侵害されたメール アカウントへの応答

• 適用対象:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

Microsoft 365 メールボックス、データ、およびその他のサービスへのアクセスは、資格情報 (ユーザー名やパスワード、PIN など) によって制御されます。 目的のユーザー以外のユーザーがこれらの資格情報を盗むと、関連付けられているアカウントが侵害されたと見なされます。

攻撃者は資格情報を盗み、アカウントにアクセスすると、関連付けられている Microsoft 365 メールボックス、SharePoint フォルダー、またはユーザーの OneDrive 内のファイルにアクセスできます。 攻撃者は、多くの場合、侵害されたメールボックスを使用して、元のユーザーとしてメールをorganizationの内外の受信者に送信します。 電子メールを使用して外部受信者にデータを送信する攻撃者は、 データ流出と呼ばれます。

この記事では、アカウント侵害の症状と、侵害されたアカウントの制御を回復する方法について説明します。

侵害された Microsoft メール アカウントの症状

ユーザーは、Microsoft 365 メールボックスで異常なアクティビティに気付いて報告する場合があります。 例:

• 電子メールの欠落や削除など、疑わしいアクティビティ。
• 送信者の [送信済みアイテム] フォルダー内の対応するメールなしで、侵害されたアカウントからメールを受信しているユーザー。
• ユーザーまたは管理者によって作成されなかった受信トレイ ルール。 これらのルールは、メールを自動的に不明なアドレスに転送したり、メッセージを Notes、迷惑メール Email、または RSS サブスクリプション フォルダーに移動したりする場合があります。
• ユーザーの表示名は、グローバル アドレス一覧で変更されます。
• ユーザーのメールボックスが電子メールの送信をブロックされる。
• Microsoft Outlook または Outlook on the web (旧称 Outlook Web App) の [送信済みアイテム] フォルダーまたは [削除済みアイテム] フォルダーには、侵害されたアカウントの一般的なメッセージが含まれています (たとえば、"ロンドンで立ち往生している、お金を送信しています")。
• 通常とは異なるプロファイルの変更。 たとえば、名前、電話番号、郵便番号が更新されます。
• 複数の頻繁なパスワード変更。
• メールの転送が最近追加された。
• 最近、通常とは異なる署名が追加されました。 たとえば、偽の銀行署名や処方薬の署名などです。

ユーザーがこれらの症状やその他の異常な症状を報告する場合は、調査する必要があります。 Microsoft Defender ポータルとAzure portalには、ユーザー アカウントの疑わしいアクティビティを調査するのに役立つ次のツールが用意されています。

• Microsoft Defender ポータルの統合監査ログ: 疑わしいアクティビティが今日に発生する直前に開始される日付範囲を使用して、アクティビティのログをフィルター処理します。 検索中に特定のアクティビティをフィルター処理しないでください。 詳細については、「監査ログの検索」を参照してください。

• Microsoft Entra 管理センターのサインイン ログとその他のリスク レポートをMicrosoft Entraする: これらの列の値を調べます。

  • IP アドレスの確認
  • サインインの場所
  • サインインの時刻
  • サインインの成功/失敗

重要

次のボタンを使用すると、疑わしいアカウント アクティビティをテストして特定できます。 この情報を使用して、侵害されたアカウントを回復できます。

テストの実行: 侵害されたアカウント

セキュリティで保護され、侵害された Microsoft 365 アカウントとメールボックスに電子メール機能を復元する

ユーザーが自分のアカウントへのアクセスを回復した後でも、攻撃者はバックドア エントリを残して、攻撃者がアカウントの制御を再開できる可能性があります。

アカウントの制御を回復するには、次 のすべての 手順を実行します。 問題が疑われるとすぐに手順を実行し、できるだけ早く、攻撃者がアカウントの制御を再開しないようにします。 これらの手順は、攻撃者がアカウントに追加した可能性があるバックドア エントリを削除するのにも役立ちます。 これらの手順を実行した後は、ウイルス スキャンを実行して、クライアント コンピューターが侵害されていないことを確認することをお勧めします。

手順 1: ユーザーのパスワードをリセットする

「誰かのビジネス パスワードをリセットする」の手順に従います。

重要

• 攻撃者はこの時点でもメールボックスにアクセスできるため、新しいパスワードを電子メールでユーザーに送信しないでください。

• 必ず、大文字と小文字、少なくとも 1 つの数字、少なくとも 1 つの特殊文字という強力なパスワードを使用してください。

• パスワード履歴の要件で許可されている場合でも、最後の 5 つのパスワードを再利用しないでください。 攻撃者が推測できない一意のパスワードを使用します。

• オンプレミス ID が Microsoft 365 とフェデレーションされている場合は、オンプレミスのアカウント パスワードをオンプレミスで変更し、管理者に侵害を通知する必要があります。

