EOP のマルウェア対策保護

• 適用対象:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

Exchange Online のメールボックスを使用している Microsoft 365 の組織、または Exchange Online のメールボックスを使用していないものの、スタンドアロンの Exchange Online Protection (EOP) をお使いの組織の場合、メール メッセージは EOP によってマルウェアから自動的に保護されます。 マルウェアの主なカテゴリーには次のようなものがあります。

• 他のプログラムやデータに感染し、感染するプログラムを探しているコンピュータまたはネットワークを介して広がるウイルス。
• サインイン情報や個人データなどの個人情報を収集し、作成者に送信するスパイウェア。
• ランサムウェアは、データを暗号化し、暗号化解除のための支払いを要求します。 マルウェア対策ソフトウェアは、暗号化されたファイルの暗号化を解除するのに役立ちませんが、ランサムウェアに関連付けられているマルウェア ペイロードを検出できます。

EOP は、Windows、Linux、Mac で既知のすべてのマルウェアを検出し、organizationとの間を移動するように設計された多層マルウェア保護を提供します。 次のオプションは、マルウェア対策保護を提供します。

• 階層化された対マルウェア防御: 複数のマルウェア対策スキャン エンジンによって、既知の脅威と未知の脅威の両方から保護します。 これらのエンジンには、強力な発見的検出機能が組み込まれており、マルウェアのアウトブレイクの初期段階であっても保護が可能です。 このマルチエンジン アプローチが、1 種類のマルウェア対策エンジンを使用するよりはるかに強力な保護を提供することは明らかです。
• リアルタイムの脅威対応: 一部の大規模感染時に、マルウェア対策チームは、ウイルスやその他の形式のマルウェアに関する十分な情報を持ち、サービスで使用されるスキャン エンジンから定義を入手する前であっても、脅威を検出する高度なポリシー ルールを記述できる可能性があります。 これらのルールは、グローバル ネットワークで 2 時間ごとに公開されるため、各組織はそれを使用して攻撃に対する保護層をさらに強化できます。
• マルウェア対策定義の迅速な展開: マルウェア対策チームは、マルウェア対策エンジンを開発するパートナーとの緊密な関係を維持します。 その結果、サービスは、マルウェア定義が一般にリリースされる前に、その定義を受け取って統合し修正することができます。 多くの場合、これらのパートナーとの関係が、Microsoft 独自の優れた修正方法の開発につながっています。 サービスは、すべてのマルウェア対策エンジンの更新された定義を 1 時間ごとに確認します。

EOP では、 添付 ファイルにマルウェアが含まれていると検出されたメッセージが検疫されます^*。 受信者が検疫されたメッセージを表示できるか、それ以外の方法で操作できるかは、 検疫ポリシーによって制御されます。 既定では、マルウェアが原因で検疫されたメッセージは、管理者のみが表示および解放できます。 管理者が構成する使用可能な設定に関係なく、ユーザーは独自の検疫済みマルウェア メッセージを解放できません。 詳細については、次の記事を参照してください。

^* 高度な配信ポリシーで識別される SecOps メールボックスでは、マルウェアのフィルター処理はスキップされます。 詳細については、「 サードパーティ製フィッシング シミュレーションの高度な配信ポリシーを構成する」と「SecOps メールボックスへの電子メール配信」を参照してください。

• 検疫ポリシーの構造
• 検疫されたメッセージとファイルを管理者として EOP で管理します。

マルウェア対策ポリシーには、 一般的な添付ファイル フィルターも含まれています。 指定したファイルの種類を含むメッセージは 、自動的に マルウェアとして識別されます。 詳細については、この記事の後半 の「マルウェア対策ポリシーの一般的な添付ファイル フィルター 」セクションを参照してください。

マルウェア対策保護の詳細については、「 マルウェア対策の保護に関する FAQ」を参照してください。

既定のマルウェア対策ポリシーを構成し、カスタムマルウェア対策ポリシーを作成、変更、削除するには、「 マルウェア対策ポリシーを構成する」を参照してください。 標準および厳密な 事前設定されたセキュリティ ポリシーでは、「EOP マルウェア対策ポリシー設定」で説明されているように、マルウェア 対策ポリシー設定は既に構成されており、変更できません。

ヒント

マルウェアの判定に同意しない場合は、メッセージの添付ファイルを誤検知 (不適切とマークされた良好な添付ファイル) または偽陰性 (無効な添付ファイルが許可されている) として Microsoft に報告できます。 詳細については、「不審なメールまたはファイルを Microsoft に報告操作方法」を参照してください。

マルウェア対策ポリシー

マルウェア対策ポリシーは、マルウェア検出の構成可能な設定と通知オプションを制御します。 マルウェア対策ポリシーの重要な設定については、次のサブセクションで説明します。

マルウェア対策ポリシーの受信者フィルター

受信者フィルターでは、条件と例外を使用して、ポリシーが適用される内部受信者を識別します。 カスタム ポリシーでは、少なくとも 1 つの条件が必要です。 条件と例外は、既定のポリシーでは使用できません (既定のポリシーはすべての受信者に適用されます)。 条件と例外には、次の受信者フィルターを使用できます。

• ユーザー: organization内の 1 つ以上のメールボックス、メール ユーザー、またはメール連絡先。
• グループ:
  • 指定した配布グループまたはメールが有効なセキュリティ グループのメンバー (動的配布グループはサポートされていません)。
  • 指定した Microsoft 365 グループ。
• ドメイン: Microsoft 365 で構成 されている承認済みドメインの 1 つ以上。 受信者のプライマリ メール アドレスは、指定したドメイン内にあります。

