侵害された電子メール アカウントへの対応Responding to a Compromised Email Account

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

適用対象Applies to

概要 侵害された Microsoft 365 電子メール アカウントを認識して対処する方法について説明します。Summary Learn how to recognize and respond to a compromised email account in Microsoft 365.

侵害された Microsoft 365 電子メール アカウントとは何か?What is a Compromised Email Account in Microsoft 365?

Microsoft 365 のメールボックス、データ、およびその他のサービスへのアクセスは、ユーザー名とパスワードや暗証番号 (PIN) などの資格情報を使用して制御されます。意図したユーザー以外の何者かがこれらの資格情報を盗んだ場合、盗まれた資格情報は侵害されたと見なされます。攻撃者は盗んだ資格情報を使用して、正規のユーザーとしてサインインし、不正な操作を行うことができます。また、攻撃者は盗んだ資格情報を使用して、ユーザーの Microsoft 365 メールボックス、SharePoint フォルダー、または OneDrive 内のファイルにアクセスできます。よく見られるのは、組織の内外の受信者に正規のユーザーとして電子メールを送り付ける攻撃者です。データが攻撃者によって外部の受信者に電子メールで送信される事象をデータ流出と言います。Access to Microsoft 365 mailboxes, data and other services, is controlled through the use of credentials, for example a user name and password or PIN. When someone other than the intended user steals those credentials, the stolen credentials are considered to be compromised. With them the attacker can sign in as the original user and perform illicit actions. Using the stolen credentials, the attacker can access the user's Microsoft 365 mailbox, SharePoint folders, or files in the user's OneDrive. One action commonly seen is the attacker sending emails as the original user to recipients both inside and outside of the organization. When the attacker emails data to external recipients, this is called data exfiltration.

侵害された Microsoft メール アカウントの兆候Symptoms of a Compromised Microsoft Email Account

ユーザーが自分の Microsoft 365 メールボックスでの異常な活動に気付いて報告してくる場合があります。よく見られる兆候を以下に示します。Users might notice and report unusual activity in their Microsoft 365 mailboxes. Here are some common symptoms:

  • 電子メールの消失や削除などの不審な活動。Suspicious activity, such as missing or deleted emails.

  • 侵害されたアカウントから電子メールを受信したが、その送信者の 送信済みアイテム フォルダーに対応する電子メールが存在しない。Other users might receive emails from the compromised account without the corresponding email existing in the Sent Items folder of the sender.

  • 意図したユーザーまたは管理者が作成していない受信トレイ ルールの存在。このようなルールによって、自動的に不明なアドレスに電子メールが転送されたり、メモ フォルダー、迷惑メール フォルダー、または RSS 購読 フォルダーに移動されたりする場合があります。The presence of inbox rules that weren't created by the intended user or the administrator. These rules may automatically forward emails to unknown addresses or move them to the Notes, Junk Email, or RSS Subscriptions folders.

  • グローバル アドレス一覧内のユーザーの表示名が変更される。The user's display name might be changed in the Global Address List.

  • ユーザーのメールボックスが電子メールの送信をブロックされる。The user's mailbox is blocked from sending email.

  • Microsoft Outlook または Outlook on the web (旧名称は Outlook Web App) の送信済みアイテム フォルダーまたは削除済みアイテム フォルダーに "I'm stuck in London, send money" などのハッキングされたアカウント メッセージが格納される。The Sent or Deleted Items folders in Microsoft Outlook or Outlook on the web (formerly known as Outlook Web App) contain common hacked-account messages, such as "I'm stuck in London, send money."

  • 名前、電話番号、郵便番号などのめったに変更されないプロフィールが更新される。Unusual profile changes, such as the name, the telephone number, or the postal code were updated.

  • 複数のパスワードの変更など、異常な資格情報の変更が要求される。Unusual credential changes, such as multiple password changes are required.

  • メールの転送が最近追加された。Mail forwarding was recently added.

