Microsoft 365 のフィッシング詐欺対策ポリシー

ヒント

Office 365 プラン 2 のMicrosoft 365 Defenderの機能を無料で試すことができることをご存じですか? Microsoft 365 Defender ポータル試用版ハブで 90 日間のDefender for Office 365試用版を使用します。 サインアップできるユーザーと試用版の使用条件については、 こちらをご覧ください。

適用対象

• Exchange Online Protection
• Microsoft Defender for Office 365 プラン 1 およびプラン 2
• Microsoft 365 Defender

フィッシング対策の保護設定を構成するためのポリシーは、Exchange Online メールボックス、Exchange Online メールボックスのないスタンドアロン Exchange Online Protection (EOP) 組織、および組織Microsoft Defender for Office 365。

組織Microsoft Defender for Office 365例を次に示します。

• Microsoft 365 Enterprise E5、Microsoft 365 Education A5 など
• Microsoft 365 Enterprise
• Microsoft 365 Business
• アドオンとしてMicrosoft Defender for Office 365する

EOP のフィッシング対策ポリシーとDefender for Office 365のフィッシング対策ポリシーの大まかな違いを次の表に示します。

機能	EOP のフィッシング対策ポリシー	Defender for Office 365のフィッシング対策ポリシー
自動的に作成された既定のポリシー
カスタム ポリシーの作成
一般的なポリシー設定*
スプーフィング設定
最初の連絡先の安全に関するヒント
偽装設定
高度なフィッシングのしきい値

^* 既定のポリシーでは、ポリシー名と説明は読み取り専用です (説明は空白です)、ポリシーを適用するユーザーを指定することはできません (既定のポリシーはすべての受信者に適用されます)。

フィッシング対策ポリシーを構成するには、次の記事を参照してください。

• EOP でのスパム対策ポリシーの構成
• 詳細については、「Microsoft Defender for Office 365 のフィッシング対策ポリシーを構成する」を参照してください。

この記事の残りの部分では、EOP とDefender for Office 365のフィッシング対策ポリシーで使用できる設定について説明します。

一般的なポリシー設定

EOP およびDefender for Office 365のフィッシング対策ポリシーでは、次のポリシー設定を使用できます。

• 名前: 既定のフィッシング対策ポリシーの名前を変更することはできません。 カスタムフィッシング対策ポリシーを作成した後、Microsoft 365 Defender ポータルでポリシーの名前を変更することはできません。

• 形容 既定のフィッシング対策ポリシーに説明を追加することはできませんが、作成するカスタム ポリシーの説明を追加および変更できます。

• ユーザー、グループ、ドメイン: フィッシング対策ポリシーが適用される内部受信者を識別します。 この値はカスタム ポリシーで必要であり、既定のポリシーでは使用できません (既定のポリシーはすべての受信者に適用されます)。

  各条件や例外は 1 回しか使用できませんが、条件や例外には複数の値を含めることができます。 同じ条件や例外に複数の値がある場合、OR ロジック (たとえば、<recipient1> または <recipient2>) が適用されます。 a別の条件や例外がある場合は AND ロジック (たとえば、<recipient1> かつ <member of group 1>) が適用されます。

  • ユーザー: 組織内の 1 つ以上のメールボックス、メール ユーザー、またはメール連絡先。

  • グループ: 組織内の 1 つ以上のグループ。

  • ドメイン: Microsoft 365 で構成 された承認済みドメイン の 1 つ以上。

  • これらのユーザー、グループ、ドメインを除外します。ポリシーの例外。 設定と動作は、次の条件とまったく同じです。

    • Users
    • グループ
    • ドメイン

  注意

  カスタムフィッシング対策ポリシーでは、ポリシーが 適用されるメッセージ 受信者 を識別するために 、ユーザー、グループ、ドメイン の設定で少なくとも 1 つの選択が必要です。 Defender for Office 365のフィッシング対策ポリシーには、この記事の後半で説明するように、偽装保護を受ける個々の送信者の電子メール アドレスまたは送信者ドメインを指定できる偽装設定もあります。

