EOP でのスプーフィング インテリジェンスの分析情報Spoof intelligence insight in EOP

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

適用対象Applies to

注意

この記事で説明する機能はプレビューで、変更される可能性があります。一部の組織では利用できません。The features described in this article are in Preview, are subject to change, and are not available in all organizations. この記事で説明する機能が組織に存在しない場合は 、「EOPのスプーフィング インテリジェンス ポリシーとスプーフィング インテリジェンスインサイトを使用してスプーフィング送信者を管理する」で、以前のスプーフィング管理エクスペリエンスを参照してください。If your organization does not have the features described in this article, see the older spoof management experience at Manage spoofed senders using the spoof intelligence policy and spoof intelligence insight in EOP.

Microsoft 365 Exchange Online またはスタンドアロン Exchange Online Protection (EOP) 組織に Exchange Online メールボックスがない組織では、受信電子メール メッセージはスプーフィングから自動的に保護されます。In Microsoft 365 organizations with mailboxes in Exchange Online or standalone Exchange Online Protection (EOP) organizations without Exchange Online mailboxes, inbound email messages are automatically protected against spoofing. EOP は、 フィッシングに 対する組織の全体的な防御の一環としてスプーフィング インテリジェンスを使用します。EOP uses spoof intelligence as part of your organization's overall defense against phishing. 詳細については、「EOP でのスプーフィング防止 保護」を参照してくださいFor more information, see Anti-spoofing protection in EOP.

送信者が電子メール アドレスをスプーフィングすると、その送信者は組織のドメインの 1 つのユーザー、または組織に電子メールを送信する外部ドメインのユーザーのように見える。When a sender spoofs an email address, they appear to be a user in one of your organization's domains, or a user in an external domain that sends email to your organization. 送信者をスプーフィングしてスパムメールやフィッシングメールを送信する攻撃者をブロックする必要があります。Attackers who spoof senders to send spam or phishing email need to be blocked. しかし、正当な送信者がスプーフィングを行うシナリオがあります。But there are scenarios where legitimate senders are spoofing. 以下に例を示します。For example:

  • 内部ドメインをスプーフィングする正当なシナリオ:Legitimate scenarios for spoofing internal domains:

    • サードパーティの送信者は、ドメインを使用して、会社の投票のために自分の従業員にバルク メールを送信します。Third-party senders use your domain to send bulk mail to your own employees for company polls.
    • 外部企業は、お客様に代わって広告や製品の更新プログラムを生成して送信します。An external company generates and sends advertising or product updates on your behalf.
    • アシスタントは、組織内の別のユーザーのメールを定期的に送信する必要があります。An assistant regularly needs to send email for another person within your organization.
    • 内部アプリケーションが電子メール通知を送信します。An internal application sends email notifications.
  • 外部ドメインをスプーフィングする正当なシナリオ:Legitimate scenarios for spoofing external domains:

    • 送信者はメーリングリスト (ディスカッション リストとも呼ばれる) に登録され、メーリングリストは元の送信者からメーリングリストのすべての参加者にメールを中継します。The sender is on a mailing list (also known as a discussion list), and the mailing list relays email from the original sender to all the participants on the mailing list.
    • 外部企業は、別の会社に代わって電子メールを送信します (たとえば、自動レポートやサービスとしてのソフトウェア会社など)。An external company sends email on behalf of another company (for example, an automated report or a software-as-a-service company).

Microsoft 365 Defenderポータルのスプーフィング インテリジェンス分析情報を使用して、認証されていない電子メール (SPF、DKIM、または DMARC チェックに合格しないドメインからのメッセージ) を正当に送信しているスプーフィングされた送信者をすばやく識別し、それらの送信者を手動で許可できます。You can use the spoof intelligence insight in the Microsoft 365 Defender portal to quickly identify spoofed senders who are legitimately sending you unauthenticated email (messages from domains that don't pass SPF, DKIM, or DMARC checks), and manually allow those senders.

