EOP のマルウェア対策保護Anti-malware protection in EOP

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

適用対象Applies to

Exchange Online またはスタンドアロンの Exchange Online Protection (EOP) 組織に Exchange Online メールボックスがない Microsoft 365 組織では、電子メール メッセージは EOP によってマルウェアから自動的に保護されます。In Microsoft 365 organizations with mailboxes in Exchange Online or standalone Exchange Online Protection (EOP) organizations without Exchange Online mailboxes, email messages are automatically protected against malware by EOP. マルウェアの主なカテゴリの一部は次のとおりです。Some of the major categories of malware are:

  • 他の プログラムやデータに感染し、感染するプログラムを探しているコンピューターまたはネットワークを介して拡散するウイルス。Viruses that infect other programs and data, and spread through your computer or network looking for programs to infect.

  • サインイン 情報や個人データなど、個人情報を収集し、その作成者に送信するスパイウェア。Spyware that that gathers your personal information, such as sign-in information and personal data, and sends it back to its author.

  • データ を暗号化し、暗号化解除するために支払いを要求するランサムウェア。Ransomware that encrypts your data and demands payment to decrypt it. マルウェア対策ソフトウェアは、暗号化されたファイルの暗号化を解除するのに役立ちますが、ランサムウェアに関連付けられているマルウェア ペイロードを検出して削除できます。Anti-malware software doesn't help you decrypt encrypted files, but it can detect and remove the malware payload that's associated with the ransomware.

EOP は、組織に出て行く既知のすべてのマルウェアをキャッチするように設計された多層マルウェア保護を提供します。EOP offers multi-layered malware protection that's designed to catch all known malware traveling into or out of your organization. 次のオプションは、マルウェア対策保護を提供します。The following options help provide anti-malware protection:

  • マルウェアに対するレイヤード防御: 複数のマルウェア対策スキャン エンジンは、既知の脅威と未知の脅威の両方から保護するのに役立ちます。Layered defenses against malware: Multiple anti-malware scan engines help protect against both known and unknown threats. これらのエンジンには、強力な発見的検出機能が組み込まれており、マルウェアのアウトブレイクの初期段階であっても保護が可能です。These engines include powerful heuristic detection to provide protection even during the early stages of a malware outbreak. このマルチエンジン アプローチが、1 種類のマルウェア対策エンジンを使用するよりはるかに強力な保護を提供することは明らかです。This multi-engine approach has been shown to provide significantly more protection than using just one anti-malware engine.

  • リアルタイム の脅威対応 : 一部の大規模感染時に、マルウェア対策チームは、サービスが使用するスキャン エンジンから定義を利用できる前に、脅威を検出する高度なポリシー ルールを記述するために、ウイルスや他の形式のマルウェアに関する十分な情報を持っている可能性があります。Real-time threat response: During some outbreaks, the anti-malware team may have enough information about a virus or other form of malware to write sophisticated policy rules that detect the threat, even before a definition is available from any of the scan engines used by the service. これらのルールは、グローバル ネットワークで 2 時間ごとに公開されるため、各組織はそれを使用して攻撃に対する保護層をさらに強化できます。These rules are published to the global network every 2 hours to provide your organization with an extra layer of protection against attacks.

  • マルウェア対策定義の 迅速な展開: マルウェア対策チームは、マルウェア対策エンジンを開発するパートナーとの密接な関係を維持します。Fast anti-malware definition deployment: The anti-malware team maintains close relationships with partners who develop anti-malware engines. その結果、サービスは一般にリリースされる前にマルウェア定義とパッチを受け取って統合できます。As a result, the service can receive and integrate malware definitions and patches before they're publicly released. 多くの場合、これらのパートナーとの関係が、Microsoft 独自の優れた修正方法の開発につながっています。Our connection with these partners often allows us to develop our own remedies as well. サービスは、すべてのマルウェア対策エンジンの更新された定義を 1 時間ごとに確認します。The service checks for updated definitions for all anti-malware engines every hour.

