こんにちは!市川です!
スパムメールの誤検知に悩んでいませんか?多くの企業やユーザーが、誤検知によって重要なメールを見逃し、業務効率の低下や企業の信頼性の損失、さらにはセキュリティリスクの増加を引き起こす現状があります。
今回は、これらの課題を解決するために、Microsoft Defender for Endpoint(MDE)でのメール確認方法や解放、誤検知防止策、スパムメール管理方法をわかりやすく解説します。
これらを行うことで、重要なメールがスパムとして分類されることを防ぎ、業務効率を向上させることができます。皆さんも一緒にスパムメールの悩みを解決しましょう!
・重要なメールが誤ってスパムメールに振り分けられてしまった場合
・検疫に振り分けるルールや誤検知の学習をさせている場合
目次
- 1.スパム誤検知の問題とは?
- 2.検疫に分類されたメールを確認する
- 3.検疫に分類されたメールを解放する
- 4.誤検知報告の手順
- 5.トランスポートルールの設定
- 6.送信者インジケーターをオフにする
- 7.【要確認】※注意点
1.スパム誤検知の問題とは?
スパムメールの誤検知は、重要なメールがスパムとして分類されることで業務に支障をきたし、対応に時間と労力がかかるため業務効率が低下します。また、企業の信頼性にも影響を与え、顧客や取引先とのコミュニケーションが途絶え、ビジネスチャンスを逃すことがあります。このように、誤検知は業務効率の低下や信頼性の損失、セキュリティリスクの増加など、多くの問題を引き起こします。
2.検疫に分類されたメールを確認する
1.Microsoft Defender を開き、「メールとコラボレーション」のタブから、「確認」をクリックします。
2.「検疫」をクリックします。
3.該当のメールをクリックします。
4.右側にメール詳細が表示され、検疫に振り分けられた理由や送信者のIP、URLなどを確認することができます。 ※ここでは、以下の3点を確認しました。
①検疫された理由
※ここでは「フィッシング詐欺」を挙げています。
②送信者の表示名
※ここでは送信者名が表示されます。
③URL
Intuneのメール検疫で表示されるURLは、通常、検疫されたメールに含まれるリンクや添付ファイルのURLを指しています。これらのURLは、メールの内容がセキュリティ上のリスクを含んでいる可能性があるため、詳細な検査や確認が必要と判断されたものです。
| 検知される主なURL種類 | 説明 |
| フィッシング | メール内のURLがフィッシングサイトへのリンクである場合 |
| マルウェア | URLがマルウェアを含むサイトへのリンクである場合 |
| スパム | URLがスパムサイトへのリンクである場合 |
URLの「すべて表示 URL」をクリックします。
ここで全てのURLを閲覧可能です。
これにより検疫に分類された理由が確認できました。
3.検疫に分類されたメールを解放する
検疫に分類されたメールが、正規のメールであることを確認できたら「メールの解放」を行います。
1.メール詳細の「三点リーダー(…)」をクリックし、「メールを解放する」をクリックします。
2.「すべての受信者にリリース」を選択し、「Microsoft にメッセージを送信して検出を改善する(誤検知)」にチェックを入れます。
3.「このメッセージを許可する」にチェック入れ、「メッセージを解放する」をクリックします。
4.誤検知報告の手順
誤検知されたメールをMicrosoftに報告すると、報告データがMicrosoftセキュリティチームにより検査され、組織全体のメールセキュリティが向上します。それにより、今後の誤検知リスクが減少します。ここでは誤検知報告の手順を解説いたします。
1.メール詳細の「三点リーダー(…)」をクリックし、「レビュー用に送信」をクリックします。
2.「ネットワーク メッセージ ID を追加するか、メール ファイルをアップロード」の「メール ネットワーク メッセージ ID を追加」を選択します。
※メール ネットワーク メッセージ ID は既に入力されています。
3.「問題が発生した受信者を少なくとも1人選択してください」に該当のユーザーを入力します。
※ここでは選択しているメールの受信者が自動で入力されています。
4.「このメッセージを Microsoft に送信する理由」の「クリーンであることを確認しました」を選択し、「次へ」をクリックします。
5.「このメッセージを許可する」にチェックを入れ、必要に応じてコメントを追加し、「送信」をクリックします。
5.トランスポートルールの設定
Microsoft Defenderのトランスポートルールは、Exchange OnlineやExchange Online Protection (EOP)で使用されるメールフロールールです。これらのルールは、メールの送受信時に特定の条件に基づいてアクションを実行します。誤検知されやすいメールの特徴を条件として設定し、例外を追加することで、特定のメールが誤ってブロックされないようにします。ここでは、トランスポートルールの作成方法と4つのパターン設定を解説します。
1.Microsoft 365 管理センターを開き、メニューバー から「Exchange」をクリックします。
2.メニューバーから「メールフロー」のタブを展開し、「ルール」をクリックします。
3.「ルールの追加」をクリックし、「新しいルールの作成」を選択します。
4.「名前」にルール名を入力します。
※ここでは「test」と入力します。
5.ここからは4つのパターン設定を解説します。
①送信側 IP アドレスにて許可する場合(複数登録も可能)
①-a.「このルールを適用する」のプルダウンより、「送信者」を選択し、右のプルダウンより、「IP アドレスが次の範囲内にあるか、完全に一致する」を選択します。
①-b.該当の送信元 IP アドレスを入力し、「追加」をクリックします。