  • 偽の銀行署名や処方薬署名など、通常とは異なる署名が最近追加された。An unusual signature was recently added, such as a fake banking signature or a prescription drug signature.

ユーザーが上記の兆候のいずれかを報告してきた場合は、詳しい調査を実施する必要があります。If a user reports any of the above symptoms, you should perform further investigation. Microsoft 365 セキュリティ/コンプライアンス センターと Azure ポータルには、侵害が疑われるユーザー アカウントの活動を調査するためのツールが用意されています。The Microsoft 365 Security & Compliance Center and the Azure Portal offer tools to help you investigate the activity of a user account that you suspect may be compromised.

  • セキュリティ/コンプライアンス センターの統合監査ログ: 不審な活動が発生する直前から現在の日付までの範囲で結果をフィルター処理することにより、疑わしいアカウントのすべての活動を確認します。 検索中に活動をフィルタリングしないでください。Unified Audit Logs in the Security & Compliance Center: Review all the activities for the suspected account by filtering the results for the date range spanning from immediately before the suspicious activity occurred to the current date. Do not filter on the activities during the search.

  • EAC の管理監査ログ: Exchange Online では、Exchange 管理センター (EAC) を使用して管理者監査ログ内のエントリを検索および表示できます。Admin Audit logs in the EAC: In Exchange Online, you can use the Exchange admin center (EAC) to search for and view entries in the administrator audit log. 管理者監査ログには、管理者や管理者特権を割り当てられたユーザーが実行する、Exchange Online PowerShell コマンドレットに基づく特定の操作が記録されます。The administrator audit log records specific actions, based on Exchange Online PowerShell cmdlets, performed by administrators and users who have been assigned administrative privileges. 管理者監査ログのエントリは、実行されたコマンドレット、使われたパラメーター、コマンドレットを実行したユーザー、および影響を受けたオブジェクトに関する情報を提供します。Entries in the administrator audit log provide you with information about what cmdlet was run, which parameters were used, who ran the cmdlet, and what objects were affected.

  • Azure AD ポータルの Azure AD サインイン ログおよびその他のリスク レポート: 次の列の値を調査します。Azure AD Sign-in logs and other risk reports in the Azure AD portal: Examine the values in these columns:

    • IP アドレスの確認Review IP address
    • サインインの場所sign-in locations
    • サインインの時刻sign-in times
    • サインインの成功/失敗sign-in success or failure

電子メール機能をセキュリティで保護し、侵害が疑われる Microsoft 365 アカウントとメールボックスを復元する方法How to secure and restore email function to a suspected compromised Microsoft 365 account and mailbox

アカウントへのアクセスが回復されても、攻撃者がアカウントの制御を再開できるようなバック ドア エントリを追加している場合があります。Even after you've regained access to your account, the attacker may have added back-door entries that enable the attacker to resume control of the account.

次の手順を最後まで実行して、できるだけ早くアカウントへのアクセスを回復し、乗っ取り犯がアカウントの制御を再開できないことを確認する必要があります。次の手順は、乗っ取り犯がアカウントに追加したかもしれないバック ドア エントリを削除できるように支援します。完了したら、ウイルス スキャンを実行してコンピューターが侵害されていないことを確認することをお勧めします。You must do all the following steps to regain access to your account the sooner the better to make sure that the hijacker doesn't resume control your account. These steps help you remove any back-door entries that the hijacker may have added to your account. After you do these steps, we recommend that you run a virus scan to make sure that your computer isn't compromised.

ステップ 1 ユーザーのパスワードをリセットするStep 1 Reset the user's password

誰かのビジネス パスワードをリセットする」の手順に従います。Follow the procedures in Reset a business password for someone.

重要

  • この時点ではまだ攻撃者がメールボックスへのアクセス権を握っている可能性があるため、意図したユーザーに新しいパスワードを電子メールで送信しないでください。Do not send the new password to the intended user through email as the attacker still has access to the mailbox at this point.

