クラウド メールボックスのスプーフィング インテリジェンスの分析情報

クラウド メールボックスを持つすべての組織では、受信メール メッセージはスプーフィングから自動的に保護されます。 Microsoft 365 では、フィッシングに対するorganizationの全体的な防御の一部としてなりすましインテリジェンスが使用されます。 詳細については、「 なりすまし対策保護」を参照してください。

送信者がメール アドレスになりすました場合、送信者は組織のドメインの 1 つのユーザーであるか、組織に電子メールを送信する外部ドメインのユーザーである可能性があります。 送信者を偽装してスパムまたはフィッシングメールを送信する攻撃者は、ブロックする必要があります。 しかし、正当な送信者がなりすましを行うシナリオもあります。 例:

• 内部ドメインのスプーフィングに関する正当なシナリオ:

  • Microsoft 以外の送信者は、ドメインを使用して、organization内のユーザーに一括メールを送信します (たとえば、会社の投票など)。
  • 外部企業は、広告または製品の更新を生成して送信します。
  • アシスタントは、組織内の別のユーザーの電子メールを定期的に送信する必要があります。
  • 内部アプリケーションは電子メール通知を送信します。

• 外部ドメインのスプーフィングに関する正当なシナリオ:

  • 送信者はメーリング リスト (ディスカッション リストとも呼ばれます) にあり、メーリング リストは元の送信者からのメールをメーリング リストのすべての参加者に中継します。
  • 外部企業は、別の会社 (例えば、自動化されたレポートやサービスとしてのソフトウェア企業など) に代わって電子メールを送信します。

Microsoft Defender ポータルのスプーフィング インテリジェンスの分析情報を使用して、メール認証 (SPF、DKIM、または DMARC) チェックに合格しないメールを正当に送信するなりすまし送信者をすばやく特定し、手動で許可します。

既知の送信者が既知の場所からなりすましメッセージを送信できるようにすることで、誤検知 (不適切とマークされた良好なメール) を減らすことができます。 許可されたなりすましの送信者を監視して、安全でないメッセージが組織に到着するのを防ぐことができるセキュリティの追加レイヤーを作成します。

同様に、スプーフィング インテリジェンスの分析情報を使用して、なりすましインテリジェンスによって許可されるなりすまし送信者を確認し、それらの送信者を手動でブロックできます。

この記事の残りの部分では、Microsoft Defender ポータルと PowerShell でスプーフィング インテリジェンスの分析情報を使用する方法について説明します。

はじめに把握しておくべき情報

• 「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [テナントの許可/ブロック] Lists ページの [なりすまし送信者] タブに直接移動するには、https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemを使用します。 [スプーフィング インテリジェンス分析情報] ページに直接移動するには、https://security.microsoft.com/spoofintelligenceを使用します。

• Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。

• この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

  • Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可はアクティブです。Defender ポータルにのみ影響します。PowerShell ではなく、承認と設定/セキュリティ設定/コア セキュリティ設定 (管理) または承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り))。

  • Exchange Onlineアクセス許可:

    • なりすまし送信者を許可またはブロックするか、なりすましインテリジェンスを有効または無効にする: 次のいずれかの役割グループのメンバーシップ。
      • 組織の管理
      • セキュリティ管理者とビューのみの構成 または 表示専用の組織管理。
    • スプーフィング インテリジェンス分析情報への読み取り専用アクセス: グローバル閲覧者、 セキュリティ閲覧者、または 表示専用組織管理 役割グループのメンバーシップ。

  • Microsoft Entraアクセス許可: グローバル管理者^*、セキュリティ管理者、グローバル 閲覧者、またはセキュリティ 閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。

    重要

    ^* Microsoft では、最小限の特権の原則を強くお勧めします。 アカウントにタスクを実行するために必要な最小限のアクセス許可のみを割り当てることは、セキュリティ リスクを軽減し、organizationの全体的な保護を強化するのに役立ちます。 グローバル管理者は、非常に特権の高いロールであり、緊急シナリオや別のロールを使用できない場合に制限する必要があります。

• スプーフィング インテリジェンスを含むフィッシング対策ポリシーの推奨設定については、 すべてのクラウド メールボックスのフィッシング対策ポリシー設定に関するページを参照してください。

• フィッシング対策ポリシーでは、スプーフィング インテリジェンスを有効または無効にします。 スプーフィング インテリジェンスは既定で有効になっています。 詳細については、次のいずれかの記事を参照してください。