既知の送信者が既知の場所からスプーフィングされたメッセージを送信できるようにすることで、誤検知を減らします (良い電子メールは悪いとマークされています)。By allowing known senders to send spoofed messages from known locations, you can reduce false positives (good email marked as bad). 許可されたスプーフィングされた送信者を監視することで、セキュリティの層を追加して、安全でないメッセージが組織に到着することを防止します。By monitoring the allowed spoofed senders, you provide an additional layer of security to prevent unsafe messages from arriving in your organization.

同様に、スプーフィング インテリジェンスによって許可されたスプーフィングされた送信者を確認し、スプーフィング インテリジェンスの分析情報からそれらの送信者を手動でブロックできます。Likewise, you can review spoofed senders that were allowed by spoof intelligence and manually block those senders from the spoof intelligence insight.

この記事の残りの部分では、Microsoft 365 Defender ポータルと PowerShell (Exchange Online のメールボックスを持つ Microsoft 365 組織の場合は Exchange Online PowerShell、Exchange Online メールボックスのない組織ではスタンドアロンの EOP PowerShell) でスプーフィング インテリジェンスインサイトを使用する方法について説明します。The rest of this article explains how to use the spoof intelligence insight in the Microsoft 365 Defender portal and in PowerShell (Exchange Online PowerShell for Microsoft 365 organizations with mailboxes in Exchange Online; standalone EOP PowerShell for organizations without Exchange Online mailboxes).

注意

  • スプーフィング インテリジェンスによって検出されたスプーフィングされた送信者だけがスプーフィング インテリジェンスの分析情報に表示されます。Only spoofed senders that were detected by spoof intelligence appear in the spoof intelligence insight. インサイトで許可またはブロックの評決を上書きすると、スプーフィングされた送信者は、テナント許可/ブロック一覧の [スプーフィング] タブにのみ表示される手動の許可またはブロック エントリになります。When you override the allow or block verdict in the insight, the spoofed sender becomes a manual allow or block entry that appears only on the Spoof tab in the Tenant Allow/Block List. スプーフィング インテリジェンスによって検出される前に、スプーフィングされた送信者の許可エントリまたはブロック エントリを手動で作成することもできます。You can also manually create allow or block entries for spoofed senders before they're detected by spoof intelligence. 詳細については、「EOP でテナント許可/ブロック リストを管理する」を参照してください。For more information, see Manage the Tenant Allow/Block List in EOP.

  • [テナントの許可/ブロック] リストのスプーフィング インテリジェンスインサイトと [スプーフィング] タブは、セキュリティ & コンプライアンス センターのスパム対策ポリシー ページで使用できるスプーフィング インテリジェンス ポリシーの機能を置き換えます。The spoof intelligence insight and the Spoof tab in the Tenant Allow/Block list replace the functionality of the spoof intelligence policy that was available on the anti-spam policy page in the Security & Compliance Center.

  • スプーフィング インテリジェンスの分析情報には、7 日間分のデータが表示されます。The spoof intelligence insight shows 7 days worth of data. Get-SpoofIntelligenceInsight コマンドレットには、30 日分のデータが表示されます。The Get-SpoofIntelligenceInsight cmdlet shows 30 days worth of data.

はじめに把握しておくべき情報What do you need to know before you begin?

  • Defender ポータルのMicrosoft 365開きます https://security.microsoft.com/You open the Microsoft 365 Defender portal at https://security.microsoft.com/. フィッシング対策ページに直接 移動するには 、 を使用します https://security.microsoft.com/antiphishingTo go directly to the Anti-phishing page, use https://security.microsoft.com/antiphishing. スプーフィング インテリジェンスインサイト ページに直接移動するには 、 を使用します https://security.microsoft.com/spoofintelligenceTo go directly to the Spoof intelligence insight page, use https://security.microsoft.com/spoofintelligence.

  • Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。To connect to Exchange Online PowerShell, see Connect to Exchange Online PowerShell. スタンドアロンの EOP PowerShell に接続するには、「Exchange Online Protection PowerShell への接続」を参照してください。To connect to standalone EOP PowerShell, see Connect to Exchange Online Protection PowerShell.