EOP では、添付ファイルにマルウェアが含まれていると検出されたメッセージは検疫され、管理者によってのみ検疫から解放できます。詳細については、「EOP で検疫済みメッセージとファイルを管理者として管理する」を参照してくださいIn EOP, messages that are found to contain malware in any attachments are quarantined, and can only be released from quarantine by an admin. For more information, see Manage quarantined messages and files as an admin in EOP.

マルウェア対策保護の詳細については、「マルウェア対策の保護に関するよく 寄せられる質問」を参照してくださいFor more information about anti-malware protection, see the Anti-malware protection FAQ.

マルウェア対策ポリシーを構成するには、「マルウェア対策ポリシーを構成 する」を参照してくださいTo configure anti-malware policies, see Configure anti-malware policies.

Microsoft にマルウェアを送信するには、「メッセージとファイルを Microsoft に報告する」を参照してくださいTo submit malware to Microsoft, see Report messages and files to Microsoft.

マルウェア対策ポリシーAnti-malware policies

マルウェア対策ポリシーは、マルウェア検出の設定と通知オプションを制御します。Anti-malware policies control the settings and notification options for malware detections. マルウェア対策ポリシーの重要な設定は次のとおりです。The important settings in anti-malware policies are:

  • 受信者通知: 既定では、メッセージ受信者に対して、マルウェアが原因で検疫されたというメッセージは通知されません。Recipient notifications: By default, a message recipient isn't told that a message intended for them was quarantined due to malware. ただし、すべての添付ファイルを削除して次のテキストを含む Malware Alert Text.txt という名前の単一のファイルに置き換えた元のメッセージを配信する形式で受信者の通知を有効にできます。But, you can enable recipient notifications in the form of delivering the original message with all attachments removed and replaced by a single file named Malware Alert Text.txt that contains the following text:

    この電子メール メッセージに含まれる 1 つ以上の添付ファイルでマルウェアが検出されました。Malware was detected in one or more attachments included with this email message.
    アクション: すべての添付ファイルが削除されました。Action: All attachments have been removed.
    <Original malware attachment name> <Malware detection result><Original malware attachment name> <Malware detection result>

    マルウェア アラート ファイルの既定のテキストを、Text.txt 独自の カスタム テキストに置き換えることができます。You can replace the default text in the Malware Alert Text.txt file with your own custom text.

  • 一般的な添付ファイル の種類フィルター: 電子メールで送信しないファイルには、特定の種類があります (実行可能ファイルなど)。Common Attachment Types Filter: There are certain types of files that you really shouldn't send via email (for example, executable files). これらの種類のファイルをマルウェアでスキャンする必要がある理由は、おそらくすべてブロックする必要がある場合ですか?Why bother scanning these type of files for malware, when you should probably block them all, anyway? ここで、共通の添付ファイルの種類フィルターが表示されます。That's where the Common Attachment Types Filter comes in. 既定では無効になっていますが、有効にすると、指定したファイルの種類は自動的にマルウェアとして扱われます。It's disabled by default, but when you enable it, the file types you specify are automatically treated as malware. 既定のファイルの種類の一覧を使用するか、リストをカスタマイズできます。You can use the default list of file types or customize the list. 既定のファイルの種類は次のとおりです .ace, .ani, .app, .docm, .exe, .jar, .reg, .scr, .vbe, .vbsThe default file types are: .ace, .ani, .app, .docm, .exe, .jar, .reg, .scr, .vbe, .vbs.

    共通の添付ファイルの種類フィルターは、ファイルの拡張子に関係なく、ファイルの種類を検出するためにベスト 努力 true-type を使用します。The Common Attachment Types Filter uses best effort true-typing to detect the file type regardless of the file name extension. true-type が失敗した場合、または指定したファイルの種類でサポートされていない場合は、単純な拡張子の一致が使用されます。If true-typing fails or isn't supported for the specified file type, then simple extension matching is used.

  • マルウェアゼロ時間自動削除 (ZAP): マルウェア ZAP は、Exchange Onlineメールボックスに配信された後にマルウェアが含まれていると検出されたメッセージを検疫します。Malware zero-hour auto purge (ZAP): Malware ZAP quarantines messages that are found to contain malware after they've been delivered to Exchange Online mailboxes. 既定では、マルウェア ZAP はオンになっています。有効のままにすることをお勧めします。By default, malware ZAP is on, and we recommend that you leave it on.