• アプリのパスワードは必ず更新してください。 パスワードをリセットしても、アプリ パスワードは自動的に取り消されません。 ユーザーは既存のアプリ パスワードを削除し、新しいパスワードを作成する必要があります。 手順については、「 2 段階認証のためのアプリ パスワードの管理」を参照してください。

• アカウントに対して多要素認証 (MFA) を有効にすることを強くお勧めします。 MFA は、アカウントの侵害を防ぐのに役立つ優れた方法であり、管理特権を持つアカウントにとって非常に重要です。 手順については、「 多要素認証を設定する」を参照してください。

手順 2: 疑わしいメール転送アドレスを削除する

1. のMicrosoft 365 管理センターでhttps://admin.microsoft.com、[ユーザー] [アクティブ なユーザー]> に移動します。 または、[ アクティブ なユーザー ] ページに直接移動するには、 を使用 https://admin.microsoft.com/Adminportal/Home#/usersします。

2. [アクティブ ユーザー] ページで、ユーザー アカウントを見つけて、名前の横にある [チェック] ボックス以外の行内の任意の場所をクリックして選択します。

3. 開いた詳細ポップアップで、[ メール ] タブを選択します。

4. [Email転送] セクションの [適用済み] の値は、メール転送がアカウントで構成されていることを示します。

   [メール転送の管理] を選択し、開いた [メール転送の管理] ポップアップの [このメールボックスに送信されたすべてのメールを転送する] チェック ボックスをオフにして、[変更の保存] を選択します。

手順 3: 不審な受信トレイルールを無効にする

1. Outlook on the web を使用して、ユーザーのメールボックスにサインインします。

2. [設定] (歯車アイコン) を選択し、[検索] ボックスに「rules」と入力し、結果から [受信トレイルール] を選択します。

3. 開いたポップアップの [ ルール ] タブで、既存のルールを確認し、疑わしいルールをオフまたは削除します。

手順 4: ユーザーのメール送信のブロックを解除する

アカウントがスパムまたは大量のメールの送信に使用された場合、メールボックスがメールの送信をブロックされている可能性があります。

メールボックスのメール送信のブロックを解除するには、「 制限付きエンティティからブロックされたユーザーを削除する」ページの手順に従います。

ステップ 5 オプション: ユーザー アカウントのサインインをブロックする

重要

アクセスを再度有効にしても安全であると思われるまで、アカウントのサインインをブロックできます。

1. Microsoft 365 管理センターhttps://admin.microsoft.comで次の手順を実行します。

   1. [ユーザー][アクティブ ユーザー] > の順に移動します。 または、[ アクティブ なユーザー ] ページに直接移動するには、 を使用 https://admin.microsoft.com/Adminportal/Home#/usersします。
   2. [ アクティブ ユーザー ] ページで、次のいずれかの手順を実行して、一覧からユーザー アカウントを見つけて選択します。
      • 名前の横にある [チェック] ボックス以外の行の任意の場所をクリックして、ユーザーを選択します。 開いた詳細ポップアップで、ポップアップの上部にある [サインインのブロック] を選択します。
      • 名前の横にある [チェック] ボックスを選択して、ユーザーを選択します。 [その他のアクション>] [サインイン状態の編集] を選択します。
   3. 開いた [サインインのブロック] ポップアップで、情報を読み取り、[このユーザーのサインインをブロックする] を選択し、[変更の保存] を選択し、ポップアップの上部にある [閉じる] を選択します。

2. Exchange 管理センター (EAC) https://admin.exchange.microsoft.comで次の手順を実行します。

   1. [受信者メールボックス>] に移動します。 または、[ メールボックス] ページに直接移動するには、 を使用 https://admin.exchange.microsoft.com/#/mailboxesします。
   2. [ メールボックス ] ページで、次のいずれかの手順を実行して、一覧からユーザーを見つけて選択します。
      • 名前の横に表示されるラウンド チェック ボックス以外の行の任意の場所をクリックして、ユーザーを選択します。
      • 名前の横に表示されるラウンド チェック ボックスを選択し、ページに表示される [編集] アクションを選択して、ユーザーを選択します。
   3. 開いた詳細ポップアップで、次の手順を実行します。

      1. [全般] タブが選択されていることを確認し、[Email アプリ & モバイル デバイス] セクションで [メール アプリ設定の管理] を選択します。

      2. 開いた [メール アプリの設定の管理] ポップアップで、トグルを [無効] に変更して、使用可能なすべての設定を 無効にします。

         • Outlook デスクトップ (MAPI)
         • Exchange Web サービス
         • モバイル (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook on the web