条件または例外は 1 回だけ使用できますが、条件または例外には複数の値を含めることができます。

• 同じ条件または例外の複数の値は、<OR ロジック (recipient1> や <recipient2> など) を使用します。

  • 条件: 受信者が指定した値 のいずれかに 一致する場合、ポリシーが適用されます。
  • 例外: 受信者が指定した値 のいずれかに 一致する場合、ポリシーは適用されません。

• 異なる種類の例外では、OR ロジック (recipient1 や <group1 のメンバー、domain1><>のメンバーなど) が使用されます。 <> 受信者が指定した例外値 のいずれかに 一致する場合、ポリシーは適用されません。

• さまざまな 種類の条件で AND ロジックが使用されます。 受信者は、ポリシーを適用するために、指定 されたすべての 条件に一致する必要があります。 たとえば、次の値を使用して条件を構成します。

  • ユーザー： romain@contoso.com
  • グループ: エグゼクティブ

  ポリシーは、エグゼクティブ グループのメンバーでもある場合にのみ適用romain@contoso.comされます。 それ以外の場合、ポリシーは適用されません。

マルウェア対策ポリシーの一般的な添付ファイル フィルター

実際に電子メールで送信してはならない特定の種類のファイル (実行可能ファイルなど) があります。 とにかく、これらのタイプのファイルをすべてブロックする必要があるときに、これらのタイプのファイルをスキャンしてマルウェアをスキャンする理由はなぜですか? そこで、一般的な添付ファイル フィルターが表示されます。 指定したファイルの種類は、マルウェアとして自動的に識別されます。

既定のファイルの種類の一覧は、既定のマルウェア対策ポリシー、作成したカスタムマルウェア対策ポリシー、および標準および厳密な 事前設定されたセキュリティ ポリシーのマルウェア対策ポリシーで使用されます。

Microsoft Defender ポータルでは、Microsoft Defender ポータルでマルウェア対策ポリシーを作成または変更するときに、追加のファイルの種類の一覧から選択したり、独自の値を追加したりできます。

• 既定のファイルの種類: ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z。

• Defender ポータルで選択するその他のファイルの種類: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx。

一般的な添付ファイル フィルターによってファイルが検出された場合は、[ 配信不能レポート (NDR)] または [ メッセージの検疫] を選択できます。

一般的な添付ファイル フィルターでの True 型の一致

一般的な添付ファイル フィルターでは、ファイル名拡張子に関係なく、ベスト エフォートの true 型照合を使用してファイルの種類を検出します。 True 型の一致では、ファイルの特性を使用して実際のファイルの種類 (ファイルの先頭と末尾のバイトなど) を決定します。 たとえば、ファイルの名前が exe ファイル名拡張子で txt 変更された場合、一般的な添付ファイル フィルターによってファイルがファイルとして exe 検出されます。

一般的な添付ファイル フィルターの True 型照合では、次のファイルの種類がサポートされています。

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

true 型の一致が失敗した場合、またはファイルの種類でサポートされていない場合は、単純な拡張照合が使用されます。

マルウェア対策ポリシーでの 0 時間自動消去 (ZAP)

マルウェア検疫の ZAP は、Exchange Onlineメールボックスに配信された後にマルウェアが含まれていることが検出されたメッセージを検疫します。 既定では、マルウェアに対する ZAP が有効になっていて、オンのままにしておくことをお勧めします。 詳細については、「 マルウェアの 0 時間自動消去 (ZAP)」を参照してください。

マルウェア対策ポリシーの検疫ポリシー

検疫ポリシーは、検疫されたメッセージに対してユーザーが実行できる操作と、ユーザーが検疫通知を受け取るかどうかを定義します。 既定では、受信者はマルウェアとして検疫されたメッセージの通知を受け取りません。また、管理者が構成する使用可能な設定に関係なく、ユーザーは独自の検疫済みマルウェア メッセージを解放できません。 詳細については、「 検疫ポリシーの構造」を参照してください。

マルウェア対策ポリシーの管理通知

追加の受信者 (管理者) を指定して、内部または外部の送信者からのメッセージで検出されたマルウェアの通知を受信できます。 内部通知と外部通知の 送信元アドレス、 件名、 およびメッセージ テキスト をカスタマイズできます。

これらの設定は、既定では既定のマルウェア対策ポリシー、または Standard または Strict の事前設定されたセキュリティ ポリシーでは構成されません。

ヒント

管理者の通知は、マルウェアとして分類された添付ファイルについてのみ送信されます。

マルウェア対策ポリシーに割り当てられた検疫ポリシーは、受信者がマルウェアとして検疫されたメッセージの電子メール通知を受信するかどうかを決定します。

マルウェア対策ポリシーの優先順位

有効になっている場合は、カスタムマルウェア対策ポリシーまたは既定のポリシーの前に Standard および Strict の事前設定されたセキュリティ ポリシーが適用されます (Strict は常に最初です)。 複数のカスタムマルウェア対策ポリシーを作成する場合は、適用する順序を指定できます。 ポリシー処理は、最初のポリシーが適用された後に停止します (その受信者の優先度が最も高いポリシー)。

優先順位の順序と複数のポリシーの評価方法の詳細については、「電子メール保護の順序と優先順位」および「事前設定されたセキュリティ ポリシーやその他のポリシーの優先順位」を参照してください。

既定のマルウェア対策ポリシー

すべてのorganizationには、Default という名前の組み込みのマルウェア対策ポリシーがあり、次のプロパティがあります。

• ポリシーは既定のポリシー (IsDefault のプロパティが True の値になっている) であり、既定のポリシーを削除することはできません。
• ポリシーは、organization内のすべての受信者に自動的に適用され、オフにすることはできません。
• ポリシーは常に最後に適用されます ( [優先度 ] の値は [最低] であり、変更することはできません)。