  複数の異なる種類の条件や例外は加算されません。包括的です。 ポリシーは、指定された すべての 受信者フィルターに一致する受信者 にのみ 適用されます。 たとえば、次の値を使用してポリシーで受信者フィルター条件を構成します:

  • 受信者は次のとおりです: romain@contoso.com
  • 受信者が次のメンバーの場合: Executive

  ポリシーは、Executive グループのメンバーである場合 にのみ、romain@contoso.com に適用されます。 グループのメンバーでない場合、ポリシーは適用されません。

  同様に、同じ受信者フィルターをポリシーの例外として使用する場合、受信者が Executive グループのメンバーでもある場合 にのみ、ポリシーは romain@contoso.com に適用されません。 グループのメンバーでない場合でも、ポリシーは適用されます。

スプーフィング設定

スプーフィングとは、電子メール メッセージ内の差出人アドレス (電子メール クライアントに表示される送信者アドレス) が電子メール ソースのドメインと一致しない場合です。 スプーフィングの詳細については、 Microsoft 365 のスプーフィング対策保護に関するページを参照してください。

EOP およびDefender for Office 365のフィッシング対策ポリシーでは、次のスプーフィング設定を使用できます。

• スプーフィング インテリジェンスを有効にする: スプーフィング インテリジェンスのオンとオフを切り替えます。 オンのままにすることをお勧めします。

  スプーフィング インテリジェンスが有効になっている場合、 スプーフィング インテリジェンス分析情報 は、スプーフィング インテリジェンスによって自動的に検出および許可またはブロックされたスプーフィングされた送信者を示します。 スプーフィング インテリジェンスの判定を手動でオーバーライドして、検出されたスプーフィングされた送信者を分析情報内で許可またはブロックすることができます。 ただし、スプーフィングされた送信者はスプーフィング インテリジェンス分析情報から消え、テナント許可/ブロックリストの [スプーフィング ] タブにのみ表示されるようになりました。 テナント許可/ブロック リストで、スプーフィングされた送信者の許可エントリまたはブロック エントリを手動で作成することもできます。 詳細については、次の資料を参照してください。

  • 詳細については、「EOP のスプーフィング インテリジェンス分析」を参照してください。
  • EOP でテナント許可/ブロック リストを管理する

  注意

  • スプーフィング対策保護は、既定のフィッシング対策ポリシーと、作成した新しいカスタムフィッシング対策ポリシーで既定で有効になります。
  • MX レコードが Microsoft 365 を指していない場合は、スプーフィング対策保護を無効にする必要はありません。代わりに、コネクタの拡張フィルター処理を有効にします。 手順については、「Exchange Onlineのコネクタの拡張フィルター処理」を参照してください。
  • スプーフィング対策保護を無効にすると、複合認証チェックからの 暗黙的な スプーフィング保護のみが無効になります。 送信者がポリシーが検疫または拒否に設定されている場所を 明示的な DMARC チェックで失敗した場合でも、メッセージは検疫または拒否されます。

• 認証されていない送信者インジケーター: スプーフィング インテリジェンスがオンになっている場合にのみ、[ 安全に関するヒント&インジケーター ] セクションで使用できます。 次のセクションの詳細を参照してください。

• アクション: ブロックされたスプーフィングされた送信者からのメッセージ (スプーフィング インテリジェンスによって自動的にブロックされるか、テナント許可/ブロック リストで手動でブロック) の場合は、メッセージに対して実行するアクションを指定することもできます。

  • 受信者の迷惑メール Email フォルダーにメッセージを移動 する: これは既定値です。 メッセージはメールボックスに配信され、迷惑メール Email フォルダーに移動されます。 詳細については、「Microsoft 365 のExchange Onlineメールボックスで迷惑メール設定を構成する」を参照してください。

  • メッセージを検疫する: 目的の受信者ではなく、メッセージを検疫に送信します。 検疫の詳細については、以下の記事を参照してください。

    • Microsoft 365 の検疫
    • Microsoft 365 で検疫済みのメッセージとファイルを管理者として管理する
    • Microsoft 365 で検疫済みメッセージをユーザーとして検索して解放する