         [メール アプリの設定の管理] ポップアップが完了したら、[保存] を選択し、ポップアップの上部にある [閉じる] を選択します。

ステップ 6 オプション: すべての管理者役割グループから侵害が疑われるアカウントを削除する

注:

アカウントがセキュリティで保護された後、管理ロール グループのユーザーのメンバーシップを復元できます。

1. https://admin.microsoft.com の Microsoft 365 管理センターで、次の手順を実行します。

   1. [ユーザー][アクティブ ユーザー] > の順に移動します。 または、[ アクティブ なユーザー ] ページに直接移動するには、 を使用 https://admin.microsoft.com/Adminportal/Home#/usersします。

   2. [ アクティブ ユーザー ] ページで、次のいずれかの手順を実行して、一覧からユーザー アカウントを見つけて選択します。

      • 名前の横にある [チェック] ボックス以外の行の任意の場所をクリックして、ユーザーを選択します。 開いた詳細ポップアップで、[アカウント] タブが選択されていることを確認し、[ロール] セクションで [ロールの管理] を選択します。
      • 名前の横にある [チェック] ボックスを選択して、ユーザーを選択します。 [その他のアクション][ロールの管理] を選択します>。

   3. 開いた [ 管理者ロールの管理 ] ポップアップで、次の手順を実行します。

      • 後で復元する情報を記録します。
      • [ ユーザー ] (管理センターへのアクセスなし) を選択して、管理ロールメンバーシップを削除します。

      [ 管理者ロールの管理 ] ポップアップが完了したら、[ 変更の保存] を選択します。

2. のMicrosoft Defender ポータルでhttps://security.microsoft.com、次の手順を実行します。

   1. [アクセス許可Email &>コラボレーション ロールロール>] に移動します。 または、[アクセス許可] ページに直接移動するには、https://security.microsoft.com/emailandcollabpermissions を使用します。
   2. [ アクセス許可 ] ページで、一覧から役割グループを選択します。
   3. 開いた詳細ポップアップの [メンバー ] セクションで、ユーザー アカウントを探します。 役割グループにユーザー アカウントが含まれている場合は、次の手順を実行します。
      1. [ メンバー ] セクションで、[ 編集] を選択します。
      2. 表示されるポップアップの [ メンバーの選択 ] タブで、[編集] を選択 します。
      3. 開いた [ メンバーの選択] ポップアップで、[ 削除] を選択します。
      4. 表示される [メンバー] セクションで、名前の横にある [チェック] ボックスを選択してユーザー アカウントを選択し、[削除] を選択し、[完了] を選択します。
      5. [ 編集] [メンバーの選択] ポップアップで、[保存] を選択 します。
      6. 役割グループの詳細ポップアップで、[ 閉じる] を選択します。
   4. 一覧の各役割グループに対して前の手順を繰り返します。

3. https://admin.exchange.microsoft.com/ で Exchange 管理センターを使用して、次の手順に進みます。

   1. [ロール>管理ロール] に移動します。 または、[ロールの管理] ページに直接移動するには、 を使用https://admin.exchange.microsoft.com/#/adminRolesします。

   2. [ロールの管理] ページで、名前の横に表示されるラウンド チェック ボックス以外の行の任意の場所をクリックして、一覧から役割グループを選択します。

   3. 開いた詳細ポップアップで、[ 割り当て済み ] タブを選択し、ユーザー アカウントを探します。 役割グループにユーザー アカウントが含まれている場合は、次の手順を実行します。

      1. ユーザー アカウントを選択します。
      2. 表示される [削除] アクションを選択し、[はい] を選択し、警告ダイアログで削除してから、ポップアップの上部にある [閉じる] を選択します。

   4. 一覧の各役割グループに対して前の手順を繰り返します。

ステップ 7 オプション: その他の予防手順

1. Outlook または Outlook on the web のアカウントの [送信済みアイテム] フォルダーの内容を確認します。

   連絡先リストのユーザーに、アカウントが侵害されたことを知らせる必要がある場合があります。 たとえば、攻撃者が連絡先にお金を要求するメッセージを送信した場合や、攻撃者がコンピューターを乗っ取るためにウイルスを送信した可能性があります。

2. このアカウントを代替メール アカウントとして使用する他のサービスのアカウントも侵害されている可能性があります。 この Microsoft 365 organizationのアカウントに関するこの記事の手順を実行した後、他のアカウントに対して次の手順を実行します。

3. アカウントの連絡先情報 (電話番号や住所など) を確認します。

関連項目

• Microsoft 365 で Outlook のルールとカスタム フォーム インジェクション攻撃の検出と修復を行う
• 不正な同意許可の検出と修復
• 米国インターネット犯罪苦情センター
• 米国証券取引委員会 - "フィッシング" 詐欺
• 迷惑メールを Microsoft および管理者に直接報告する場合に迷惑メール報告アドインを使用する