  • パスワードは、強力で、大文字と小文字、少なくとも 1 つの数字、および少なくとも 1 つの特殊文字が含まれていることを確認してください。Make sure that the password is strong and that it contains upper and lowercase letters, at least one number, and at least one special character.

  • 直近の 5 つのパスワードのいずれかを再利用しないでください。パスワードの履歴要件によって最近のパスワードを再利用できる場合でも、攻撃者が推測できないパスワードを選択する必要があります。Don't reuse any of your last five passwords. Even though the password history requirement lets you reuse a more recent password, you should select something that the attacker can't guess.

  • オンプレミス ID が Microsoft 365 とフェデレーションされている場合は、パスワードをオンプレミスで変更してから、侵害を管理者に報告する必要があります。If your on-premises identity is federated with Microsoft 365, you must change your password on-premises, and then you must notify your administrator of the compromise.

  • アプリのパスワードは必ず更新してください。Be sure to update app passwords. ユーザー アカウントのパスワードをリセットしても、アプリのパスワードは自動的に取り消されません。App passwords aren't automatically revoked when a user account password reset. ユーザーは既存のアプリ パスワードを削除し、新しいパスワードを作成する必要があります。The user should delete existing app passwords and create new ones. 手順については、「追加セキュリティの検証ページでアプリのパスワードを作成して削除する」を参照してください。For instructions, see Create and delete app passwords from the Additional security verification page.

  • 特に、管理者特権を持っているアカウントの侵害を避けるために、多要素認証 (MFA) を有効にすることを強くお勧めします。We highly recommended that you enable Multi-Factor Authentication (MFA) in order to prevent compromise, especially for accounts with administrative privileges. MFAの詳細については、[多要素認証をセットアップする] を参照してください。To learn more about MFA, go to Set up multi-factor authentication.

ステップ 2 不審な電子メール転送アドレスを削除するStep 2 Remove suspicious email forwarding addresses

  1. https://admin.microsoft.com で Microsoft 365 管理センターを開くOpen the Microsoft 365 admin center at https://admin.microsoft.com

  2. [ユーザー]>[アクティブなユーザー] の順に選択します。Go to Users > Active users. 問題のユーザ アカウントを検索し、チェックボックスをオンにせずにユーザー (行) を選択します。Find the user account in question, and select the user (row) without selecting the checkbox.

  3. 表示される詳細のポップアップで [メール] タブを選択します。In the details flyout that appears, select the Mail tab.

  4. [メール転送] セクションの値が [適用済み] の場合、[メールの転送を管理する] をクリックします。If the value in the Email forwarding section is Applied, click Manage email forwarding. 表示される [メールの転送を管理する] ポップアップで、[このメールボックスに送信されたすべてのメールを転送する] をオフにして、[変更の保存] をクリックします。In the Manage email forwarding flyout that appears, clear Forward all email sent to this mailbox, and then click Save changes.

ステップ 3 不審な受信トレイ ルールを無効にするStep 3 Disable any suspicious inbox rules

  1. Outlook on the web を使用して、ユーザーのメールボックスにサインインします。Sign in to the user's mailbox using Outlook on the web.

  2. 歯車アイコンをクリックして、[メール] をクリックします。Click on the gear icon and click Mail.

  3. [受信トレイと一括処理ルール (Inbox and sweep rules)] をクリックして、ルールを確認します。Click Inbox and sweep rules and review the rules.

  4. 不審なルールを無効にするか、削除します。Disable or delete suspicious rules.

ステップ 4 ユーザーのメールの送信をブロック解除するStep 4 Unblock the user from sending mail

侵害が疑われるメールボックスがスパム メールを送信するために不正に使用された場合は、メールボックスのメールの送信がブロックされている可能性があります。If the suspected compromised mailbox was used illicitly to send spam email, it is likely that the mailbox has been blocked from sending mail.