    [メッセージの検疫] を選択した場合は、スプーフィング インテリジェンス保護によって検疫されたメッセージに適用される検疫ポリシーを選択することもできます。 検疫ポリシーは、検疫されたメッセージに対してユーザーが実行できる操作と、ユーザーが検疫通知を受け取るかどうかを定義します。 詳細については、「検疫ポリシー」を参照してください。

認証されていない送信者インジケーター

認証されていない送信者インジケーターは、EOP とDefender for Office 365の両方のフィッシング対策ポリシーの 「安全性のヒント&インジケーター」セクションで利用できる スプーフィング設定の一部です。 次の設定は、スプーフィング インテリジェンスがオンになっている場合にのみ使用できます。

• スプーフィングのために認証されていない送信者に対して表示 (?) : メッセージが SPF または DKIM チェックに合格せず、メッセージが DMARC または 複合認証に合格しない場合は、[差 出 人] ボックスの送信者の写真に疑問符を追加します。 この設定をオフにすると、送信者の写真に疑問符は追加されません。

• "via" タグを表示: 差出人アドレス (電子メール クライアント に表示されるメッセージ送信者) のドメインが DKIM 署名または MAIL FROM アドレスのドメインと異なる場合は、[差出人] ボックスに via タグ (fabrikam.com 経由で chris@contoso.com) を追加します。 これらのアドレスの詳細については、「 電子メール メッセージ標準の概要」を参照してください。

疑問符またはタグを使用して特定の送信者からのメッセージに追加されないようにするには、次のオプションがあります。

• スプーフィングされた送信者を スプーフィング インテリジェンス分析情報 で許可するか、 テナント許可/ブロック リストで手動で許可します。 スプーフィングされた送信者を許可すると、ポリシーで "via" タグの表示設定がオンになっている場合でも、送信者からのメッセージに via タグが表示されなくなります。
• 送信者ドメインの電子メール認証を構成します。
  • 送信者の写真の疑問符の場合、SPF または DKIM が最も重要です。
  • via タグの場合は、DKIM 署名内のドメイン、または差出人アドレスのドメインと一致する (またはサブドメインのサブドメイン) MAIL FROM アドレスを確認します。

詳細については、「Outlook.com とOutlook on the webで疑わしいメッセージを識別する」を参照してください。

最初の連絡先の安全に関するヒント

Show first contact safety tip settings is available in EOP and Defender for Office 365 organization, and no dependency on spoof Intelligence or impersonation protection settings. 安全性のヒントは、次のシナリオで受信者に表示されます。

• 送信者から初めてメッセージを受け取った場合
• 送信者からメッセージを受け取ることがよくあります。

この機能により、潜在的な偽装攻撃に対するセキュリティ保護のレイヤーが追加されるため、有効にすることをお勧めします。

最初の連絡先の安全ヒントでは、 X-MS-Exchange-EnableFirstContactSafetyTip という名前のヘッダーをメッセージに 対して有効 にする値を追加するメール フロー ルール (トランスポート ルールとも呼ばれます) を作成する必要も置き換えられます (ただし、この機能は引き続き使用できます)。

注意

メッセージに複数の受信者がある場合は、ヒントが表示されているかどうか、およびマジョリティ モデルに基づいているユーザーかどうか。 受信者の大半が送信者からメッセージを受信したことがない、または受信することが多くない場合、影響を受ける受信者は、 このメッセージを受信した一部のユーザーを受け取 ります。ヒント。 この動作によって受信者間の通信習慣が明らかになっていることを懸念する場合は、最初の連絡先の安全に関するヒントを有効にせず、代わりにメール フロー ルールを引き続き使用する必要があります。

