Office365 のメールはスパム対策が施されているので大体のメールは、クライアントに着弾せずに検疫されたりして弾かれます。ただこのフィルターは、指名手配犯を照合するやり方なので、未知の脅威に対するメールはすり抜けられる可能性があります。そこで今回「Advanced Threat Protection」通称「ATP」をシェアします。これは1段階上のセキュリティフィルタです。メールフィルターにて未知の脅威に対しても検知してくれる他に、「One Drive」「Share Point Online」などにも同様に展開されているとても興味深いサービスです。
Microsoftより引用
機能 | ATPスタンドアロン | Exchange Online Protection |
リンク保護 | はい | いいえ |
添付ファイル保護 | はい | いいえ |
スプーフィングインテリジェンス | はい | いいえ |
検疫 | はい | はい |
高度なフィッシング詐欺対策機能 | はい | いいえ |
目次
セーフアタッチメントは、ATP を適用すると、Exchange 管理センター (EAC) にて、セーフアタッチメントのポリシーの作成や編集を行うことができ、ポリシーの適用対象の設定や、検知されたマルウェアに対して実行する以下の処理の選択が可能です。
・オフ : いかなる添付ファイルにもセーフアタッチメントは動作せず、添付ファイルのマルウェアをスキャンしません。
・モニター : マルウェアが検出されてもメッセージの配信を続行し、配信が完了するまで監視します。マルウェアであることは受信者に通知されません。
・ブロック : マルウェアが検出された現在および今後のメールと添付ファイルをブロックするため、メッセージは受信者に配信されません。また、ブロックされたことは受信者に通知されません。
・置換 : マルウェアが検出された添付ファイルをブロックしますが、メッセージの配信を続行します。添付ファイルは危険性を排除された警告ファイルに置換され、マルウェアを検知した旨の通知文を添えて受信者へ配信されます。オリジナルメールアイテムは [検疫] に隔離されます。
・動的配信 : メール本文のみ先行して受信者のメールボックスに配信し、添付ファイルのみスキャンを行います。添付ファイルは受信者のメールボックスで一時的に [ATP スキャン進行中.msg] に置き換えられ、スキャン完了後、オリジナルの添付ファイルに再度置き換えられます。添付ファイルが有害と判断された場合には、警告ファイル [安全でない添付ファイルがブロックされました.msg] に置き換えられます。オリジナルメールアイテムは [検疫] に隔離されます。
また、[検出時に添付ファイルをリダイレクトする] 機能を有効にすることで、マルウェアの危険性を排除した上で添付ファイルを指定したメール アドレスに送信することが可能です。
セーフアタッチメントの実行結果につきましては、[メッセージの追跡] の詳細結果にて、セーフアタッチメントにルーティングされた各メッセージと添付ファイル情報が、その処理方法を含めて記載されます。
チェックボックスにチェックを入れて有効とすると、テナント全体のユーザーに対して、SharePoint Online、OneDrive for Business、および Microsoft Teams のファイルを精査する動作となります。
受信メールの添付ファイルに対しては本設定は対象外となります。
参考URL:Microsoftサイト
Advanced Threat Protection (ATP) の Safe Attachments によりマルウェアが検知された場合の挙動 | Microsoft Learn
ユーザー影響を最小限に抑える標的型攻撃対策/マルウェア対策の新アクション (動的配信/Dynamic Delivery) | Microsoft Learn
セーフリンクにつきましては、ATP を適用すると、Exchange 管理センター (EAC) にて、セーフリンクのポリシーの作成や編集を行うことができ、ポリシーの適用対象の設定や、検知されたサイトリンクに対して実行する以下の処理の選択が可能です。
[Office 365 全体のコンテンツに適用される設定] の [次の URL をブロックする] につきましては、[特定の受信者に適用されるポリシー] にて、安全なリンクのポリシーが適用されているユーザーのみ対象となる。
なお、[次の URL をブロックする] に指定した URL をメール本文に記載し、対象のユーザーにて受信し、URL をクリックいたしましたところ、以下の警告が表示される。