メールボックスのメールの送信をブロック解除するには、「迷惑メールを送信した後で制限付きユーザー ポータルからユーザーを削除する」の手順に従います。To unblock a mailbox from sending mail, follow the procedures in Removing a user from the Restricted Users portal after sending spam email.

ステップ 5 オプション: ユーザー アカウントのサインインをブロックするStep 5 Optional: Block the user account from signing-in

重要

アクセスを有効に戻しても安全なことが確認されるまでは、侵害が疑われるアカウントのサインインをブロックすることができます。You can block the suspected compromised account from signing-in until you believe it is safe to re-enable access.

  1. Microsoft 365 管理センターを開き、[ユーザー]>[アクティブ ユーザー] の順に移動します。Open the Microsoft 365 admin center and go to Users > Active users.

  2. ユーザー アカウントを見つけて選択し、[その他] のアイコンをクリックして、[サインイン状態の編集] を選択します。Find and select the user account, click More icon, and then select Edit sign-in status.

  3. 表示される [サインインをブロック] ウィンドウで、[このユーザーのサインインをブロックする] を選択し、[変更の保存] をクリックします。On the Block sign-in pane that appears, select Block this user from signing in, and then click Save changes.

  4. <admin.protection.outlook.com/ecp/> で Exchange 管理センター (EAC) を開きます。[受信者]、[メールボックス] の順に移動します。Open the Exchange admin center (EAC) at <admin.protection.outlook.com/ecp/>, and go to Recipients > Mailboxes.

  5. ユーザを見つけて選択します。Find and select the select the user. 詳細ウィンドウで、次の手順を実行します。In the details pane, do the following steps:

    • [電話と音声の機能] セクションで、次の手順を実行します。In the Phone and voice features section, do the following steps:

      • [Exchange ActiveSync を無効にする] を選択し、表示される警告で [はい] をクリックします。Select Disable Exchange ActiveSync and then click Yes in the warning that appears.
      • [デバイス用 OWA を無効にする] を選択し、表示される警告で [はい] をクリックします。Select Disable OWA for Devices and then click Yes in the warning that appears.
    • Outlook on the web の [メール接続] セクションで [無効にする] をクリックして、表示される警告で [はい] をクリックします。In the Email Connectivity section for Outlook on the web, click Disable and then click Yes in the warning that appears.

ステップ 6 オプション: すべての管理者役割グループから侵害が疑われるアカウントを削除するStep 6 Optional: Remove the suspected compromised account from all administrative role groups

注意

管理者役割グループ メンバーシップは、アカウントをセキュリティで保護した後に復元できます。Administrative role group membership can be restored after the account has been secured.

  1. 全体管理者アカウントでサインインします。Sign in with a global administrator account:

  2. Microsoft 365 管理センターで、次の手順を実行します。In the Microsoft 365 admin center, do the following steps:

    1. [ユーザー]>[アクティブなユーザー] の順に選択します。Go to Users > Active users.
    2. ユーザー アカウントを見つけて選択し、[その他] のアイコンをクリックして、[役割の管理] を選択します。Find and select the user account, click More icon, and then select Manage roles.
    3. アカウントに割り当てられているすべての管理者の役割を削除します。Remove any administrative roles that are assigned to the account. 完了したら、[変更の保存] をクリックします。When you're finished, click Save changes.
  3. https://protection.office.com のセキュリティ/コンプライアンス センターで、次の手順を実行します。In the Security & Compliance Center at https://protection.office.com, do the following steps:

    [アクセス許可] を選択し、リストから各役割グループを選択して、表示される詳細ポップアップの [メンバー] セクションでユーザー アカウントを検索します。Select Permissions, select each role group in the list and look for the user account in the Members section of the details flyout that appears. 役割グループにユーザー アカウントが含まれている場合は、次の手順を実行します。If the role group contains the user account, do the following steps:

    a.a. [メンバー] の横にある [編集] をクリックします。Click Edit next to Members. b.b. [メンバーの選択の編集] のポップアップが表示されたら、[編集] をクリックします。On the Editing Choose members flyout that appears, click Edit. c.c. [メンバーの選択] のポップアップが表示されたら、ユーザー アカウントを選択し、[削除] をクリックします。In the Choose members flyout that appears, select the user account, and then click Remove. 完了したら、[完了][保存][閉じる] の順にクリックします。When you're finished, click Done, Save, and then Close.