Microsoft Defender for Office 365のフィッシング対策ポリシーの排他的設定

このセクションでは、Defender for Office 365のフィッシング対策ポリシーでのみ使用できるポリシー設定について説明します。

注意

Defender for Office 365の既定のフィッシング対策ポリシーは、すべての受信者にスプーフィング保護とメールボックス インテリジェンスを提供します。 ただし、使用可能なその他の 偽装保護機能 と 詳細設定 は、既定のポリシーでは構成または有効になっていません。 すべての保護機能を有効にするには、既定のフィッシング対策ポリシーを変更するか、追加のフィッシング対策ポリシーを作成します。

Microsoft Defender for Office 365のフィッシング対策ポリシーの偽装設定

偽装とは、メッセージ内の送信者または送信者の電子メール ドメインが実際の送信者またはドメインに似ている場所です。

• ドメイン contoso.com のなりすまし例は óntoso.com です。
• ユーザーなりすましは、ユーザーの表示名とメール アドレスの組み合わせです。 たとえば、Valeria Barrios (vbarrios@contoso.com) は Valeria Barrios としてなりすましをされますが、メール アドレスはまったく異なります。

注意

偽装保護は、類似するドメインを検索します。 たとえば、ドメインが contoso.com の場合、偽装試行としてさまざまなトップレベル ドメイン (.com、.biz など) がチェックされますが、ドメインも多少似ています。 たとえば、contosososo.com または contoabcdef.com は、contoso.com の偽装試行と見なされることがあります。

なりすましされたドメインは、受信者を欺くことを目的とする場合を除いて、正規のドメイン（登録済みドメイン、構成済みの電子メール認証レコードなど）と見なされる場合があります。

次の偽装設定は、Defender for Office 365のフィッシング対策ポリシーでのみ使用できます。

• ユーザーによる保護を有効にする: 指定した内部または外部の電子メール アドレスが メッセージ送信者として 偽装されないようにします。 たとえば、会社の副社長から、会社の内部情報を送信するように求める電子メール メッセージを受け取ります。 それを行いますか? 多くの人が何も考えずに返信を送信します。

  保護されたユーザーを使用して、偽装から保護するために内部および外部の送信者の電子メール アドレスを追加できます。 このユーザー偽装から保護されている 送信者 の一覧は、ポリシーが適用される 受信者 の一覧 (既定のポリシーのすべての受信者、共通ポリシー設定セクションの [ユーザー、グループ、ドメイン] 設定で構成された特定の受信者) とは異なります。

  注意

  • 各フィッシング対策ポリシーでは、最大 350 人の保護されたユーザー (送信者の電子メール アドレス) を指定できます。 複数のポリシーで同じ保護されたユーザーを指定することはできません。 そのため、受信者に適用されるポリシーの数に関係なく、個々の受信者の保護されたユーザー (送信者の電子メール アドレス) の最大数は 350 です。 ポリシーの優先度と、最初のポリシーが適用された後にポリシー処理が停止する方法の詳細については、「 電子メール保護の順序と優先順位」を参照してください。
  • 送信者と受信者が以前に電子メールで通信した場合、ユーザー偽装保護は機能しません。 送信者と受信者が電子メールで通信したことがない場合、メッセージは偽装の試行として識別されます。

  既定では、保護する ユーザー の偽装保護用に送信者の電子メール アドレスは構成されません。 そのため、既定では、既定のポリシーでもカスタム ポリシーでも、偽装保護の対象となる送信者の電子メール アドレスはありません。

  ユーザーに内部または外部の電子メール アドレスを追加 してリストを保護 すると、それらの 送信者 からのメッセージは偽装保護チェックの対象になります。 ポリシーが適用される受信者 (既定のポリシーのすべての 受信者) にメッセージが送信された 場合、メッセージの偽装がチェックされます。カスタム ポリシーの ユーザー、グループ、ドメイン の受信者)。 送信者の電子メール アドレスで偽装が検出された場合、ユーザーの偽装保護アクションがメッセージに適用されます (メッセージの操作、偽装されたユーザーの安全性に関するヒントを表示するかどうかなど)。