「This website has been blocked per your organization’s URL policy.」
※和訳 : このウェブサイトは、組織のURLポリシーに従ってブロックされています。
[次の URL をブロックする] は、安全なリンクのポリシーが適用されているユーザーを対象として、指定した URL をブロックすることが可能である機能
また、[安全なリンクが使用されるアプリ] の [Windows 版の Office 2016] を有効にした場合、Office 2016 の Word Online にて、本文に URL を入力したファイルを保存し、ファイルの URL をクリックすると、以下の警告が表示されます。
※ [特定の受信者に適用されるポリシー] にて、安全なリンクのポリシーが適用されているユーザーのみ対象となります。
「このWeb サイトは有害サイトとして分類されています。」
Excel や PowerPoint については同様の動作検証の結果として、現時点では動作しないことを確認
上記の結果から、[Windows 版の Office 2016] につきましては、安全なリンクのポリシーが適用されているユーザーを対象として、Office 2016 (Word) のファイル内の URL を検査する機能である。
・機能のオフ / オン : オンにすることで、ユーザーがリンクをクリックすると、URL は書き換えられ、既知の悪意のあるリンクのリストと照合されます。
・安全な添付ファイルを使用して、ダウンロード可能なコンテンツをスキャンします : 有効にすると、Office 365 クラウド上の仮想環境内でリンク先のコンテンツが開かれ、中身がスキャンされます。コンテンツが悪意のあるものであると判明した場合、警告ページを表示することができます。
・ユーザーが安全なリンクをクリックしたときに追跡しません : 有効にすると、書き換えられた URL をクリックした場合、ユーザーがクリックした記録を残しません。管理者は URL トレースをしても、ユーザーのクリックの記録を検索できなくなります。
・ユーザーに安全なリンクから元の URL へのクリックスルーを許可しません : 有効にすると、元の URL がブロックされている場合、ユーザーが警告ページから元の URL へクリックすることを禁止します。
・次の URL を書き換えません : セーフリンクによる書き換えから除外する URL の一覧を指定します。
セーフリンクで保護された電子メール内の悪意のあるリンクをユーザーがクリックすると、クリックしようとしているリンクが悪意のあるものであることを通知する Web ページが表示されます。
受信者のセーフリンクのポリシーでユーザーがクリック スルーできるように設定されていれば、Web サイトへのアクセスを続行することができます。
URL トレース レポートには、ATP にルーティングされ、リダイレクトされた各リンクの情報が入ります。
また、このレポートからは、受信者がリンクをたどったかどうか、また悪意のあるリンクの警告ページから先へ進むことを選択したかどうかを確認できました。
なお、ATP の [安全なリンク] ではメールアイテムの形式がテキスト形式であるか、HTML 形式であるかで動作が異なることを当窓口で確認
テキスト形式のメッセージの場合は、メール本文の URL は置換されて表示されます。
HTML 形式の場合は、HTML タグで保持される関係からハイパーリンク内の URL が置換される動作です。
この場合、該当 URL にマウスオーバーすることで、置換された URL を確認することが可能です。
URL をクリックした場合の動作に関してはどちらも同様です。
[安全な添付ファイル] および [安全なリンク] 設定画面の [適用先] につきましては、[受信者が次の値である:][受信者のドメインが次の値である:][受信者が次のメンバーである:] のいずれかを選択することによってポリシーの保存が可能です。
また、適用先は同一の適用種別内からであれば複数の選択が可能です。
例えば、[受信者が次の値である:] に [user1@*****.com] を設定し、合わせて [受信者のドメインが次の値である:] に [test.com] を指定することはできません。
対して、[受信者のドメインが次の値である:] に [test.com] 及び [*****.com] を指定することが可能です。
このメールセキュリティ機能の1ランクアップだけではなく、office365で使用しているアプリまでも包括的に未知の脅威に対するセキュリティ対策が上がるなんてとっても興味深いものがあります。