  • この記事の手順を実行する際には、あらかじめ Exchange Online でアクセス許可を割り当てる必要があります。You need to be assigned permissions in Exchange Online before you can do the procedures in this article:

    • スプーフィング インテリジェンス ポリシーを変更したり、スプーフィング インテリジェンスを有効または無効にするには、組織の管理またはセキュリティ管理者の役割グループのメンバー である 必要があります。To modify the spoof intelligence policy or enable or disable spoof intelligence, you need to be a member of the Organization Management or Security Administrator role groups.
    • スプーフィング インテリジェンス ポリシーへの読み取り専用アクセスでは、グローバルリーダーまたはセキュリティ リーダーの役割グループのメンバー である 必要があります。For read-only access to the spoof intelligence policy, you need to be a member of the Global Reader or Security Reader role groups.

    詳細については、「Exchange Online のアクセス許可」を参照してください。For more information, see Permissions in Exchange Online.

    :Notes:

    • Microsoft 365 管理センターで、対応する Azure Active Directory の役割にユーザーを追加すると、ユーザーには、必要なアクセス許可 および Microsoft 365 のその他の機能に必要なアクセス許可が付与されます。Adding users to the corresponding Azure Active Directory role in the Microsoft 365 admin center gives users the required permissions and permissions for other features in Microsoft 365. 詳細については、「管理者の役割について」を参照してください。For more information, see About admin roles.
    • Exchange Online閲覧専用の組織管理 の役割グループが この機能への読み取り専用アクセス権も付与します。The View-Only Organization Management role group in Exchange Online also gives read-only access to the feature.
  • EOP および Microsoft Defender のフィッシング対策ポリシーでスプーフィング インテリジェンスを有効または無効にOffice 365。You enable and disable spoof intelligence in anti-phishing policies in EOP and Microsoft Defender for Office 365. スプーフィング インテリジェンスは既定で有効になっています。Spoof intelligence is enabled by default. 詳細については、「EOP でフィッシング対策ポリシーを構成する」または「Microsoft Defender for Office 365 でフィッシング対策ポリシーを構成する」を参照してくださいFor more information, see Configure anti-phishing policies in EOP or Configure anti-phishing policies in Microsoft Defender for Office 365.

  • スプーフィング インテリジェンスの推奨設定については 、「EOP フィッシング対策ポリシー設定」を参照してくださいFor our recommended settings for spoof intelligence, see EOP anti-phishing policy settings.

Defender ポータルでスプーフィング インテリジェンスMicrosoft 365開くOpen the spoof intelligence insight in the Microsoft 365 Defender portal

  1. [Defender ポータルMicrosoft 365] で、[メール &グループ ポリシー&ポリシー] セクションの [フィッシング対策] > > > > に移動しますIn the Microsoft 365 Defender portal, go to Email & Collaboration > Policies & Rules > Threat policies > Policies section > Anti-phishing.

  2. [フィッシング 対策] ページでは 、スプーフィング インテリジェンスの分析情報は次のように表示されます。On the Anti-phishing page, the spoof intelligence insight looks like this:

    [フィッシング対策ポリシー] ページのスプーフィング インテリジェンスの分析情報

    分析情報には、次の 2 つのモードがあります。The insight has two modes:

    • インサイト モード: スプーフィング インテリジェンスが有効になっている場合、過去 7 日間にスプーフィング インテリジェンスによって検出されたメッセージの数が表示されます。Insight mode: If spoof intelligence is enabled, the insight shows you how many messages were detected by spoof intelligence during the past seven days.
    • If モード: スプーフィング インテリジェンスが無効になっている場合、この分析情報は、過去 7 日間にスプーフィング インテリジェンスによって検出されたメッセージの数を示します。What if mode: If spoof intelligence is disabled, then the insight shows you how many messages would have been detected by spoof intelligence during the past seven days.

スプーフィング インテリジェンスの検出に関する情報を表示するには、[スプーフィング インテリジェンスの分析情報でスプーフィング アクティビティ を表示する] をクリックします。To view information about the spoof intelligence detections, click View spoofing activity in the spoof intelligence insight.