• 保護するドメインを有効にする: 指定したドメインが メッセージ送信者のドメインで 偽装されないようにします。 たとえば、所有するすべてのドメイン (承認済みドメイン) または特定のカスタム ドメイン (所有しているドメインまたはパートナー ドメイン)。 偽装から保護されている 送信者ドメイン のこの一覧は、ポリシーが適用される 受信者 の一覧 (既定のポリシーのすべての受信者、共通ポリシー設定セクションの [ユーザー、グループ、ドメイン] 設定で構成された特定の受信者) とは異なります。

  注意

  フィッシング対策ポリシーごとに最大 50 個のカスタム ドメインを指定できます。

  既定では、[保護するドメインを 有効にする] で偽装保護用に送信者ドメインが構成されていません。 そのため、既定では、既定のポリシーでもカスタム ポリシーでも、偽装保護の対象となる送信者ドメインはありません。

  [保護するドメインを有効にする] ボックスの一覧にドメインを追加すると、それらのドメイン内の送信者 からのメッセージは偽装保護チェックの対象になります。 ポリシーが適用される受信者 (既定のポリシーのすべての 受信者) にメッセージが送信された 場合、メッセージの偽装がチェックされます。カスタム ポリシーの ユーザー、グループ、ドメイン の受信者)。 送信者のドメインで偽装が検出された場合、ドメインの偽装保護アクションがメッセージに適用されます (メッセージの操作、偽装されたユーザーの安全性に関するヒントを表示するかどうかなど)。

• アクション: ポリシー内の保護されたユーザーと保護されたドメインに対する偽装試行を含む受信メッセージに対して実行するアクションを選択します。 保護されたユーザーの偽装と保護されたドメインの偽装に対して、さまざまなアクションを指定できます。

  • アクションを適用しない

  • 他の電子メール アドレスにメッセージをリダイレクトする: 目的の受信者ではなく、指定した受信者にメッセージを送信します。

  • 受信者の迷惑メール Email フォルダーに メッセージを移動する: メッセージはメールボックスに配信され、迷惑メール Email フォルダーに移動されます。 詳細については、「Microsoft 365 のExchange Onlineメールボックスで迷惑メール設定を構成する」を参照してください。

  • メッセージを検疫する: 目的の受信者ではなく、メッセージを検疫に送信します。 検疫の詳細については、以下の記事を参照してください。

    • Microsoft 365 の検疫
    • Microsoft 365 で検疫済みのメッセージとファイルを管理者として管理する
    • Microsoft 365 で検疫済みメッセージをユーザーとして検索して解放する

    [メッセージの検疫] を選択した場合は、ユーザー権限借用またはドメイン偽装保護によって検疫されたメッセージに適用される検疫ポリシーを選択することもできます。 検疫ポリシーは、検疫されたメッセージに対してユーザーが実行できる操作を定義します。 詳細については、「検疫ポリシー」を参照してください。

  • メッセージを配信し、Bcc 行に他のアドレスを追加 します。メッセージを目的の受信者に配信し、指定した受信者にメッセージをサイレント 配信します。

  • メッセージが配信される前に削除 する: すべての添付ファイルを含め、メッセージ全体をサイレント モードで削除します。

• 偽装の安全性に関するヒント: 偽装 チェックに失敗するメッセージが表示される次の偽装の安全性に関するヒントをオンまたはオフにします。

  • 偽装されたユーザーのヒントを表示 する: 差出人アドレスには、 ユーザーを保護するためのユーザーを有効にするが 含まれています。 [ユーザーの保護を有効にする] がオンで構成されている場合にのみ使用できます。
  • 偽装されたドメインのヒントを表示する: From アドレスには、 ドメインを保護するためのドメインを有効にするが 含まれています。 [保護するドメインを有効にする] がオンで構成されている場合にのみ使用できます。
  • 異常な文字のヒントを表示 する: 差出人アドレスには、送信者を 保護するユーザーを有効にする 、または送信者ドメインを保護する ドメインを有効にする で、通常とは異なる文字セット (数学記号とテキスト、大文字と小文字の組み合わせなど) が含まれています。 [ユーザーによる保護を有効にする] または [保護するドメインを有効にする] がオンで構成されている場合にのみ使用できます。

