃者の実際のプレゼンスをトレースすることによって示されるメール データよりも多くのメール データが侵害されていると想定します。 電子メール メッセージのデータの種類によっては、機密情報が公開されていないことを証明できない限り、規制上の罰金が科せられる場合があります。 たとえば、HIPAA の規制対象となる組織は、患者の健康情報 (PHI) が漏えいした証拠がある場合、多額の罰金に直面します。 これらの場合、攻撃者が PHI に関心を持つことはほとんどありませんが、組織は、別の方法で証明できない限りはデータ侵害を報告する必要があります。

侵害されたメール アカウントを調査するために、 MailItemsAccessed メールボックス監査アクションを使用して、メール プロトコルとクライアントによるメール データのアクセスを監査しています。 この新しい監査アクションは、調査担当者が電子メール データの侵害をより深く理解するのに役立ち、侵害される可能性のある特定のメール アイテムに対する侵害の範囲を特定するのに役立ちます。 この新しい監査アクションを使用する目的は、特定のメール データが侵害されなかったことをアサートするのに役立つフォレンジック防御です。 攻撃者が特定のメールにアクセスした場合、Exchange Onlineは、メール アイテムが読み取られたという兆候がない場合でも、イベントを監査します。

MailItemsAccessed メールボックス監査アクション

MailItemsAccessed アクションは、監査 (Standard) 機能の一部です。 これは Exchange メールボックス監査の一部であり、Office 365 E3/E5 または Microsoft 365 E3/E5 ライセンスが割り当てられているユーザーに対して既定で有効になっています。

MailItemsAccessed メールボックス監査アクションは、POP、IMAP、MAPI、EWS、Exchange ActiveSync、および REST のすべてのメール プロトコルを対象としています。 また、同期 と バインド の両方の種類のメールへのアクセスもカバーしています。

同期アクセスの監査

同期操作は、Windows または Mac 用のデスクトップ バージョンの Outlook クライアントがメールボックスにアクセスした場合にのみ記録されます。 同期操作中、これらのクライアントは通常、クラウドからローカル コンピューターに大量のメール アイテムをダウンロードします。 同期操作の監査ボリュームは膨大です。 そのため、同期されたメール アイテムごとに監査レコードを生成する代わりに、同期されたアイテムを含むメール フォルダーの監査イベントを生成し、同期されたフォルダー 内のすべての メール アイテムが侵害されていることを前提としています。 アクセスの種類は、監査レコードの OperationProperties フィールドに記録されます。

監査レコードに同期アクセスの種類を表示する例については、フォレンシック調査に MailItemsAccessed 監査レコードを使用するセクションの手順 2 を参照してください。

バインド アクセスの監査

バインド操作は、メール メッセージへの個別のアクセスです。 バインド アクセスの場合、個々のメッセージの InternetMessageId が監査レコードに記録されます。 MailItemsAccessed 監査アクションはバインド操作を記録してから、単一の監査レコードに集約します。 2 分ごとのインターバル以内に発生するすべてのバインド操作は、AuditData プロパティ内の Folders フィールドの単一の監査レコードに集約されます。 アクセスされたそれぞれのメッセージは、その InternetMessageId によって識別されます。 レコードに集約されたバインド操作の数は、AuditData プロパティの OperationCount フィールドに表示されます。

監査レコードにバインド アクセスの種類を表示する例については、フォレンシック調査に MailItemsAccessed 監査レコードを使用するセクションの手順 4 を参照してください。

MailItemsAccessed 監査レコードの調整

Exchange Onlineが 24 時間以内に 1,000 を超える MailItemsAccessed 監査レコードを生成すると、MailItemsAccessed アクティビティの監査レコードの生成が停止します。 メールボックスを調整Exchange Online場合、メールボックスを調整した後、24 時間 MailItemsAccessed アクティビティはログに記録されません。 Exchange Onlineメールボックスを調整すると、この期間中にメールボックスが侵害される可能性があります。 MailItemsAccessed アクティビティの記録は、24 時間後に再開されます。

調整については、次の点に注意してください。

• Exchange Onlineは、すべてのメールボックスの 1% 未満を調整します。
• Exchange Onlineメールボックスを調整すると、MailItemsAccessed アクティビティの監査レコードの監査のみが停止されます。 その他のメールボックス監査アクションは続行されます。
• Exchange Onlineメールボックスを調整する場合、監査ログには追加の MailItemsAccessed アクティビティは記録されません。

監査レコードに IsThrottled プロパティを表示する例については、「 フォレンジック調査に MailItemsAccessed 監査レコードを使用 する」セクションの手順 1 を参照してください。

フォレンシック調査に MailItemsAccessed 監査レコードを使用する

メールボックス監査では、電子メール メッセージにアクセスするための監査レコードが生成されるため、電子メール メッセージが侵害されていないことを確信できます。 このため、一部のデータにアクセスすることが不明な状況では、すべてのメール アクセス アクティビティを記録することによって行われると仮定します。