スプーフィングされたメッセージに関する情報を表示するView information about spoofed messages

注意

スプーフィング インテリジェンスによって検出されたスプーフィングされた送信者だけがこのページに表示されます。Remember, only spoofed senders that were detected by spoof intelligence appear on this page. インサイトで許可またはブロックの評決を上書きすると、スプーフィングされた送信者は、テナント許可/ブロック一覧の [スプーフィング] タブにのみ表示される手動の許可またはブロック エントリになります。When you override the allow or block verdict in the insight, the spoofed sender becomes a manual allow or block entry that appears only on the Spoof tab in the Tenant Allow/Block List.

スプーフィン グ インテリジェンスインサイト で [スプーフィング アクティビティの表示] をクリックした後に表示されるスプーフィング インテリジェンスインサイト ページには、次の情報が含まれます。On the Spoof intelligence insight page that appears after you click View spoofing activity in the spoof intelligence insight, the page contains the following information:

  • スプーフィング されたユーザー: メール クライアントの [From] ボックスに表示されるスプーフィング された ユーザーのドメイン。Spoofed user: The domain of the spoofed user that's displayed in the From box in email clients. From アドレスは、アドレスとも呼 5322.From ばれる。The From address is also known as the 5322.From address.
  • 送信インフラストラクチャ: インフラストラクチャとも呼 ばれるSending infrastructure: Also known as the infrastructure. 送信インフラストラクチャは、次のいずれかの値になります。The sending infrastructure will be one of the following values:
    • 送信元電子メール サーバーの IP アドレスの逆引き DNS 参照 (PTR レコード) で見つかったドメイン。The domain found in a reverse DNS lookup (PTR record) of the source email server's IP address.
    • 送信元 IP アドレスに PTR レコードがない場合、送信インフラストラクチャは <source IP> /24 として識別されます (たとえば、192.168.100.100/24 など)。If the source IP address has no PTR record, then the sending infrastructure is identified as <source IP>/24 (for example, 192.168.100.100/24).
  • メッセージ数: スプーフィングされたドメインと送信インフラストラクチャの組み合わせから組織への過去 7 日以内のメッセージの数。Message count: The number of messages from the combination of the spoofed domain and the sending infrastructure to your organization within the last 7 days.
  • 最後に 表示される : スプーフィングされたドメインを含む送信インフラストラクチャからメッセージを受信した最後の日付。Last seen: The last date when a message was received from the sending infrastructure that contains the spoofed domain.
  • スプーフィング の種類 : 次のいずれかの値を指定します。Spoof type: One of the following values:
    • 内部: スプーフィングされた送信者は、組織 (受け入れドメイン) に属する ドメイン内にいますInternal: The spoofed sender is in a domain that belongs to your organization (an accepted domain).
    • 外部: スプーフィングされた送信者が外部ドメイン内にある。External: The spoofed sender is in an external domain.
  • Action: この値は 許可または****ブロックですAction: This value is Allowed or Blocked:
    • 許可 : ドメインで明示的な電子メール認証 が失敗した場合、SPF、DKIM、および DMARC がチェックされますAllowed: The domain failed explicit email authentication checks SPF, DKIM, and DMARC). ただし、ドメインは暗黙的な電子メール認証チェック (複合認証)に合格しましたHowever, the domain passed our implicit email authentication checks (composite authentication). その結果、メッセージに対してスプーフィング対策アクションは実行されません。As a result, no anti-spoofing action was taken on the message.
    • ブロック : スプーフィングされたドメインと送信インフラストラクチャの組み合わせからのメッセージは、スプーフィング インテリジェンスによって不良とマークされます。Blocked: Messages from the combination of the spoofed domain and sending infrastructure are marked as bad by spoof intelligence. スプーフィングされたメッセージに対して実行されるアクションは、既定のフィッシング対策ポリシーまたはカスタムフィッシング対策ポリシーによって制御されます (既定値は [メッセージを迷惑メール フォルダーに移動 する] です)。The action that's taken on the spoofed messages is controlled by the default anti-phishing policy or custom anti-phishing policies (the default value is Move message to Junk Email folder). 詳細については、「Microsoft Defender でフィッシング対策ポリシーを構成する」を参照Office 365。For more information, see Configure anti-phishing policies in Microsoft Defender for Office 365.