  4. <admin.protection.outlook.com/ecp/> の EAC で、次の手順を実行します。In the EAC at <admin.protection.outlook.com/ecp/>, do the following steps:

    [アクセス許可] を選択して、各役割ループを手動で選択し、詳細ウィンドウの [メンバー] セクションでユーザー アカウントを確認します。Select Permissions, manually select each role group, and in the details pane, verify the user accounts in the Members section. 役割グループにユーザー アカウントが含まれている場合は、次の手順を実行します。If the role group contains the user account, do the following steps:

    a.a. 役割グループを選択して、[編集][編集] アイコンをクリックします。Select the role group, click Edit Edit icon. b.b. [メンバー] セクションで、ユーザー アカウントを選択して、[削除][削除] アイコンをクリックします。In the Member section, select the user account, and then click Remove Remove icon. 完了したら、[保存] をクリックします。When you're finished, click Save.

ステップ 7 オプション: その他の予防手順Step 7 Optional: Additional precautionary steps

  1. 送信済みアイテムを確認します。連絡先リストに掲載されている人にアカウントが侵害されたことを通知する必要があります。攻撃者は、彼らにお金を要求したり、あなたが外国で足留めされ、お金が必要だなどと偽ったり、彼らにウイルスを送り付けて彼らのコンピューターも乗っ取ろうとしたりする可能性があります。Make sure that you verify your sent items. You may have to inform people on your contacts list that your account was compromised. The attacker may have asked them for money, spoofing, for example, that you were stranded in a different country and needed money, or the attacker may send them a virus to also hijack their computers.

  2. この Exchange アカウントを代替電子メール アカウントとして使用していた他のサービスが侵害されている場合があります。まず、Microsoft 365 サブスクリプションに対してこれらの手順を実行してから、その他のアカウントに対してこれらの手順を実行します。Any other service that used this Exchange account as its alternative email account may have been compromised. First, do these steps for your Microsoft 365 subscription, and then do these steps for your other accounts.

  3. 電話番号や住所などの連絡先情報が正しいことを確認します。Make sure that your contact information, such as telephone numbers and addresses, is correct.

サイバー セキュリティの専門家のように、Microsoft 365 のセキュリティを強化するSecure Microsoft 365 like a cybersecurity pro

Microsoft 365 サブスクリプションには、データとユーザーを保護するために使用できる強力なセキュリティ機能のセットが用意されています。Your Microsoft 365 subscription comes with a powerful set of security capabilities that you can use to protect your data and your users. Microsoft 365 セキュリティ ロードマップ - 最初の 30 日間、90 日間、およびそれ以降の最優先事項を使用して、Microsoft 365 テナントをセキュリティで保護するために Microsoft が推奨するベスト プラクティスを実装します。Use the Microsoft 365 security roadmap - Top priorities for the first 30 days, 90 days, and beyond to implement Microsoft recommended best practices for securing your Microsoft 365 tenant.

  • 最初の 30 日間で完了すべき作業。すぐにユーザーに影響しますが、それほど大きな影響ではありません。Tasks to accomplish in the first 30 days. These have immediate affect and are low-impact to your users.

  • 最初の 90 日間で完了すべき作業。作業の計画と実装に少し時間がかかりますが、セキュリティ体制は大幅に向上します。Tasks to accomplish in 90 days. These take a bit more time to plan and implement but greatly improve your security posture.

  • 90 日以降。最初の 90 日間の作業で保護が強化されます。Beyond 90 days. These enhancements build in your first 90 days work.

関連項目See also