①-c.追加されたIPアドレスを選択し、「保存」をクリックします。
①-d.「次へ」をクリックします。
①-e.セット ルールの設定で設定項目を任意で指定し、「次へ」をクリックします。
※ 任意でルールのアクティブ期間や重要度などの設定が可能です。
①-f.設定内容を確認し、「完了」をクリックします。
②送信側ドメインにて許可する場合(複数登録も可能)
②-a.「このルールを適用する」のプルダウンより「送信者」を選択し、右のプルダウンより、「ドメインは」を選択します。
②-b.該当のドメインを入力し、「追加」をクリックします。
※1 ここでは「gmail.com」を入力します。
※2 「@」は不要です。
②-c.追加されたドメインを選択し、「保存」をクリックします。
③送信側メール アドレスにて許可する場合(複数登録も可能)
③-a.「このルールを適用する」のプルダウンより「送信者」を選択し、右のプルダウンより、「この人物である」を選択します。
③-b.一覧から該当のメール アドレスを選択するか、一覧に存在しない場合には「メンバーの選択」に直接、該当メールアドレスを入力し、「保存」 をクリックします。
④受信側に特定のユーザーを選択する(複数登録も可能)
④-a.「このルールを適用する」のプルダウンより「受信者」を選択し、右のプルダウンより、「この人物である」を選択します。
④-b.一覧から該当のメールアドレスを選択するか、一覧に存在しない場合には「メンバーの選択」に直接、該当メール アドレスを入力し、「保存」 をクリックします。
・特定の条件によりメールが送信された場合に、受信者に指定のメッセージを送る方法
1.特定の条件を指定した後、「次を実行します」のプルダウンより「受信者にメッセージを通知する」を選択し、右のプルダウンより、「通知メッセージを指定する」をクリックします。
2.受信者に通知するメッセージを入力し、「保存」をクリックします。
※この設定により、特定の条件にてメールが送信された場合、受信者に指定のメッセージが届きます。
これにより、トランスポートルールを効果的に活用することで、誤検知メールを防ぐことが可能になります。 様々なパターンのメールフローの管理がより簡単かつ効率的になり、セキュリティとコンプライアンスの強化も期待できます。
6.送信者インジケーターをオフにする
送信者インジケーターは、Microsoft Defender for Office 365やExchange Online Protection (EOP)で利用されるフィッシング対策ポリシーの一部で、メールの送信者が認証されているかどうかを示す機能です。この機能は、フィッシング攻撃やなりすましメールから受信者を守るための警告を表示しますが、誤検知が頻繁に発生する場合や、特定のビジネスパートナーとのやり取りが必要な場合にオフにすることが有効です。機能をオフにすることで、重要な警告が見逃されるリスクを減らせます。ここでは、認証されていない送信者インジケーターをオフにする設定方法を解説します。
1.Microsoft Defender を開き、「メールとコラボレーション」のタブから「ポリシーとルール」をクリックします。
2.「脅威ポリシー」をクリックします。
3.「ポリシー」の「フィッシング対策」をクリックします。
4.既存のポリシーから「Office365 AntiPhish Default(規定)」をクリックすると、右側にポリシーの詳細が表示されますので一番下までスクロールし、「アクションの編集」をクリックします。
5.「安全のヒント&インジケーター」の「偽装した認証されていない送信者に”(?)”を表示」のチェックを外し、「保存」をクリックします。
6.保存後、「オフ」に切り替わったこと確認できました。
これにより、重要なメールが見逃されるリスクを減らし、受信者の混乱を防ぐことができます。
7.【要確認】※注意点
これまで、検疫に分類されたメールの解放の手順やルールの設定方法などお伝えしてきましたが、上記の設定をするにあたって、懸念される注意点がいくつかあります。
| 項目 | 課題 | 注意点 |
| メールの解放 | ヒューマンエラー | 「すべてが安全なメールだから解放する。」という判断は危険です。正規のメールアドレスからでも、そのメールアドレスに問題がある場合も含め、 適切な判断したうえでの解放をしましょう。 |
| ポリシーの見直し | メールの解放や誤検知の設定を変更する際には、組織のセキュリティポリシーやコンプライアンス要件を再確認し、必要に応じて見直した推奨いたします。 | |
| 誤検知報告 | 誤検知の影響 | 誤検知報告により、正当なメールがブロックされるリスクを減らす一方で、不正なメールが通過する可能性が高まります。 |
| トランスポートルールの設定 | ルールの更新時間 | メールフロールールを作成または変更した後に、新規または更新されたルールがメッセージに適用されるまで、最大で30分かかります。 |
| ルールのテスト | 新しいルールを適用する前に、テスト環境で十分にテストし、意図した通りに動作することを確認します。条件、例外や優先順位など適切に設定しないと正しくルールが適用されない場合があります。 | |
| 送信者インジケーターをオフ | セキュリティリスクの評価 | 誤検知を防ぐためにインジケーターをオフにする場合、フィッシング攻撃やスパムメールが増えるリスクを十分に評価します。 |
| ユーザー教育 | 警告が表示されなくなることで、 ユーザーが不審なメールに対して警戒心を持たなくなる可能性があるので、ユーザーが不審なメールに対して警戒心を持ち続けるよう、定期的な教育やトレーニングを実施すること推奨します。 |
これらの注意点を考慮し、組織のセキュリティポリシーに基づいて慎重に設定を行うことが重要です。
その他お困りごとも動画で解説!