• メールボックス インテリジェンスを有効にする: 頻繁に連絡先を使用してユーザーの電子メール パターンを決定する人工知能 (AI) を有効または無効にします。 この設定は、AI が正当な送信者と偽装された送信者からメッセージを区別するのに役立ちます。

  たとえば、ガブリエラ Laureano (glaureano@contoso.com) は会社の最高経営責任者 (CEO) であるため、[ユーザーがポリシーの設定を保護できるようにする ] で保護された送信者として追加します。 ただし、ポリシーが適用される受信者の一部は、ガブリエラ・ローレノ (glaureano@fabrikam.com) という名前のベンダーと定期的に通信します。 これらの受信者には glaureano@fabrikam.com との通信履歴があるため、メールボックス インテリジェンスは、glaureano@fabrikam.com からのメッセージを、それらの受信者の glaureano@contoso.com の偽装試行として識別しません。

  メールボックス インテリジェンスによって学習された頻繁な連絡先 (およびその不足) を使用して、偽装攻撃からユーザーを保護するには、[メールボックス インテリジェンスを有効にする] をオンにした後で 、[インテリジェンス偽装保護 を 有効にする] をオンにします。

• インテリジェンス偽装保護を有効にする: この設定をオンにして、メールボックス インテリジェンスの結果から偽装検出のためにメッセージを実行するアクションを指定します。

  • アクションを適用しないでください。この値は 、メールボックス インテリジェンス を有効にした場合と同じ結果になりますが、 インテリジェンス偽装保護を有効にする をオフにした場合と同じ結果になります。
  • メッセージを他のメール アドレスにリダイレクトする
  • 受信者の迷惑メール Email フォルダーにメッセージを移動する
  • メッセージを検疫する: このアクションを選択した場合は、メールボックス インテリジェンス保護によって検疫されるメッセージに適用される検疫ポリシーを選択することもできます。 検疫ポリシーは、検疫されたメッセージに対してユーザーが実行できる操作と、ユーザーが検疫通知を受け取るかどうかを定義します。 詳細については、「検疫ポリシー」を参照してください。
  • メッセージを配信し、Bcc 行に他のアドレスを追加する
  • メッセージが配信される前にメッセージを削除する

• 信頼された送信者とドメインを追加する: 偽装保護設定の例外。 指定された送信者と送信者ドメインからのメッセージは、ポリシーによって偽装ベースの攻撃として分類されることはありません。 つまり、保護された送信者、保護されたドメイン、またはメールボックス インテリジェンス保護に対するアクションは、これらの信頼された送信者または送信者ドメインには適用されません。 これらのリストの上限は 1024 エントリです。

Microsoft Defender for Office 365のフィッシング対策ポリシーの高度なフィッシングのしきい値

次の高度なフィッシングのしきい値は、Defender for Office 365のフィッシング対策ポリシーでのみ使用できます。 これらのしきい値は、機械学習モデルをメッセージに適用してフィッシング判定を決定する際の機密性を制御します。

• 1 - Standard: これは既定値です。 メッセージに対して実行されるアクションの重大度は、メッセージがフィッシング (低、中、高、または非常に高い信頼) であるという信頼度によって異なります。 たとえば、非常に高い信頼度を持つフィッシングとして識別されるメッセージには最も重大なアクションが適用されますが、信頼度の低いフィッシングとして識別されるメッセージには、より重大なアクションが適用されます。
• 2 - 積極的: 高い信頼度を持つフィッシングとして識別されたメッセージは、非常に高い信頼度で識別されたかのように扱われます。
• 3 - より積極的: 中程度または高い信頼度を持つフィッシングとして識別されたメッセージは、非常に高い信頼度で識別されたかのように扱われます。
• 4 - 最も攻撃的: 低、中、または高の信頼度を持つフィッシングとして識別されたメッセージは、非常に高い信頼度で識別されたかのように扱われます。

この設定を増やすと、誤検知 (不適切とマークされた良好なメッセージ) の可能性が高くなります。 推奨される設定の詳細については、Microsoft Defender for Office 365設定のフィッシング対策ポリシーに関するページを参照してください。