選択した列見出しをクリックすると、結果を並べ替えできます。You can click selected column headings to sort the results.

結果をフィルター処理するには、次のオプションがあります。To filter the results, you have the following options:

  • [フィルター] ボタンをクリック します。Click the Filter button. 表示される [フィルター ] フライアウトで、次の方法で結果をフィルター処理できます。In the Filter flyout that appears, you can filter the results by:
    • スプーフィングの種類Spoof type
    • ActionAction
  • [検索 ] ボックス を使用して、スプーフィングされたドメイン値のコンマ区切りリストを入力するか、インフラストラクチャ値を送信して結果をフィルター処理します。Use the Search box to enter a comma-separated list of spoofed domain values or sending infrastructure values to filter the results.

スプーフィングされたメッセージの詳細を表示するView details about spoofed messages

リストからエントリを選択すると、次の情報と機能を含む詳細フライアウトが表示されます。When you select an entry from the list, a details flyout appears that contains the following information and features:

  • プーフィングまたはスプーフィングをブロックする : これらの値のいずれかを選択して、元のスプーフィング インテリジェンスの評決を上書きし、スプーフィングの許可またはブロック エントリとしてスプーフィング インテリジェンスインサイトからテナント許可/ブロックリストにエントリを移動します。Allow to spoof or Block from spoofing: Select one of these values to override the original spoof intelligence verdict and move the entry from the spoof intelligence insight to the Tenant Allow/Block List as an allow or block entry for spoof.
  • なぜこれをキャッチしたのか。Why we caught this.
  • 何をする必要があります。What you need to do.
  • メインスプーフィング インテリジェンス ページの同じ情報のほとんどを含むドメインの概要。A domain summary that includes most of the same information from the main spoof intelligence page.
  • 送信者に関する WhoIs データ。WhoIs data about the sender.
  • 脅威エクスプローラーを開、送信者 (Microsoft Defender for Office 365) に関する詳細情報を表示するリンク。A link to open Threat Explorer to see additional details about the sender (Microsoft Defender for Office 365).
  • テナントで同じ送信者から見た同様のメッセージ。Similar messages we have seen in your tenant from the same sender.

許可されたスプーフィング送信者についてAbout allowed spoofed senders

スプーフィング インテリジェンスインサイトの許可されたスプーフィング送信者、またはスプーフィングを許可するに手動で変更したスプーフィング送信者は、スプーフィングされたドメインと送信側インフラストラクチャの組み合わせからのメッセージのみを許可します。An allowed spoofed sender in the spoof intelligence insight or a blocked spoofed sender that you manually changed to Allow to spoof only allows messages from the combination of the spoofed domain and the sending infrastructure. スプーフィングされたドメインからのメールを任意のソースから許可したり、任意のドメインの送信インフラストラクチャからの電子メールを許可したりはしない。It does not allow email from the spoofed domain from any source, nor does it allow email from the sending infrastructure for any domain.

たとえば、次のスプーフィングされた送信者はスプーフィングを許可されます。For example, the following spoofed sender is allowed to spoof:

  • ドメイン: gmail.comDomain: gmail.com
  • インフラストラクチャ: tms.mx.comInfrastructure: tms.mx.com

スプーフィングが許可されるのは、そのドメイン/送信インフラストラクチャ ペアからのメールのみです。Only email from that domain/sending infrastructure pair will be allowed to spoof. スプーフィングを試みる gmail.com 送信者は自動的に許可されません。Other senders attempting to spoof gmail.com aren't automatically allowed. スプーフィング インテリジェンスによって引き続 tms.mx.com 他のドメインの送信者からのメッセージは、ブロックされる可能性があります。Messages from senders in other domains that originate from tms.mx.com are still checked by spoof intelligence, and might be blocked.