  • 送信者通知: 既定では、メッセージ送信者は、マルウェアが原因でメッセージが検疫されたと通知されません。Sender notifications: By default, a message sender isn't told that their message was quarantined due to malware. ただし、送信者が内部か外部かに基づいて、送信者に対して通知メッセージを有効にできます。But, you can enabled notification messages for senders based on whether the sender is internal or external. 既定の通知メッセージは次のように表示されます。The default notification message looks like this:

    From: Postmaster postmaster@ <defaultdomain> .comFrom: Postmaster postmaster@<defaultdomain>.com
    件名: 配信不能メッセージSubject: Undeliverable message

    このメッセージは、メール配信ソフトウェアによって自動的に作成されたものです。This message was created automatically by mail delivery software. マルウェアが検出されたため、電子メール メッセージは指定した受信者に配信されませんでした。Your email message was not delivered to the intended recipients because malware was detected. すべての添付ファイルが削除されました。All attachments were deleted.

    ---追加情報---:--- Additional Information ---:

    件名: <message subject>Subject: <message subject>
    送信者: <message sender>Sender: <message sender>

    受信時間: <date/time>Time received: <date/time>
    メッセージ ID: <message id>Message ID: <message id>
    検出が見つかりました。Detections found:
    <attachment name> <malware detection result><attachment name> <malware detection result>

    内部および外部 の通知用に、From アドレス、 件名および メッセージ テキストをカスタマイズできます。You can customize the From address, subject, and message text for internal and external notifications.

    また、内部または外部の送信者からのメッセージで検出されたマルウェアに関する通知を受信する追加の受信者 (管理者) を指定することもできます。You can also specify an additional recipient (an admin) to receive notifications for malware detected in messages from internal or external senders.

  • 受信者フィルター: カスタムマルウェア対策ポリシーの場合、ポリシーを適用するユーザーを決定する受信者の条件と例外を指定できます。Recipient filters: For custom anti-malware policies, you can specify recipient conditions and exceptions that determine who the policy applies to. 条件や例外には次のプロパティを使用できます。You can use these properties for conditions and exceptions:

    • 受信者が次の場合The recipient is
    • 受信者ドメインは、The recipient domain is
    • 受信者が次のメンバーの場合The recipient is a member of

    各条件や例外は 1 回しか使用できませんが、条件や例外には複数の値を含めることができます。You can only use a condition or exception once, but the condition or exception can contain multiple values. 同じ条件や例外に複数の値がある場合、OR ロジック (たとえば、<recipient1> または <recipient2>) が適用されます。Multiple values of the same condition or exception use OR logic (for example, <recipient1> or <recipient2>). a別の条件や例外がある場合は AND ロジック (たとえば、<recipient1> かつ <member of group 1>) が適用されます。Different conditions or exceptions use AND logic (for example, <recipient1> and <member of group 1>).

  • 優先度: 複数のカスタムマルウェア対策ポリシーを作成する場合は、適用する順序を指定できます。Priority: If you create multiple custom anti-malware policies, you can specify the order that they're applied. 2つのポリシーが同じ優先順位を持つことはできません。最初のポリシーが適用されると、ポリシーの処理は停止します。No two policies can have the same priority, and policy processing stops after the first policy is applied.

    優先順位と複数のポリシーを評価し適用する方法の詳細については、「メール保護の優先順位」を参照してください。For more information about the order of precedence and how multiple policies are evaluated and applied, see Order and precedence of email protection.

セキュリティ コンプライアンス センターと PowerShell &マルウェア対策ポリシーAnti-malware policies in the Security & Compliance Center vs PowerShell

マルウェア対策ポリシーの基本的な要素は次のとおりです。The basic elements of an anti-malware policy are:

  • マルウェア フィルター ポリシー: 受信者の通知、送信者と管理者の通知、ZAP、および共通の添付ファイルの種類フィルターの設定を指定します。The malware filter policy: Specifies the recipient notification, sender and admin notification, ZAP, and the Common Attachment Types Filter settings.
  • マルウェア フィルター ルール: マルウェア フィルター ポリシーの優先度と受信者フィルター (ポリシーが適用されるユーザー) を指定します。The malware filter rule: Specifies the priority and recipient filters (who the policy applies to) for a malware filter policy.