フォレンジック目的で MailItemsAccessed 監査レコードを使用することは、通常、データ侵害が解決され、攻撃者が削除された後に発生します。 調査を開始するには、攻撃者が侵害したメールボックスのセットを特定し、攻撃者がorganization内のメールボックスにアクセスした期間を特定します。 次に、Exchange Online PowerShell の Search-UnifiedAuditLog コマンドレットを使用して、データ侵害に対応する監査レコードを検索します。 Search-UnifiedAuditLog コマンドレットを使用して、1 人以上のユーザーによって実行されたアクティビティの監査レコードを検索できます。

次のいずれかのコマンドを実行して、MailItemsAccessed 監査レコードを検索します。

統合監査ログ:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000

次の手順では、MailItemsAccessed 監査レコードを使用して、侵害されたユーザー攻撃を調査する方法を示します。 各手順では、 Search-UnifiedAuditLog コマンドレットのコマンド構文を示します。

1. メールボックスが調整されているかどうかを確認します。 その場合、一部のメールボックス監査レコードはログに記録されません。 監査レコードの IsThrottled プロパティが True に設定されている場合は、レコードの生成後 24 時間、メールボックスへのアクセスは監査されないため、すべてのメール データが侵害されると仮定します。

   メールボックスが調整されている MailItemsAccessed レコードを検索するには、次のコマンドを実行します。

   統合監査ログ:

   Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"IsThrottled","Value":"True"*'} | FL
   

2. 同期アクティビティを確認します。 攻撃者が電子メール クライアントを使用してメールボックスにメッセージをダウンロードした場合、コンピューターをインターネットから切断し、サーバーと対話せずにローカルでメッセージにアクセスできます。 この場合、メールボックス監査ではこれらのアクティビティを監査できません。

   メール アイテムが同期操作によってアクセスされる MailItemsAccessed レコードを検索するには、次のコマンドを実行します。

   統合監査ログ:

   Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 02/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Sync"*'} | FL
   

3. 同期アクティビティを確認して、攻撃者がメールボックスにアクセスするために使用したコンテキストと同じコンテキストで発生するかどうかを判断します。 コンテキストは、メールボックスへのアクセスに使用されたクライアント コンピューターの IP アドレスとメール プロトコルによって識別および特定されます。

   調査するには、次の表に示すプロパティを使用します。 これらのプロパティは、AuditData または OperationProperties プロパティにあります。 いずれかの同期が攻撃者のアクティビティと同じコンテキストで発生した場合は、攻撃者がすべてのメール アイテムをクライアントに同期したと仮定します。つまり、メールボックス全体が侵害されていることを意味します。

   プロパティ	説明
   ClientInfoString	プロトコル、クライアントについて説明します (バージョンを含む)
   ClientIPAddress	クライアント マシンの IP アドレスです。
   SessionId	セッション ID は、同じアカウントでの攻撃者のアクションと日々のユーザー アクティビティを区別するのに役立ちます (侵害されたアカウントに役立ちます)
   UserId	メッセージを読んでいるユーザーの UPN です。

4. バインド アクティビティを確認します。 手順 2 と手順 3 を実行すると、攻撃者による電子メール メッセージへの他のすべてのアクセスが、値が "Bind" の MailAccessType プロパティを持つ MailItemsAccessed 監査レコードに確実にキャプチャされます。

   Bind 操作によってメール アイテムにアクセスする MailItemsAccessed レコードを検索するには、次のコマンドを実行します。

   統合監査ログ:

   Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Bind"*'} | FL
   

   アクセスされるEmailメッセージは、インターネット メッセージ ID によって識別されます。 また、監査レコードが他の攻撃者のアクティビティのコンテキストと同じコンテキストを持っているかどうかを確認することもできます。

   バインド操作に監査データを使用するには、次の 2 つの方法があります。

   • 攻撃者がアクセスしたすべてのメール メッセージにアクセスする、またはそれを収集するには、InternetMessageId を使用してそれらを見つけ、それらのメッセージに機密情報が含まれているかどうかを確認します。
   • InternetMessageId を使用して、潜在的に機密性の高いメール メッセージのセットに関連する監査レコードを検索します。 これは、いくつかのメッセージについてのみ懸念がある場合に便利です。

重複する監査レコードのフィルター処理

監査ノイズを除去するために、システムは、相互に 1 時間以内に発生するのと同じバインド操作に対して重複する監査レコードを除外します。 また、同期操作は 1 時間間隔でフィルター処理されます。 この重複除去プロセスの例外は、同じ InternetMessageId に対して、次の表で説明するプロパティのいずれかが異なる場合に発生します。 これらのプロパティのいずれかが重複操作で異なる場合は、新しい監査レコードが生成されます。 次のセクションでは、このプロセスについて詳しく説明します。