PowerShell またはスタンドアロン EOP PowerShell でスプーフィング インテリジェンスExchange Onlineを使用するUse the spoof intelligence insight in Exchange Online PowerShell or standalone EOP PowerShell

PowerShell では 、Get-SpoofIntelligenceInsight コマンドレットを使用して、スプーフィング インテリジェンスによって検出された許可およびブロックされたスプーフィング送信者を表示します。In PowerShell, you use the Get-SpoofIntelligenceInsight cmdlet to view allowed and blocked spoofed senders that were detected by spoof intelligence. スプーフィングされた送信者を手動で許可またはブロックするには 、New-TenantAllowBlockListSpoofItems コマンドレットを使用する必要 があります。To manually allow or block the spoofed senders, you need to use the New-TenantAllowBlockListSpoofItems cmdlet. 詳細については 、「Use PowerShell to configure the Tenant Allow/Block List」を参照してくださいFor more information, see Use PowerShell to configure the Tenant Allow/Block List.

スプーフィング インテリジェンスインサイトで情報を表示するには、次のコマンドを実行します。To view the information in the spoof intelligence insight, run the following command:

Get-SpoofIntelligenceInsight

構文とパラメーターの詳細については 、「Get-SpoofIntelligenceInsight」を参照してくださいFor detailed syntax and parameter information, see Get-SpoofIntelligenceInsight.

スプーフィングとフィッシングを管理するその他の方法Other ways to manage spoofing and phishing

スプーフィングとフィッシング保護について詳しく知る。Be diligent about spoofing and phishing protection. ドメインをスプーフィングしている送信者を確認し、組織に損害を与えないよう、関連する方法を次に示します。Here are related ways to check on senders who are spoofing your domain and help prevent them from damaging your organization:

  • スプーフィン グ メール レポートを確認しますCheck the Spoof Mail Report. このレポートを頻繁に使用して、スプーフィングされた送信者を表示および管理できます。You can use this report often to view and help manage spoofed senders. 詳細については、「スプーフィング 検出レポート」を参照してくださいFor information, see Spoof Detections report.

  • 送信者ポリシー フレームワーク (SPF) 構成を確認します。Review your Sender Policy Framework (SPF) configuration. SPF の概要と SPF を迅速に構成する方法については、「スプーフィングを防止するために Microsoft 365 で SPF を設定する」を参照してください。For a quick introduction to SPF and to get it configured quickly, see Set up SPF in Microsoft 365 to help prevent spoofing. Office 365 における SPF の使用方法についての詳細や、ハイブリッド展開などの非標準の展開のトラブルシューティングについては、「How Office 365 uses Sender Policy Framework (SPF) to prevent spoofing」をご確認ください。For a more in-depth understanding of how Office 365 uses SPF, or for troubleshooting or non-standard deployments such as hybrid deployments, start with How Office 365 uses Sender Policy Framework (SPF) to prevent spoofing.

  • DomainKeys Identified Mail (DKIM) 構成を確認します。Review your DomainKeys Identified Mail (DKIM) configuration. SPF と DMARC に加えて DKIM を使用して、攻撃者が自分のドメインから送信されたようなメッセージを送信するのを防ぐ必要があります。You should use DKIM in addition to SPF and DMARC to help prevent attackers from sending messages that look like they are coming from your domain. DKIM では、電子メール メッセージのメッセージ ヘッダー内にデジタル署名を追加することができます。DKIM lets you add a digital signature to email messages in the message header. 詳細については、「DKIM を使用して、カスタム ドメインから送信された送信メールを検証する」を参照Office 365。For information, see Use DKIM to validate outbound email sent from your custom domain in Office 365.

  • ドメイン ベースのメッセージ認証、レポート、および準拠 (DMARC) 構成を確認します。Review your Domain-based Message Authentication, Reporting, and Conformance (DMARC) configuration. SPF および DKIM と共に DMARC を実装すると、メールのスプーフィングやフィッシングに対抗する追加の保護が得られます。Implementing DMARC with SPF and DKIM provides additional protection against spoofing and phishing email. DMARC は、電子メールを受信するシステムが、ドメインから送信された SPF チェックまたは DKIM チェックに失敗したメッセージに対して、どのように対応するかを判断する際に役に立ちます。DMARC helps receiving mail systems determine what to do with messages sent from your domain that fail SPF or DKIM checks. 詳細については、「DMARC を使用してメールを検証する」を参照Office 365。For information, see Use DMARC to validate email in Office 365.