これらの 2 つの要素の違いは、セキュリティ コンプライアンス センターでマルウェア対策ポリシーを管理&ではありません。The difference between these two elements isn't obvious when you manage anti-malware polices in the Security & Compliance Center:

  • マルウェア対策ポリシーを作成すると、両方に同じ名前を使用して、マルウェア フィルター ルールと関連付けられたマルウェア フィルター ポリシーを同時に作成します。When you create an anti-malware policy, you're actually creating a malware filter rule and the associated malware filter policy at the same time using the same name for both.

  • マルウェア対策ポリシーを変更すると、名前、優先度、有効または無効、および受信者フィルターに関連する設定によってマルウェア フィルター ルールが変更されます。When you modify an anti-malware policy, settings related to the name, priority, enabled or disabled, and recipient filters modify the malware filter rule. その他の設定 (受信者の通知、送信者と管理者の通知、ZAP、および共通の添付ファイルの種類フィルター) は、関連付けられたマルウェア フィルター ポリシーを変更します。Other settings (recipient notification, sender and admin notification, ZAP, and the Common Attachment Types Filter) modify the associated malware filter policy.

  • マルウェア対策ポリシーを削除すると、マルウェア フィルター ルールと関連付けられたマルウェア フィルター ポリシーが削除されます。When you remove an anti-malware policy, the malware filter rule and the associated malware filter policy are removed.

Exchange Online PowerShell またはスタンドアロン EOP PowerShell では、マルウェア フィルター ポリシーとマルウェア フィルター ルールの違いは明らかです。In Exchange Online PowerShell or standalone EOP PowerShell, the difference between malware filter policies and malware filter rules is apparent. マルウェア フィルター ポリシーの管理には *-MalwareFilterPolicy コマンドレットを使用し、マルウェア フィルター規則の管理には *-MalwareFilterRule コマンドレットを使用します。You manage malware filter policies by using the *-MalwareFilterPolicy cmdlets, and you manage malware filter rules by using the *-MalwareFilterRule cmdlets.

  • PowerShell では、まずマルウェア フィルター ポリシーを作成してから、ルールが適用されるポリシーを識別するマルウェア フィルター ルールを作成します。In PowerShell, you create the malware filter policy first, then you create the malware filter rule that identifies the policy that the rule applies to.
  • PowerShell では、マルウェア フィルター ポリシーとマルウェア フィルター ルールの設定を個別に変更します。In PowerShell, you modify the settings in the malware filter policy and the malware filter rule separately.
  • PowerShell からマルウェア フィルター ポリシーを削除すると、対応するマルウェア フィルター ルールは自動的には削除されません。その逆も同様です。When you remove a malware filter policy from PowerShell, the corresponding malware filter rule isn't automatically removed, and vice versa.

既定のマルウェア対策ポリシーDefault anti-malware policy

すべての組織には、次のプロパティを持つ Default という名前の組み込みのマルウェア対策ポリシーがあります。Every organization has a built-in anti-malware policy named Default that has these properties:

  • ポリシーは、ポリシーに関連付けられたマルウェア フィルター ルール (受信者フィルター) がない場合でも、組織内のすべての受信者に適用されます。The policy is applied to all recipients in the organization, even though there's no malware filter rule (recipient filters) associated with the policy.

  • ポリシーにはカスタムの優先順位の値 Lowest が設定されており、変更することはできません (このポリシーは常に最後に適用されます)。The policy has the custom priority value Lowest that you can't modify (the policy is always applied last). 作成するカスタムマルウェア対策ポリシーの優先度は、Default という名前のポリシーよりも常に高くなります。Any custom anti-malware policies that you create always have a higher priority than the policy named Default.

  • ポリシーは既定のポリシー (IsDefault のプロパティが True の値になっている) であり、既定のポリシーを削除することはできません。The policy is the default policy (the IsDefault property has the value True), and you can't delete the default policy.