  • フィッシング対策ポリシーを構成する (Microsoft Defender for Office 365がない場合)
  • 詳細については、「Microsoft Defender for Office 365 のフィッシング対策ポリシーを構成する」を参照してください。

Microsoft Defender ポータルでスプーフィング インテリジェンスの分析情報を見つける

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ルール] セクションの Email & [コラボレーション>ポリシー & ルール>>テナント許可/ブロックListsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

2. [ なりすまし送信者 ] タブを選択します。

3. [ スプーフィングされた送信者 ] タブでは、スプーフィング インテリジェンスの分析情報は次のようになります。

   

   分析情報には、次の 2 つのモードがあります。

   • 分析情報モード: スプーフィング インテリジェンスが有効になっている場合、分析情報には、過去 7 日間に検出されたスプーフィング インテリジェンスのメッセージの数が表示されます。
   • モードの場合: スプーフィング インテリジェンスが無効になっている場合、分析情報には、過去 7 日間 にスプー フィング インテリジェンスが検出されたメッセージの数が表示されます。

スプーフィング インテリジェンス検出に関する情報を表示するには、なりすましインテリジェンス分析情報で [スプーフィング アクティビティの表示 ] を選択して、[ なりすましインテリジェンス分析情報 ] ページに移動します。

なりすまし検出に関する情報を表示する

https://security.microsoft.com/spoofintelligenceのスプーフィング インテリジェンス分析情報ページは、[テナントの許可/ブロック] Lists ページの [なりすましの送信者] タブのスプーフィング インテリジェンス分析情報から [スプーフィング アクティビティの表示] を選択すると表示されます。

[ スプーフィング インテリジェンス分析情報 ] ページで、使用可能な列ヘッダーをクリックしてエントリを並べ替えることができます。 次の列を使用できます。

• スプーフィングされたユーザー: 電子メール クライアントの [差出人] ボックスのなりすましユーザーのドメイン (5322.From アドレスまたは P2 アドレスとも呼ばれます)。
• 送信インフラストラクチャ: インフラストラクチャとも呼ばれます。 送信インフラストラクチャは、次のいずれかの値です。
  • 送信元メール サーバーの IP アドレスの逆引き DNS 参照 (PTR レコード) で見つかったドメイン。
  • 送信元 IP アドレスに PTR レコードがない場合、送信インフラストラクチャは、<発信元 IP>/24 (たとえば、192.168.100.100/24) として識別されます。
  • 検証済みの DKIM ドメイン。
• メッセージ数: 過去 7 日以内にスプーフィングされたドメインと送信インフラストラクチャの組み合わせからorganizationへのメッセージの数。
• 最終表示日: スプーフィングされたドメインを含む送信インフラストラクチャからメッセージが受信された最後の日付。
• スプーフィングの種類: 次のいずれかの値。
  • 内部: なりすまし送信者は、organization (承認済みドメイン) に属するドメイン内にあります。
  • 外部: スプーフィングされた送信者が外部ドメインにあります。
• アクション: この値は [許可] または [ブロック] です。

  • 許可: ドメインで明示的な電子メール認証チェック SPF、 DKIM、 DMARC が失敗しました。 ただし、ドメインは暗黙的な電子メール認証チェックに合格しました (複合認証)。 その結果、メッセージに対してスプーフィング対策アクションは実行されませんでした。

  • ブロック: スプーフィングされたドメイン と 送信インフラストラクチャからのメッセージは、スプーフィング インテリジェンスによって無効としてマークされます。 悪意のあるなりすましメッセージに対して実行されるアクションは、次によって制御されます。

    • Standardまたは厳密な事前設定されたセキュリティ ポリシー。
    • 既定のフィッシング対策ポリシー。
    • カスタムフィッシング対策ポリシー。

    詳細情報については、「Microsoft Defender for Office 365 のフィッシング詐欺対策ポリシーを構成する」を参照してください。

スプーフィングされた送信者の一覧を通常の間隔からコンパクトな間隔に変更するには、 [リストの間隔をコンパクトまたは標準に変更する] を選択し、[Compact リスト] を選択します。

エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。

• スプーフィングの種類: 使用可能な値は 内部 と 外部です。
• アクション: 使用可能な値は [許可] と [ブロック] です

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。

検索ボックスと対応する値を使用して、特定のエントリを検索します。

Export を使用して、スプーフィング検出の一覧を CSV ファイルにエクスポートします。

なりすまし検出の詳細を表示する

最初の列の横にある [チェック] ボックス以外の行をクリックして、一覧からスプーフィング検出を選択すると、次の情報を含む詳細ポップアップが開きます。

• なぜ私たちはこれをキャッチしたのですか? セクション: この送信者がスプーフィングとして検出された理由と、詳細については何ができるか。

• [ドメインの概要 ] セクション: メインの スプーフィング インテリジェンス分析情報 ページから同じ情報が含まれます。

• WhoIs データ セクション: 送信者のドメインに関する技術情報。

• エクスプローラー調査セクション: Defender for Office 365 organizationでは、このセクションには、[フィッシング] タブで送信者の詳細を表示する [脅威エクスプローラー] を開くリンクが含まれています。

• [類似メール ] セクション: なりすまし検出に関する次の情報が含まれています。

  • Date
  • 件名
  • [受信者]
  • Sender
  • [Sender IP (送信者の IP)]

  [ 列のカスタマイズ] を選択して、表示される列を削除します。 完了したら、[適用] を選択 します。

スプーフィング検出を [許可] から [ブロック ] に、またはその逆に変更するには、次のセクションを参照してください。

スプーフィング インテリジェンスの判定をオーバーライドする

https://security.microsoft.com/spoofintelligenceの [スプーフィング インテリジェンス分析情報] ページで、次のいずれかの方法を使用して、スプーフィング インテリジェンスの判定をオーバーライドします。

• 最初の列の横にある [チェック] ボックスを選択して、一覧から 1 つ以上のエントリを選択します。

  1. 表示される [ Bulk アクション] アクションを選択します。
  2. 開いた [一括操作 ] ポップアップで、[ なりすましを許可する ] または [ スプーフィングからブロック] を選択し、[ 適用] を選択します。

• [チェック] ボックス以外の行の任意の場所をクリックして、一覧からエントリを選択します。

  開いた詳細ポップアップで、ポップアップの上部にある [ スプーフィングを許可する ] または [スプーフィングをブロック する] を選択し、[ 適用] を選択します。

[スプーフィング インテリジェンス分析情報] ページに戻ると、エントリが一覧から削除され、https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemの [テナントの許可/ブロック] Lists ページの [なりすまし送信者] タブに追加されます。

許可されたなりすましの送信者について

許可されたなりすまし送信者からのメッセージ (自動的に検出または手動で構成) は、スプーフィングされたドメイン と 送信インフラストラクチャの組み合わせを使用してのみ許可されます。 たとえば、次のなりすましの送信者はなりすましが許可されます。

• ドメイン: gmail.com
• インフラストラクチャ: tms.mx.com

スプーフィングできるのは、そのドメイン/送信インフラストラクチャ ペアからの電子メールのみです。 gmail.com をなりすまそうとしている他の送信者は、自動的には許可されません。 スプーフィング インテリジェンスは、tms.mx.com から発信された他のドメインの送信者からのメッセージを確認します。これらのメッセージは引き続きブロックできます。

PowerShell でスプーフィング インテリジェンスの分析情報を使用する

PowerShell Exchange Onlineでは、Get-SpoofIntelligenceInsight コマンドレットを使用して、スプーフィング インテリジェンスによって検出された許可およびブロックされたなりすまし送信者を表示します。 スプーフィングされた送信者を手動で許可またはブロックするには、 New-TenantAllowBlockListSpoofItems コマンドレットを使用する必要があります。 詳細については、「PowerShell を使用して、テナント許可/ブロック リストでなりすまし送信者の許可エントリを作成する」および「テナント許可/ブロック リストでなりすまし送信者のブロック エントリを作成する PowerShell を使用する」を参照してください。

スプーフィング インテリジェンスの分析情報で情報を表示するには、次のコマンドを実行します。

Get-SpoofIntelligenceInsight

構文とパラメーターの詳細については、「 Get-SpoofIntelligenceInsight」を参照してください。

なりすましとフィッシングを管理するその他の方法

なりすましとフィッシング保護に熱心に取り組む。 ドメインのなりすましを行っている送信者をチェックし、organizationを損なわないようにする関連する方法を次に示します。

• なりすましメール レポートを確認します。 このレポートは、多くの場合、なりすまし送信者の表示と管理に役立ちます。 詳細については、「 なりすまし検出レポート」を参照してください。

• SPF、DKIM、DMARC の構成を確認します。 詳細については、次の記事を参照してください。

  • Email認証
  • カスタム クラウド ドメインの有効なメール ソースを識別するように SPF を設定する
  • クラウド ドメインからメールに署名するように DKIM を設定する
  • クラウド送信者の差出人アドレス ドメインを検証するように DMARC を設定する
  • 信頼できる ARC シーラーを構成する